De Autoriteit Persoonsgegevens slaat alarm: vier van negen AI-indicatoren zijn kritiek. Over vier maanden wordt de EU AI Act afdwingbaar. En 78% van de bedrijven heeft nog niets gedaan.
De Autoriteit Persoonsgegevens (AP) publiceerde begin maart haar zesde AI & Algoritmes-rapport. Voor het eerst in de geschiedenis staat de AI Impact Barometer op rood. Vier van de negen indicatoren zijn nu kritiek — een verdubbeling ten opzichte van de vorige editie.
Over precies vier maanden, op 2 augustus 2026, worden de kernverplichtingen van de EU AI Act afdwingbaar. En 78% van de Europese bedrijven heeft nog geen enkele stap gezet.
Dit is geen ver-van-mijn-bed-show. Als uw bedrijf een chatbot, CRM-scoring, HR-screening of AI-contentgeneratie gebruikt, raakt dit u direct.
Wat staat er op rood?
De AP meet de stand van AI in Nederland via negen indicatoren. Bij vier daarvan is de situatie nu zo zorgwekkend dat ze op rood staan:
1. Toezichtskaders — er is onvoldoende voortgang in het opzetten van effectief AI-toezicht
2. Ontwikkeling van standaarden — geharmoniseerde, praktisch toepasbare standaarden lopen achter
3. Registratie van overheidsalgoritmes — organisaties registreren AI-systemen bewust als "gewone algoritmes" om classificatie te omzeilen
4. Zichtbaarheid van incidenten — AI-incidenten worden niet goed bijgehouden en er wordt niet van geleerd
AP-voorzitter Aleid Wolfsen is ongekend direct: *"Vijf jaar na de toeslagenaffaire zijn de lessen helder, maar de opvolging blijft achter. Wie een nieuw schandaal wil voorkomen, moet nu handelen."*
De toeslagenaffaire — waarbij minstens 35.000 gezinnen onterecht als fraudeur werden bestempeld door een discriminerend algoritme — is nog steeds de scherpste illustratie van wat er misgaat als AI zonder waarborgen wordt ingezet. Meer dan 2.000 kinderen werden uit huis geplaatst.
De EU AI Act: wat verandert er op 2 augustus?
De EU AI Act is al op 1 augustus 2024 in werking getreden. Sindsdien worden de verplichtingen stapsgewijs van kracht. De grootste deadline is 2 augustus 2026 — dan gelden de volledige eisen voor:
- Alle hoog-risico AI-systemen (werkgelegenheid, kredietbeoordeling, onderwijs, rechtshandhaving)
- Transparantieverplichtingen — gebruikers moeten weten dat ze met AI communiceren
- Menselijk toezicht — er moet een getraind mens meekijken bij hoog-risico beslissingen
- Conformiteitsbeoordelingen — technische documentatie en CE-markering voor hoog-risico systemen
- Incidentenrapportage — ernstige incidenten moeten direct worden gemeld
- Markttoezicht — nationale handhaving begint
De vier risiconiveaus: waar valt úw AI-gebruik?
De EU AI Act deelt AI-systemen in vier risicocategorieën in. Het is cruciaal om te weten waar uw tools vallen:
Onacceptabel risico — verboden (al sinds februari 2025):
- Sociale scoring
- Subliminale manipulatie
- Realtime gezichtsherkenning in openbare ruimtes
- Emotie-inferentie op de werkvloer
Hoog risico — strenge eisen vanaf augustus 2026:
- HR-screening en werving met AI
- Kredietbeoordeling
- AI in onderwijs (beoordeling, toelating)
- Geautomatiseerde besluitvorming die mensen raakt
Beperkt risico — transparantieverplichtingen:
- Chatbots — u moet melden dat de gebruiker met AI praat
- AI-gegenereerde content — moet gelabeld worden als kunstmatig
Minimaal risico — vrijwillige gedragscodes:
- Spamfilters
- Interne contentgeneratie
- Basis-aanbevelingssystemen
De valkuil voor MKB-bedrijven: CRM-leadscoring zit in een grijs gebied. Simpele marketingprioritering is minimaal risico. Maar zodra u op basis van persoonlijke data beoordeelt of iemand betrouwbaar of kredietwaardig is, wordt het hoog risico.
Hetzelfde geldt voor geautomatiseerde workflows: een automatische e-mailreeks is minimaal risico. Een AI die beslist welke klanten wél en welke niet worden benaderd op basis van profielanalyse, kan hoog risico zijn.
De cijfers: Nederland loopt voorop in AI, maar niet in compliance
De kloof tussen AI-adoptie en compliance-voorbereiding in Nederland is alarmerend.
AI-gebruik groeit explosief:
- 22,7% van Nederlandse bedrijven met 10+ werknemers gebruikt AI (CBS, 2024) — bijna verdubbeld ten opzichte van 14% in 2023
- Bij bedrijven met 50-250 werknemers: 45% gebruikt AI
- Bij 500+ werknemers: 59,2%
- 95% van Nederlandse organisaties draait inmiddels AI-programma's — het hoogste percentage in Europa
Maar de voorbereiding ontbreekt:
- 78% van bedrijven heeft geen enkele stap gezet richting AI Act-compliance
- 83% heeft geen inventarisatie van AI-systemen die ze gebruiken
- 74% heeft geen intern bestuursorgaan voor AI-compliance aangewezen
- 61% heeft geen proces voor de vereiste technische documentatie
- Slechts 26,2% is begonnen met concrete compliance-activiteiten
Nederland heeft bovendien de deadline van augustus 2025 voor het aanwijzen van nationale toezichthouders gemist. De uitvoeringswet wordt pas verwacht in Q4 2026 — ná de handhavingsdeadline.
De boetes: tot 7% van de wereldwijde omzet
De EU AI Act kent een drielaags boetesysteem dat zwaarder is dan de AVG:
| Overtreding | Maximale boete | % omzet |
|---|---|---|
| Verboden AI-praktijken | €35 miljoen | 7% van de wereldwijde jaaromzet |
| Niet-naleving hoog-risico AI | €15 miljoen | 3% van de wereldwijde jaaromzet |
| Onjuiste/misleidende informatie | €7,5 miljoen | 1% van de wereldwijde jaaromzet |
De boete is altijd het hoogste van de twee bedragen. Voor een MKB-bedrijf met €5 miljoen omzet betekent niet-naleving van hoog-risico eisen een potentiële boete tot €350.000 (3% van omzet) — of €15 miljoen als dat hoger uitvalt.
Daar bovenop kunnen AVG-boetes komen (tot €20 miljoen of 4% van omzet), verplichte product-recalls, verbod op het inzetten van het AI-systeem, en civiele claims van gedupeerden.
Uw 4-maanden actieplan: 7 stappen
U heeft tot 2 augustus. Dit is wat u nu moet doen:
Stap 1: Maak een AI-inventarisatie
Maak een lijst van alle software die AI-componenten bevat. Denk breder dan ChatGPT — uw CRM, HR-platform, marketingtools en boekhoudsoftware bevatten waarschijnlijk ook AI-features. Documenteer wat elk systeem doet en welke data het verwerkt.
Stap 2: Classificeer het risico
Bepaal voor elk AI-systeem in welke risicocategorie het valt. Gebruik de EU AI Act Compliance Checker als hulpmiddel. Let extra op systemen die mensen profileren of consequenties hebben voor individuen.
Stap 3: Implementeer transparantie
Voor chatbots: voeg een duidelijke melding toe dat de gebruiker met AI communiceert. Voor AI-gegenereerde content: implementeer labels. Dit geldt al voor "beperkt risico" en is het laaghangende fruit.
Stap 4: Stel menselijk toezicht in
Wijs voor hoog-risico AI-systemen een getrainde medewerker aan die beslissingen kan beoordelen en overrulen. Stel duidelijke escalatieprocedures op.
Stap 5: Documenteer alles
Maak technische documentatie voor hoog-risico systemen: hoe werkt het, welke data gebruikt het, wat zijn de beperkingen, hoe nauwkeurig is het? Dit is de meest tijdrovende stap — begin hier vandaag mee.
Stap 6: Richt een governance-structuur in
Wijs intern iemand aan als AI-compliance-eigenaar. Dit hoeft geen fulltime rol te zijn, maar iemand moet verantwoordelijk zijn.
Stap 7: Zet incidentenrapportage op
Stel een proces in om ernstige AI-incidenten te melden. Dit wordt verplicht voor hoog-risico systemen.
Wacht niet op de overheid
Een belangrijk detail: de AP heeft een jaarbudget van €53,5 miljoen, maar zegt zelf €111 miljoen nodig te hebben om AI-toezicht goed uit te voeren. De uitvoeringswet die de toezichthouders formeel aanwijst, komt waarschijnlijk pas in Q4 2026 — ná de deadline.
Dat betekent niet dat u veilig bent als de handhaving langzaam op gang komt. De EU AI Act werkt met directe werking: de verplichtingen gelden ongeacht of de Nederlandse uitvoeringswet er al is. En zodra er een incident is — een discriminerende AI-beslissing, een datalek door een ongecontroleerd AI-systeem, een klacht van een gedupeerde — zal de AP handhaven met de middelen die ze heeft.
De toeslagenaffaire begon ook met systemen waarvan iedereen dacht dat ze "gewoon werkten."
De kern: compliance als concurrentievoordeel
De EU AI Act voelt nu misschien als regeldruk. Maar bedrijven die hun AI-systemen nu op orde brengen, hebben straks twee voordelen:
1. Vertrouwen — klanten en partners weten dat u zorgvuldig omgaat met AI en hun data
2. Stabiliteit — u hoeft straks niet in paniek uw systemen om te bouwen als de handhaving begint
De bedrijven die nu investeren in goede processen — transparantie, menselijk toezicht, documentatie — bouwen niet alleen aan compliance. Ze bouwen aan een AI-fundament dat meeschaalt met elke volgende regulering.
De barometer staat op rood. De deadline is over vier maanden. En 78% van uw concurrenten heeft nog niets gedaan. Dat is óf een reden tot zorg, óf een kans om voorop te lopen.