8 mei 2026 · Joos Luteijn · 8 minuten leestijd
Een praktische gids, geen juridische tekst
Op 7 mei 2026 heeft Europa besloten dat sommige onderdelen van de AI Act later ingaan dan gepland. Organisaties die AI gebruiken om mensen te beoordelen, denk aan cv-screening, leningaanvragen, gemeentelijke uitkeringen, schoolresultaten, hebben tot december 2027 in plaats van augustus 2026. Klinkt als een opluchting, en voor sommigen is het dat ook.
Maar voor het belangrijkste deel van de wet verandert er niets. AI-geletterdheid bij je medewerkers moet al op orde zijn sinds februari 2025. Onaanvaardbare AI-toepassingen blijven verboden. En als iemand in je organisatie AI verkeerd gebruikt, ligt de rekening bij jou als werkgever, ongeacht welke datum in de wet staat.
Deze gids legt uit wat de AI Act betekent voor jouw organisatie. Wat moet, wat niet hoeft, en wat je doet als je nu nog niets hebt geregeld. Met voorbeelden uit de praktijk en zonder eerst een batterij juristen te hoeven inhuren.
Bijna zeker ja. De wet maakt onderscheid tussen wie AI maakt en wie AI gebruikt. De makers zijn een handvol grote bedrijven (OpenAI, Microsoft, Google). De gebruikers zijn vrijwel iedereen. Als jouw mensen Copilot gebruiken in Word, ChatGPT in de browser, of een AI-chatbot op de website, dan val je onder de wet.
Drie veelgehoorde misverstanden:
De wet kijkt niet naar welke AI je gebruikt, maar naar wat je ermee doet. Hetzelfde model kan in de ene context laag risico zijn en in de andere hoog. Vier niveaus, oplopend in zwaarte.
AI die je domweg niet mag inzetten. Bijvoorbeeld systemen die emoties van medewerkers monitoren tijdens hun werk (denk aan callcenter-software die “stress” meet), AI die kwetsbare groepen manipuleert, of social scoring waarbij mensen een algemene “score” krijgen op basis van hun gedrag. Sinds 7 mei is daar één toepassing bijgekomen: AI die niet-consensuele seksuele beelden of misbruikmateriaal genereert. Dat verbod gaat in op 2 december 2026.
AI die ingezet wordt om besluiten te nemen die mensen direct raken. Dit is de categorie die de meeste aandacht krijgt, en terecht. Voorbeelden:
Voor deze toepassingen vraagt de wet dat je weet wat het systeem doet, kunt aantonen dat het eerlijk werkt, dat een mens kan ingrijpen, en dat je het gebruik documenteert. Niet onmogelijk, wel werk. De deadline schoof vorige week op naar december 2027, of augustus 2028 als de AI in een fysiek product (medische apparatuur, machinerie) zit.
AI waar je transparant over moet zijn, maar verder weinig regels gelden. Een chatbot op je website moet duidelijk maken dat hij geen mens is. Door AI gegenereerde content (afbeeldingen, video, audio) moet vanaf 2 december 2026 voorzien zijn van een digitaal watermerk. Klantenservice die AI gebruikt om antwoorden te formuleren moet dat in de communicatie noemen.
Vrijwel alles wat je dagelijks gebruikt. Spamfilters in Outlook, grammaticacontrole in Word, aanbevelingen van Netflix, vertalingen via Google Translate, autocomplete in je telefoon. Geen verplichtingen vanuit de AI Act, al blijven AVG en andere wetgeving wel van toepassing.
De praktische vraag is: in welke categorie zit het AI-gebruik in mijn organisatie? Voor de meeste bedrijven is het antwoord: vooral minimaal en beperkt, soms hoog risico. Wie geen werving doet, geen kredietbeoordeling en geen overheidsbesluiten neemt, zit zelden in hoog risico.
Door de Omnibus-deal van 7 mei zijn enkele data verschoven. Hieronder de actuele stand.
| Wat | Wanneer |
|---|---|
| Verboden AI-toepassingen (Artikel 5) | Al van kracht sinds 2 februari 2025 |
| AI-geletterdheid bij medewerkers (Artikel 4) | Al van kracht sinds 2 februari 2025 |
| Verplichtingen voor grote AI-modellen (GPAI) | Al van kracht sinds 2 augustus 2025 |
| Handhaving begint, transparantie- en governance-regels | 2 augustus 2026 |
| Verbod op niet-consensuele seksuele AI-content + watermerken | 2 december 2026 |
| Hoog-risico AI (cv-screening, leningen, uitkeringen, onderwijs) | 2 december 2027 |
| Hoog-risico AI ingebed in producten (medische apparatuur, machines) | 2 augustus 2028 |
Wat opvalt: de bovenste drie regels zijn al actief. Bedrijven die nog niets hebben gedaan zijn dus al meer dan een jaar in overtreding voor wat betreft AI-geletterdheid. Handhaving daarop begint serieus per augustus 2026. Het uitstel van hoog-risico AI naar 2027 verandert daar niets aan.
De AI Act vraagt geen specifieke training of certificaat. Het vraagt dat de mensen in jouw organisatie die met AI werken, weten wat ze doen. De wet noemt dat een “toereikend niveau van AI-geletterdheid”. Wat dat is, hangt af van de rol.
Concreet betekent dit dat:
Eén algemene training van twee uur voor het hele bedrijf voldoet zelden, omdat verschillende rollen verschillende kennis nodig hebben. Een receptioniste die ChatGPT gebruikt voor een verjaardagskaart, heeft minder nodig dan een recruiter die over levenslopen oordeelt.
Het goede nieuws: voor de meeste rollen volstaat geletterdheid op niveau “ik weet wat ik wel en niet aan AI kan vragen, ik herken als er iets misgaat, ik weet wie ik moet bellen”. Dat is haalbaar in een paar uur per rol, mits het inhoudelijk klopt.
Compliance werkt het best als een projectplan, niet als een schrikreactie. Vijf stappen die je in 8 tot 12 weken brengen tot een werkbaar fundament.
Niet alleen de tools die IT heeft ingekocht, ook wat medewerkers zelf hebben gevonden. Onderzoek laat zien dat organisaties zicht hebben op minder dan 11 procent van het werkelijke AI-gebruik. De rest is “shadow AI”: ChatGPT-accounts onder persoonlijke mailadressen, plug-ins in browsers, AI-features in tools die je al jaren gebruikt zonder het te beseffen.
Vraag in elk team: welke AI gebruiken jullie? Geef garantie dat het antwoord geen consequenties heeft. De eerste keer dat je dit doet, schrik je. De tweede keer is je leven veel makkelijker.
Voor de meeste tools is dit eenvoudig. ChatGPT voor het schrijven van interne notities is minimaal of beperkt risico. ChatGPT voor het selecteren van sollicitanten is hoog risico, ongeacht dat de tool dezelfde is. Het gebruik bepaalt de categorie, niet het merk.
Voordat je investeert in trainingen, weet je waar je staat. Een korte vragenlijst die je per team uitzet brengt drie dingen in beeld: wat individuen weten, hoe een team er als geheel voor staat, en hoe het beleid in jouw organisatie aansluit. Zonder nulmeting train je in het wilde weg.
Op basis van de nulmeting weet je wie wat moet leren. De recruiter krijgt iets anders dan de marketeer. De L&D-manager iets anders dan de IT-architect. Documenteer wat mensen hebben gevolgd en wat ze er na afloop van weten. Dat is je bewijs richting toezicht én richting eventuele rechtszaken.
AI verandert sneller dan welk leerprogramma ook. Een nieuwe tool deze maand kan een week later overal in je organisatie zitten. Een kwartaalcheck op nieuwe tools, nieuwe rollen en nieuwe risico’s voorkomt dat je over een jaar opnieuw bij stap 1 zit. Compliance is geen project met een einddatum, het is een gewoonte.
De boetebedragen in het nieuws zijn schrikbarend (tot 35 miljoen euro), maar voor de meeste organisaties niet realistisch. Toezichthouders hebben aangekondigd proportioneel te handhaven. In de eerste handhavingsmaanden gaat het om duidelijke overtreders, niet om bedrijven die zichtbaar aan het werk zijn.
Wat onderschat wordt, zijn twee andere risico’s:
Het simpele advies: als je kunt aantonen dat je serieus werk maakt van AI-geletterdheid en risicobeheersing, sta je sterk. Niet alleen tegenover de toezichthouder, maar ook in een eventuele rechtszaak.
Bij Transforming the Dots zien we dat de organisaties die de AI Act het rustigst doorkomen, niet de organisaties zijn die het meeste budget hebben uitgetrokken. Het zijn de organisaties die compliance gebruiken om eindelijk grip te krijgen op iets dat al lang sluipt.
De wet dwingt feitelijk wat goed is voor de organisatie zelf: weten welke AI je gebruikt, weten welke risico’s daarbij horen, en zorgen dat je mensen er verantwoord mee om kunnen gaan. Dat is geen kostenpost, het is de basis waarop AI-gebruik veilig kan groeien.
De vraag is dus niet of je voldoet aan de wet. De vraag is of je grip hebt op wat AI in jouw organisatie doet. Het eerste volgt automatisch uit het tweede.
De AI Maturity Scan brengt op zes dimensies in kaart waar je nu staat: strategie, governance, data, technologie, mens, cultuur. Je krijgt een concrete roadmap richting compliance én richting bredere AI-adoptie. De scan combineert een korte vragenlijst met expertinterviews en levert een dashboard plus een rapport met aanbevelingen.
Voor organisaties die de Omnibus-deal niet als excuus willen gebruiken om uit te stellen, maar de extra tijd strategisch willen benutten, is dit de snelste manier om grip te krijgen.
Ja. Bijna alle organisaties zijn “gebruiker” van AI, ook als ze de tools van anderen inkopen. Een HR-team dat met een AI-screeningstool werkt, een marketingteam dat ChatGPT inzet, een klantenservice met een chatbot: allemaal gebruikers, allemaal met eigen verplichtingen.
Meestal niet. Het ligt aan wat je ermee doet. ChatGPT voor het schrijven van interne notities is beperkt of minimaal risico. ChatGPT voor het beoordelen van sollicitanten of leningaanvragen is hoog risico, niet vanwege ChatGPT zelf, maar vanwege wat je er mee laat doen.
Voor de meeste organisaties weinig. De deadlines voor strikt gereguleerde AI (cv-screening, leningen, onderwijs, gemeentebesluiten) schuiven op naar december 2027. Maar de plicht om je medewerkers AI-geletterd te maken stond al sinds februari 2025 op de rol en is niet verschoven. Voor wie aan literacy werkt verandert er feitelijk niets.
Dan blijven jullie verantwoordelijk. Als een extern bureau jullie sollicitanten screent met AI, blijven jullie aansprakelijk voor wat daar misgaat. Leg vooraf vast wat de partner doet, hoe je het kunt controleren, en wat er gebeurt als het misgaat.
Voor AI-geletterdheid: een overzicht van wie wat heeft geleerd, op welk niveau, en wanneer. Voor hoog-risico AI: een omschrijving van het systeem, hoe je risico’s afdekt, hoe mensen kunnen ingrijpen, en logboeken van gebruik. Het hoeft niet zwaar te zijn, wel actueel en aantoonbaar.
Bij stap 1: inventariseren. Zonder zicht op wat er feitelijk gebeurt in je organisatie zijn alle volgende keuzes gokwerk. Dat is in twee tot vier weken te doen via een korte enquête en gerichte gesprekken. Vaak blijkt dan dat de echte prioriteit een stuk kleiner is dan de geruchten suggereren.
Joos Luteijn werkt 20+ jaar in strategie, technologie en organisatieontwikkeling. Hij begeleidde de afgelopen twee jaar bij Essent verandertrajecten rond AI-adoptie, was eerder manager digital bij Eneco, Toon en Oxxio, en is gastexpert in de Studio Beeckestijn-podcast over AI-adoptie. Vanuit Transforming the Dots helpt hij organisaties grip te krijgen op AI-adoptie via onderzoek, advies en coaching.