EU AI Act: wat een bestuurder nú moet regelen

Twee bestuurders, dezelfde wet, een tegengestelde reactie. De een ademt op: "de deadline is verschoven, dit kan op de lange baan." De ander ziet juist een geschenk: tijd om het rustig en goed te doen. Een jaar later staat de eerste in de stress en heeft de tweede een streepje voor bij klanten en toezichthouders. Het verschil is niet de wet. Het is wat je er nu mee doet.

Wat er in mei 2026 veranderde

Op 7 mei 2026 bereikten de Raad en het Europees Parlement een akkoord om de AI Act op onderdelen te vereenvoudigen, als deel van de zogeheten Digital Omnibus. De belangrijkste wijziging voor bestuurders: de verplichtingen voor hoog-risico AI schuiven op. Voor zelfstandige hoog-risicosystemen (Annex III) naar 2 december 2027, voor AI die is ingebouwd in gereguleerde producten (Annex I) naar 2 augustus 2028. Tegelijk komen er lichtere eisen voor mkb en kleinere mid-caps.

Maar let op wat niet is uitgesteld. De verboden AI-praktijken gelden al sinds februari 2025. De regels voor general-purpose AI (de grote algemene modellen) sinds augustus 2025. En de transparantieverplichtingen, zoals duidelijk maken dat content door AI is gemaakt, komen gefaseerd in werking. De wet is dus geen toekomstmuziek, hij is er al, gedeeltelijk handhaafbaar, en de rest staat vast op de kalender.

€35 mlnof 7% van de wereldwijde omzet, hoogste boete (verboden AI-praktijken)

€15 mlnof 3% bij tekortschietende hoog-risico-verplichtingen

2 dec 2027nieuwe deadline voor hoog-risico AI (Annex III), na het uitstel van mei 2026

sinds 2025verbods- en GPAI-regels al van kracht en handhaafbaar

Waarom uitstel een valstrik is

Wie het uitstel leest als "we hebben tijd zat", maakt drie denkfouten. Eén: de richting ligt vast. De wet wordt niet teruggedraaid, hij wordt aangescherpt en verfijnd. Twee: het werk kost tijd. Je AI in kaart brengen, classificeren, eigenaarschap beleggen en bewijs opbouwen doe je niet in een maand, reken eerder op een jaar of meer voor een hoog-risicotoepassing. Drie, en dat is de belangrijkste: de risico's bestaan nu al, los van welke deadline dan ook.

Uitstel is geen afstel. De richting ligt vast, alleen de klok staat even stil.

Vigil AI-register: alle AI-toepassingen met eigenaar, model, hosting en risicoklasse — Beheersen begint met zien: één register van alle AI, met eigenaar, model en risicoklasse.

Wat stilzitten kost

De boetes halen de krant, maar zijn zelden het grootste risico. Voor een bestuurder telt de optelsom:

De risico's van afwachten

Boetes. Tot €35 miljoen of 7% van de wereldwijde omzet voor verboden praktijken; tot €15 miljoen of 3% voor tekortschietende hoog-risico-eisen.
Reputatie. Een AI-misser haalt het nieuws, niet de wettekst. Herstel van vertrouwen kost maanden.
Buitenspel bij aanbestedingen. Overheden en grote klanten eisen steeds vaker aantoonbare AI-governance. Geen dossier betekent geen opdracht.
Bestuurdersaansprakelijkheid. Verantwoord AI-gebruik is een bestuursverantwoordelijkheid, geen IT-detail. De vraag "wie wist wat" komt bij u terug.
Schaduw-AI. Zonder kaders gebruiken medewerkers tools buiten beeld, met gevoelige data op servers buiten Europa.

Wat het oplevert als je het wél doet

Compliance klinkt als een kostenpost, maar wie het goed aanpakt, krijgt er meer voor terug dan een schone lei bij de toezichthouder.

De opbrengst van vooruit regelen

Snellere adoptie. Organisaties die transparantie en beveiliging op orde hebben, zien tot de helft meer adoptie en acceptatie van hun AI (Gartner).
Markttoegang. Je governance-dossier is je toegangsbewijs bij aanbestedingen en zakelijke klanten.
Minder en goedkopere incidenten. Grip vooraf is goedkoper dan opruimen achteraf.
Bestuurlijke rust. Je weet wat er draait, wat het kost en of het mag, en je kunt het uitleggen.
Voorsprong. Koplopers houden hun AI-projecten langer productief in plaats van te blijven hangen in pilots.

Vigil compliance: assurance-workflow en bewijs per toepassing voor de EU AI Act — Het bewijs ontstaat al werkend: assurance-workflow, classificatie en audit trail per toepassing.

Wat je nu regelt

Je hoeft niet alles tegelijk te doen, maar je moet wel beginnen. Vijf stappen op bestuursniveau:

Begin hier

Inventariseer alle AI-toepassingen, inclusief schaduw-AI. Je kunt niets beheersen wat je niet ziet.
Classificeer per toepassing de risicoklasse en je rol: ben je aanbieder (provider) of gebruiker (deployer)?
Beleg eigenaarschap en richt menselijk toezicht in waar het risico daarom vraagt.
Leg bewijs vast: technische documentatie, logging en transparantie naar gebruikers.
Voer een FRIA uit (grondrechten-impactanalyse) voor hoog-risico en publieke taken.

Dit is geen IT-project dat je delegeert en vergeet. Het is een bestuursbesluit: bepaal dat AI-governance erbij hoort, wijs een eigenaar aan, en begin klein maar nu. De organisatie die in 2027 klaar wil zijn, start in 2026.

Hoe Vigil dit doet

Vigil zet deze vijf stappen om in dagelijkse praktijk: één register met automatische risicoclassificatie en rolbepaling, granulair beleid per toepassing, en bewijs (impact- en risicoanalyse, FRIA, audit trail) dat al werkend ontstaat, in je eigen EU- of NL-omgeving. De deadline wordt dan een formaliteit in plaats van een sprint.

Bronnen

Raad van de EU en Europees Parlement, voorlopig akkoord over de Digital Omnibus en de AI Act, 7 mei 2026 (consilium.europa.eu).
EU Artificial Intelligence Act, Artikel 99 (boetes) en implementatietijdlijn (artificialintelligenceact.eu).
Europese Commissie, Shaping Europe's digital future, AI Act (digital-strategy.ec.europa.eu).
Gartner, AI Trust, Risk and Security Management (AI TRiSM), 2025.