AI-regelgeving en certificeringen in Duitsland en Europa: wat bedrijven moeten weten in 2026

De EU AI Act is het eerste uitgebreide wettelijke kader voor kunstmatige intelligentie ter wereld. De verordening trad op 1 augustus 2024 in werking en de verplichtingen worden gefaseerd ingevoerd tot 2027. Als uw bedrijf AI-systemen ontwikkelt, inzet of gebruikt in Europa, is deze verordening op u van toepassing.

Dit is geen theorie meer. De eerste verboden zijn al van kracht. De vereisten voor hoog-risico AI-systemen treden volledig in werking in augustus 2026. Boetes kunnen oplopen tot €35 miljoen of 7% van de wereldwijde jaaromzet - afhankelijk van welk bedrag hoger is.

De cijfers spreken voor zich: meer dan 40% van de Duitse bedrijven gebruikt al AI-tools in hun dagelijkse activiteiten, maar minder dan 15% heeft een formeel AI-governancekader ingevoerd. Dat betekent dat de meerderheid van de organisaties achterloopt op een deadline die minder dan twee jaar verwijderd is.

De EU AI Act: structuur en tijdlijn

De EU AI Act hanteert een risicogebaseerde aanpak. Niet alle AI-systemen worden gelijk behandeld - hoe groter het risico dat een systeem vormt voor gezondheid, veiligheid of grondrechten, hoe strenger de regels.

Belangrijke data

De deadline van augustus 2026 is de meest kritieke voor de meeste bedrijven. Op dat moment treden de belangrijkste complianceverplichtingen voor hoog-risico AI-systemen in werking.

Risicocategorieën toegelicht

De EU AI Act deelt AI-systemen in vier risiconiveaus in. Uw complianceverplichtingen hangen volledig af van de categorie waarin uw AI-systeem valt.

Onaanvaardbaar risico (verboden)

Deze AI-praktijken zijn volledig verboden sinds februari 2025:

• Social scoring door overheden of particuliere bedrijven
• Real-time biometrische identificatie op afstand in openbare ruimten (met beperkte uitzonderingen voor wetshandhaving)
• Subliminale manipulatietechnieken die schade veroorzaken
• Uitbuiting van kwetsbaarheden van specifieke groepen (leeftijd, handicap)
• Voorspellend politiewerk dat uitsluitend gebaseerd is op profilering
• Emotieherkenning op werkplekken en in onderwijsinstellingen
• Ongericht verzamelen van gezichtsafbeeldingen van internet of CCTV voor het aanleggen van databases

Hoog risico

AI-systemen in de volgende domeinen vallen onder de strengste vereisten - conformiteitsbeoordelingen, documentatie, menselijk toezicht en doorlopende monitoring:

• Kritieke infrastructuur - beheer van energie, transport, water en digitale infrastructuur
• Onderwijs - systemen die toegang tot onderwijs bepalen of studenten beoordelen
• Werkgelegenheid - wervingstools, cv-screening, prestatiebeoordeling, promotiebeslissingen
• Essentiële diensten - kredietscoringen, verzekeringsprijzen, toegang tot sociale voorzieningen
• Wetshandhaving - risicobeoordelingstools, leugendetectoren, bewijsevaluatie
• Migratie en grenscontrole - visumaanvragen, asielaanvragen
• Justitie en democratie - systemen die rechterlijke beslissingen ondersteunen

Beperkt risico (transparantieverplichtingen)

AI-systemen die rechtstreeks met mensen communiceren, moeten kenbaar maken dat het om AI gaat. Dit geldt voor chatbots, door AI gegenereerde inhoud en deepfakes. Gebruikers moeten worden geïnformeerd dat ze met een AI-systeem communiceren, en door AI gegenereerde of gemanipuleerde inhoud moet als zodanig worden gemarkeerd.

Minimaal risico

De meeste AI-toepassingen vallen in deze categorie - spamfilters, AI-ondersteunde ontwerptools, aanbevelingssystemen, voorraadbeheer. Er gelden geen specifieke verplichtingen onder de EU AI Act, hoewel vrijwillige gedragscodes worden aangemoedigd.

Wat compliance voor hoog risico in de praktijk inhoudt

Als uw AI-systeem als hoog-risico wordt geclassificeerd, dient u vóór augustus 2026 het volgende op orde te hebben:

• Risicobeheersysteem - doorlopende identificatie, analyse en beheersing van risico's gedurende de gehele levenscyclus van het AI-systeem
• Datagovernance - trainings-, validatie- en testdatasets moeten voldoen aan kwaliteitscriteria. Detectie en beperking van bias zijn verplicht
• Technische documentatie - gedetailleerde verslaglegging van het doel, de architectuur, het trainingsproces, de prestatiemetrieken en de bekende beperkingen van het systeem
• Registratie en logging - automatische registratie van systeemactiviteiten om traceerbaarheid en analyse na incidenten mogelijk te maken
• Transparantie - duidelijke instructies voor inzetters, inclusief beoogd gebruik, prestatieniveaus en bekende risico's
• Menselijk toezicht - mechanismen waarmee menselijke operators het AI-systeem kunnen monitoren, ingrijpen en beslissingen kunnen overrulen
• Nauwkeurigheid, robuustheid en cyberbeveiliging - systemen moeten consistent presteren en bestand zijn tegen aanvallen en datamanipulatie

Voor aanbieders die hoog-risico AI-systemen op de EU-markt brengen, is een conformiteitsbeoordeling vereist vóór ingebruikname. Afhankelijk van het domein wordt deze zelfbeoordeeld of uitgevoerd door een aangemelde instantie (externe auditor).

General-purpose AI-modellen (GPAI)

Sinds augustus 2025 moeten aanbieders van general-purpose AI-modellen - waaronder grote taalmodellen - voldoen aan transparantievereisten:

• Technische documentatie met een beschrijving van de mogelijkheden en beperkingen van het model
• Naleving van auteursrecht - een voldoende gedetailleerde samenvatting van de inhoud van de trainingsdata, in overeenstemming met het EU-auteursrecht
• Transparantie naar afnemers - het verstrekken van informatie waarmee inzetters hun eigen verplichtingen kunnen nakomen

GPAI-modellen die worden geclassificeerd als systeemrisico (doorgaans modellen getraind met meer dan 10^25 FLOP's) zijn onderworpen aan aanvullende verplichtingen: adversarial testing, incidentrapportage, cyberbeveiligingsmaatregelen en rapportage over energieverbruik.

Duitslands rol en nationale implementatie

Als EU-verordening geldt de AI Act rechtstreeks in alle lidstaten zonder dat nationale omzetting vereist is. Elke lidstaat moet echter nationale bevoegde autoriteiten aanwijzen voor markttoezicht en handhaving.

Duitsland heeft de oorspronkelijke deadline van augustus 2025 voor het aanwijzen van deze autoriteiten gemist, maar de situatie neemt nu vorm aan:

• BNetzA (Bundesnetzagentur) - aangewezen als Duitslands primaire toezichthouder op de AI-markt, die de handhaving in verschillende sectoren coördineert
• BSI (Bundesamt für Sicherheit in der Informationstechnik) - verantwoordelijk voor cyberbeveiligingsaspecten van AI-systemen, en verstrekt technische normen en richtlijnen
• BfDI (Bundesbeauftragter für den Datenschutz) - betrokken wanneer AI-systemen persoonsgegevens verwerken, zodat afstemming met de AVG is gewaarborgd
• Sectorspecifieke toezichthouders - BaFin (financiële dienstverlening), BAuA (arbeidsveiligheid) en andere instanties houden toezicht op AI binnen hun respectievelijke domeinen

De BNetzA heeft ook een AI Service Desk ingericht (operationeel sinds begin 2026) als eerste aanspreekpunt voor bedrijven met vragen over naleving van de AI Act. Dit is met name nuttig voor mkb-bedrijven die moeite hebben de verordening te interpreteren.

Duitsland speelt ook een actieve rol in de ontwikkeling van AI-normen via DIN en DKE (de Duitse normalisatie-instanties), en levert bijdragen aan Europese geharmoniseerde normen die de compliancebenchmarks voor de AI Act zullen bepalen.

Belangrijke certificeringen en normen

Hoewel de EU AI Act geen specifieke certificeringen voorschrijft, zijn er verschillende normen die in de praktijk de aangewezen weg zijn om compliance aan te tonen.

ISO/IEC 42001 - AI-managementsysteem

Gepubliceerd in december 2023, is dit de eerste internationale norm voor AI-managementsystemen. Het biedt organisaties een gestructureerd kader voor het beheren van AI-risico's, governance en verantwoorde ontwikkeling. Beschouw het als ISO 27001 voor AI - een certificeerbare managementsysteemnorm.

• Wat het omvat: AI-beleid, risicobeoordeling, rollen en verantwoordelijkheden, gegevensbeheer, prestatiebeoordeling, continue verbetering
• Wie het moet nastreven: Elke organisatie die AI-systemen ontwikkelt of inzet, met name organisaties in hoog-risico categorieën onder de EU AI Act
• Certificering: Beschikbaar via geaccrediteerde certificerende instellingen. Audits volgen dezelfde structuur als ISO 27001 (fase 1 en fase 2)

Andere relevante normen

De CEN/CENELEC geharmoniseerde normen zijn bijzonder belangrijk. Zodra ze zijn gepubliceerd, creëren ze een 'vermoeden van conformiteit' - wat betekent dat een AI-systeem dat aan deze normen voldoet, wordt vermoed te voldoen aan de corresponderende vereisten van de EU AI Act. Deze normen worden gedurende 2025 en 2026 verwacht.

Sancties bij niet-naleving

De EU AI Act introduceert een gelaagde sanctiestructuur die schaalt met de ernst van de overtreding:

Voor het midden- en kleinbedrijf en startups zijn boetes gemaximeerd op het lagere van deze drempelwaarden, proportioneel berekend. Maar de reputatieschade als gevolg van niet-naleving kan het grotere bedrijfsrisico zijn - met name in B2B-contexten waar opdrachtgevers toenemend bewijs van AI-compliance van hun leveranciers zullen eisen.

AVG en de AI Act: waar ze elkaar overlappen

Als uw AI-systeem persoonsgegevens verwerkt - en dat doet de meerderheid - moet u voldoen aan zowel de AVG als de AI Act. Ze zijn complementair, niet conflicterend:

• AVG regelt hoe persoonsgegevens worden verzameld, verwerkt en opgeslagen - inclusief trainingsdata voor AI-modellen
• AI Act regelt het AI-systeem zelf - het ontwerp, de tests, de ingebruikname en de doorlopende monitoring
• Gegevensbeschermingseffectbeoordelingen (DPIA's) onder de AVG sluiten nauw aan bij de risicobeoordelingen van de AI Act voor hoog-risico systemen
• Geautomatiseerde besluitvorming onder AVG artikel 22 geeft personen al het recht om door AI genomen beslissingen aan te vechten - de AI Act voegt hier technische vereisten aan toe

Organisaties die al beschikken over volwassen AVG-processen hebben een voorsprong. De documentatie-, effectbeoordelings- en governancekaders vertonen aanzienlijke overlap.

Praktische stappen: wat u nu kunt doen

Of u nu een startup bent die een chatbot inzet of een groot bedrijf dat AI-gestuurde kredietbeoordelingen uitvoert - hier is een concreet actieplan:

1. Breng uw AI-systemen in kaart

Inventariseer elk AI-systeem dat uw organisatie ontwikkelt, inzet of gebruikt. Neem ook AI-tools van derden mee (CRM-scoring, wervingsplatforms, analytics). Classificeer elk systeem aan de hand van de risicocategorieën van de EU AI Act.

2. Bepaal uw rol

De AI Act maakt onderscheid tussen aanbieders (die AI-systemen ontwikkelen of op de markt brengen) en inzetters (die ze gebruiken). Uw verplichtingen verschillen aanzienlijk op basis van uw rol. Als u een AI-tool van een derde partij gebruikt, bent u een inzetter - maar u heeft nog steeds verplichtingen op het gebied van transparantie, toezicht en monitoring.

3. Gap-analyse ten opzichte van de hoog-risico vereisten

Beoordeel voor alle hoog-risico AI-systemen uw huidige situatie aan de hand van de zeven kernvereisten: risicobeheer, datagovernance, documentatie, logging, transparantie, menselijk toezicht en robuustheid. Stel de tekortkomingen vast en prioriteer herstelmaatregelen.

4. Implementeer AI-governance

Stel een AI-governancekader op - beleid, rollen en processen voor het verantwoord beheren van AI-systemen. ISO/IEC 42001 biedt een kant-en-klare structuur. Zelfs als u geen certificering nastreeft, geeft het kader u een verdedigbare basisstructuur.

5. Bereid u voor op conformiteitsbeoordelingen

Als u hoog-risico AI-systemen aanbiedt, begin dan nu met het opstellen van technische documentatie, testprotocollen en kwaliteitsbeheersystemen. Het conformiteitsbeoordelingsproces vereist bewijs van compliance op alle zeven vereistgebieden.

6. Train uw teams

De AI Act vereist expliciet dat personeel dat betrokken is bij AI-systemen over voldoende AI-geletterdheid beschikt. Dit is geen aanbeveling - artikel 4 maakt het verplicht. Investeer in training voor ontwikkelaars, productmanagers, complianceteams en directieleden.

Wat dit betekent voor uw website en digitale producten

Als uw website gebruikmaakt van AI-functies - chatbots, personalisatie-engines, aanbevelingssystemen, geautomatiseerde contentgeneratie - valt u waarschijnlijk op zijn minst onder de transparantieverplichtingen voor beperkt risico.

• AI-chatbots moeten kenbaar maken dat het AI-systemen zijn voordat de interactie begint
• Door AI gegenereerde inhoud op uw website moet als zodanig worden gelabeld wanneer deze verward kan worden met door mensen gecreëerde inhoud
• Personalisatie- en profileringssystemen kunnen AVG- en AI Act-verplichtingen triggeren, afhankelijk van de impact op gebruikers
• Door AI aangedreven formulieren en scoringssystemen (leadscoringen, geschiktheidscontroles) moeten worden beoordeeld op risicoklassificatie

Dit goed aanpakken gaat niet alleen over compliance - het bouwt vertrouwen. Gebruikers verwachten steeds vaker transparantie over wanneer en hoe AI wordt ingezet. Een duidelijk AI-openbaringsbeleid kan een concurrentievoordeel zijn.

Vervolgstappen

AI-regelgeving in Europa vertraagt niet. Het kader staat vast, de deadlines liggen vast en de handhavingsmechanismen worden ingericht. Bedrijven die dit als een probleem voor 2027 beschouwen, zullen zich in de problemen werken - de deadline van augustus 2026 voor hoog-risico systemen is nog maar enkele maanden weg.

Bij webvise bouwen we digitale producten met compliance in gedachten. Of u nu de AI-functies van uw website wilt laten beoordelen op EU AI Act compliance, de juiste openbaringsmechanismen wilt implementeren of een volledige technische audit van uw digitale aanwezigheid wenst, neem contact op en wij helpen u de weg te vinden in het regelgevingslandschap.