logo-artificial-intelligence-consultant
Open menu
Cover van whitepaper EU AI Act implementatiegids

WHITEPAPER · 24 pagina's

EU AI Act implementatiegids voor Nederlandse organisaties

Auteurs: Lieke van der Heijden, Sara Elbouazzati · Gepubliceerd 15 januari 2026

De EU AI Act verplicht organisaties die high-risk AI-systemen inzetten tot risicoclassificatie volgens Annex III, datakwaliteitsbeheer, logging, menselijk toezicht en conformiteitsbeoordeling — eisen die inhoudelijk aansluiten op bestaande GDPR- en ISO 27001-controles.

Onderwerpen

  • EU AI Act
  • Compliance
  • Risk Management
  • Governance
Download PDF →

Samenvatting

Deze gids vertaalt de eisen van de EU AI Act naar concrete implementatiestappen voor Nederlandse organisaties die generatieve AI of klassieke machine learning inzetten. We behandelen risicoclassificatie volgens Annex III, de governance-structuur die nodig is voor high-risk-systemen, datakwaliteits- en logging-verplichtingen, en de overlap met bestaande GDPR- en ISO 27001-controles. Tevens komen de praktische deadlines, sancties en de rol van de aangewezen Nederlandse toezichthouder aan bod, evenals een stappenplan voor conformiteitsbeoordeling en de markering van high-risk-systemen.

Samenvatting

De EU AI Act is per augustus 2024 in werking getreden, met een gefaseerde introductie van verplichtingen die loopt tot augustus 2027. Voor Nederlandse organisaties betekent dit dat zowel ontwikkelaars als afnemers van AI-systemen op korte termijn keuzes moeten maken over governance, documentatie en technische controles. Deze gids biedt een gestructureerd kader om die keuzes te onderbouwen, met expliciete koppeling aan bestaande raamwerken zoals GDPR, NEN 7510 en ISO 27001.

We onderscheiden vier risiconiveaus — onaanvaardbaar, hoog, beperkt en minimaal — en behandelen per niveau welke verplichtingen ontstaan. Bijzondere aandacht gaat uit naar de Annex III-categorieën die voor de meeste Nederlandse middelgrote organisaties relevant zijn: kredietbeoordeling, fraudedetectie, werving en selectie, en AI in onderwijs en zorg.

Wat je leert

  • Welke AI-systemen onder de high-risk-categorie van Annex III vallen en hoe je dit beoordeelt
  • Welke documentatie je vooraf moet opstellen, inclusief technical documentation en post-market monitoring plan
  • Hoe je een AI-governance-structuur inricht die compatibel is met je bestaande tweede en derde verdedigingslinie
  • Hoe de eisen rond datakwaliteit, logging en menselijk toezicht zich verhouden tot GDPR Artikel 22 en 35
  • Welke deadlines gelden voor general-purpose AI-modellen en welke transparantie-eisen voor synthetische content
  • Hoe je een conformiteitsbeoordeling uitvoert en wanneer een notified body betrokken moet worden
  • Hoe sancties zich verhouden — boetes tot 7% van de wereldwijde jaaromzet voor verboden praktijken
  • Welke rol de Autoriteit Persoonsgegevens en de RDI als toezichthouder spelen

Inhoudsopgave

  1. Inleiding: tijdlijn en reikwijdte van de Act
  2. Risiconiveaus en classificatiemethodiek
  3. Annex III: high-risk-categorieën uitgewerkt
  4. Verplichtingen voor providers van high-risk-systemen
  5. Verplichtingen voor deployers en hun zorgplicht
  6. Datakwaliteit, bias-mitigatie en testdocumentatie
  7. Logging, traceerbaarheid en menselijk toezicht
  8. Conformiteitsbeoordeling en CE-markering
  9. General-purpose AI: aanvullende regels voor foundation models
  10. Sancties, handhaving en de Nederlandse toezichtsstructuur
  11. Praktisch stappenplan: 90-dagen-actieplan
  12. Bijlagen: checklist, sjablonen en bronvermelding

Voor wie

Deze gids is geschreven voor Chief AI Officers, Chief Risk Officers, Functionarissen Gegevensbescherming, juridische adviseurs en technische leads bij Nederlandse organisaties met meer dan 250 medewerkers, of kleinere organisaties in gereguleerde sectoren zoals zorg en financiële dienstverlening. De inhoud veronderstelt basiskennis van GDPR en operationeel risicomanagement. Voor advocatenkantoren en consultants die hun cliënten begeleiden bij implementatie, biedt deze gids een gemeenschappelijk vocabulaire en referentie-architectuur. De technische appendix bevat concrete sjablonen voor technical documentation en post-market monitoring plans die direct als startpunt gebruikt kunnen worden.

Bespreek de implicaties.

Wilt u dit whitepaper toepassen op uw situatie? Plan een 30-min sessie met onze auteurs.

Plan sessie →