EU AI Act tijdlijn: wat moet wanneer klaar zijn?
Bijgewerkt: juni 2026 — inclusief AI Omnibus Akkoord mei 2026
Inleiding: de gefaseerde inwerkingtreding
De EU AI Act (Verordening (EU) 2024/1689) is op 1 augustus 2024 in werking getreden, maar de verplichtingen gelden niet allemaal per dezelfde datum. De verordening hanteert een gefaseerde implementatie die rekening houdt met de complexiteit van de vereiste aanpassingen en de politieke wens om innovatie niet onnodig af te remmen. Het AI Omnibus Akkoord van mei 2026 heeft de deadlines voor hoog-risico AI bovendien aanzienlijk uitgesteld — een wijziging die veel deployers ten onrechte als reden zien om compliance uit te stellen.
Dit artikel geeft een nauwkeurig overzicht van alle deadlines, de Omnibus-wijzigingen en wat er precies van deployers wordt verwacht per fase.
Fase 1: 2 februari 2025 — Verboden AI en AI-geletterdheid (nu van kracht)
Zes maanden na inwerkingtreding werden de eerste verplichtingen afdwingbaar:
Art. 5 — Verboden AI-praktijken: De acht verboden zijn volledig van kracht. Subliminale manipulatie, exploitatie van kwetsbaarheden, social scoring door overheden, real-time biometrische identificatie in openbare ruimten (zonder machtiging), emotieherkenning op de werkplek en in het onderwijs, biometrische categorisering op gevoelige kenmerken, deepfake-manipulatiescampagnes en predictive policing op persoonskenmerken — allemaal verboden. Geen overgangsperiode, geen uitzonderingen buiten de wet.
Art. 4 — AI-geletterdheid: De verplichting voor providers en deployers om adequate AI-geletterdheid te waarborgen bij hun medewerkers is eveneens van kracht. Organisaties die nu nog geen trainingen hebben geïmplementeerd, zijn in overtreding.
Wat dit betekent voor deployers: Als u nu AI inzet en nog geen Art. 4-compliance heeft gerealiseerd, handelt u in strijd met de wet. Eis ook van uw AI-leveranciers dat zij de Art. 5-verboden naleven — gebruik van een verboden systeem is een deployer-risico.
Fase 2: 2 augustus 2025 — GPAI-verplichtingen (nu van kracht)
De verplichtingen voor providers van General Purpose AI (GPAI)-modellen zijn van kracht. Dit betreft met name de grote model-providers (OpenAI, Google, Anthropic, Meta) die verplicht zijn transparantiedocumentatie, auteursrecht-beleid en — bij systemisch risico — aanvullende beveiligingstests te leveren.
Wat dit betekent voor deployers: Als u GPAI-modellen via API integreert in uw producten of diensten, kunt u van de providers verwachten dat zij hun GPAI-verplichtingen nakomen. Dit versterkt uw positie bij contractonderhandelingen: u heeft recht op de door Art. 53 vereiste technische documentatie.
Fase 3: 2 augustus 2026 — Publieke sector hoog-risico AI
Let op: dit is de deadline na de Omnibus-aanpassing voor publieke sector en transparantie. De hoog-risico deadline voor de private sector is uitgesteld (zie fase 4 en 5).
Per 2 augustus 2026 gelden de volledige hoog-risico verplichtingen voor:
- Publieke sector deployers: overheidsinstanties, gemeenten, ZBOs die hoog-risico AI inzetten
- Art. 50 (transparantie): chatbots moeten zich als AI identificeren; deepfakes moeten worden gelabeld
- Governance: lidstaten moeten nationale toezichtstructuren operationeel hebben
Wat dit betekent voor publieke deployers: Als u werkzaam bent bij een gemeente, ministerie, uitvoeringsinstantie of andere publieke organisatie, geldt 2 augustus 2026 als uw compliance-deadline voor hoog-risico AI. U heeft nog enkele maanden — begin nu met uw AI-inventaris, classificatie en Art. 26-implementatie.
Fase 4: 2 december 2027 — Standalone hoog-risico AI (Bijlage III) — NIEUW
Het AI Omnibus Akkoord heeft de oorspronkelijke deadline van 2 augustus 2026 uitgesteld naar 2 december 2027 voor standalone hoog-risico AI-systemen onder Bijlage III (de acht kritieke domeinen: biometrie, infrastructuur, onderwijs, werkgelegenheid, essentiële diensten, rechtshandhaving, migratie, rechtsbedeling).
Dit is de meest relevante deadline voor de meeste private deployers in Nederland. Systemen voor:
- HR-werving en -selectie (Bijlage III, punt 4)
- Kredietbeoordeling (punt 5.b)
- Fraudedetectie met impact op individuen (punt 5)
- Onderwijs-assessments (punt 3)
...vallen onder deze deadline.
Fout die deployers maken: Het uitstel tot december 2027 wordt soms geïnterpreteerd als "we hebben geen haast". Dat is onjuist. Systemen die nu al worden aangeschaft of ontwikkeld, moeten bij ingebruikname al voldoen aan de eisen. Als u in 2026 een nieuw HR-AI-systeem implementeert, moet dat systeem per implementatiedatum compliant zijn — niet per 2027.
Fase 5: 2 augustus 2028 — Hoog-risico AI in gereguleerde producten (Bijlage I) — NIEUW
De deadline voor hoog-risico AI ingebouwd in gereguleerde producten (Bijlage I: medische hulpmiddelen, machines, voertuigen, speelgoed, liften, etc.) is uitgesteld naar 2 augustus 2028. Dit is de langste overgangsperiode in de hele verordening.
Relevant voor: ziekenhuizen die AI-diagnose-apparatuur inzetten (MDR-producten), industriële deployers met AI-gestuurde machines, vervoersbedrijven met geautomatiseerde voertuigsystemen.
Omnibus-wijzigingen: wat is er veranderd?
Het AI Omnibus Akkoord (mei 2026) heeft drie concrete wijzigingen aangebracht:
- Deadline Bijlage III: 2 augustus 2026 → 2 december 2027
- Deadline Bijlage I: 2 augustus 2027 → 2 augustus 2028
- Vereenvoudiging mkb: lichtere conformiteitsprocedures voor micro-ondernemingen (<10 medewerkers, <€2 mln)
- Art. 5 uitgebreid: nieuwe verboden op deepfake-campagnes (Art. 5.1.g) en predictive policing op persoonskenmerken (Art. 5.1.h)
Wat is NIET veranderd:
- Art. 5-verboden (van kracht per 2 februari 2025)
- Art. 4 AI-geletterdheid (van kracht per 2 februari 2025)
- GPAI-verplichtingen (van kracht per 2 augustus 2025)
- Publieke sector deadline (2 augustus 2026)
- De materiële inhoud van de hoog-risico verplichtingen zelf
Actieprogramma voor deployers per fase
Nu (juni 2026):
- Controleer: voldoet u aan Art. 5 (verboden) en Art. 4 (AI-geletterdheid)?
- Stel een AI-inventaris op van alle systemen die uw organisatie inzet
- Classificeer elk systeem conform Art. 6
Voor 2 augustus 2026 (publieke sector):
- Implementeer Art. 26-verplichtingen voor alle hoog-risico systemen
- Voer FRIA uit (Art. 27) voor verplichte categorieën
- Registreer in EU-database (Art. 49)
Voor 2 december 2027 (private sector Bijlage III):
- Volledige Art. 26-implementatie
- Conformiteitsverklaringen van alle providers ontvangen en bewaard
- DPIA's afgerond voor alle hoog-risico systemen met persoonsgegevens
- Incidentresponse-process operationeel (Art. 73)
Veelgestelde vragen
V: De deadline is uitgesteld tot 2027. Mogen wij nu gewoon wachten?
A: Nee. Nieuwe systemen die u ná vandaag aanschaft of implementeert, moeten per implementatiedatum compliant zijn. Het uitstel geldt voor de handhavingsdeadline van bestaande systemen die al in gebruik zijn. Bovendien zijn Art. 5 en Art. 4 nu al van kracht en afdwingbaar.
V: Is de AI Liability Directive ook uitgesteld?
A: De AI Liability Directive is ingetrokken (oktober 2025) en zal niet worden aangenomen. De civiele aansprakelijkheid voor AI-schade loopt via de bestaande nationale aansprakelijkheidsregels (onrechtmatige daad) en de Product Liability Directive.
Tijdlijn-overzicht
| Datum | Verplichting | Status |
|---|---|---|
| 1 aug 2024 | Verordening in werking getreden | ✓ Van kracht |
| 2 feb 2025 | Art. 5 verboden + Art. 4 AI-geletterdheid | ✓ Van kracht |
| 2 aug 2025 | GPAI-verplichtingen (Art. 51-55) | ✓ Van kracht |
| 2 aug 2026 | Publieke sector hoog-risico + Art. 50 transparantie | ⚠️ Nadert |
| 2 dec 2027 | Private sector hoog-risico Bijlage III (Omnibus) | 🔜 Nieuw |
| 2 aug 2028 | Hoog-risico in gereguleerde producten Bijlage I (Omnibus) | 🔜 Nieuw |