AI Act in 2026: wat moet je als bedrijf nu regelen?

Veel bedrijven praten over de AI Act alsof die pas in 2026 begint. Dat klopt niet. Sinds 2 februari 2025 gelden in de EU al regels rond verboden AI-praktijken en AI-geletterdheid. Vanaf 2 augustus 2026 wordt het grootste deel van de resterende regels toepasbaar en start de handhaving op nationaal en EU-niveau. Gebruik je AI in je bedrijf, laat je AI-software bouwen of zet je AI in richting klanten, dan is dit het moment om je basis op orde te brengen.

De praktische vraag is niet of elk bedrijf nu ineens onder elk artikel van de wet valt. De vraag is eenvoudiger: weet je waar AI in jouw organisatie wordt gebruikt, wie daarvoor verantwoordelijk is en waar een mens moet kunnen ingrijpen? Voor veel bedrijven is precies daar nu het echte werk te doen.

Wat is de AI Act in gewone taal?

De AI Act is het Europese regelkader voor artificiële intelligentie. Op de officiele AI Act-pagina van de Europese Commissie wordt die wet uitgelegd als een risicogebaseerd systeem: hoe groter de mogelijke impact op veiligheid, grondrechten of maatschappelijke schade, hoe zwaarder de verplichtingen.

Dat is belangrijk, omdat de AI Act niet zegt dat elke chatbot, teksttool of automatisering meteen hetzelfde risico heeft. Veel toepassingen blijven relatief licht. Tegelijk klopt het ook niet om te denken dat de wet alleen relevant is voor de grote modelbouwers. Ook bedrijven die AI-systemen gebruiken, integreren of laten ontwikkelen kunnen met concrete verplichtingen te maken krijgen.

Waarom dit juist nu relevant is

Op de officiele tijdlijn van de AI Act Service Desk staan vier data die bedrijven in 2026 moeten kennen.

• 2 februari 2025: verboden AI-praktijken, definities en AI-geletterdheid gaan gelden.
• 2 augustus 2025: regels voor general-purpose AI-modellen en governance gaan gelden.
• 2 augustus 2026: het grootste deel van de AI Act wordt toepasbaar, waaronder transparantieregels voor bepaalde AI-systemen, en de handhaving start.
• 2 augustus 2027: regels voor high-risk AI die is ingebouwd in bepaalde gereguleerde producten volgen later.

De Europese Commissie noemt op haar Navigating the AI Act-pagina ook dat er in november 2025 via het Digital Omnibus-pakket een voorstel is gedaan om delen van de planning rond high-risk regels te koppelen aan beschikbare ondersteunende standaarden en richtlijnen. Dat is relevant, maar het is nog geen afgeronde vrijstelling. Voor gewone bedrijven is het dus onverstandig om dit te lezen als een reden om tot 2026 of 2027 af te wachten.

Geldt dit ook als je alleen AI-tools gebruikt?

Vaak wel, maar niet op dezelfde manier als voor een aanbieder van een foundation model. In de FAQ van de Europese Commissie over AI literacy staat expliciet dat organisaties moeten kijken naar hun rol. Ontwikkel of lever je zelf een AI-systeem, of gebruik je vooral een systeem dat door een andere partij is gebouwd?

Een team dat AI alleen gebruikt voor interne eerste concepten zit in een andere situatie dan een bedrijf dat AI inzet om sollicitanten te screenen, klantaanvragen te prioriteren of websitebezoekers automatisch advies te geven. Juist dat verschil in impact bepaalt hoeveel zorgvuldigheid je nodig hebt.

Voor veel mkb-bedrijven zit de eerste praktische relevantie niet bij de zware regels voor general-purpose AI-modellen. Die spelen vooral aan de kant van de modelaanbieders. De eerste relevante laag zit meestal hier:

1. Medewerkers gebruiken AI in processen met echte impact. Denk aan klantenservice, recruitment, intake, contentpublicatie of interne besluitvorming.
2. Een AI-uitkomst krijgt te snel gezag. Iemand neemt een samenvatting, score of voorstel over zonder goede controle.
3. Niemand heeft eigenaarschap. De tool is er wel, maar niemand bewaakt gebruik, risico of grenzen.

Dat maakt de AI Act voor gewone bedrijven minder abstract dan veel mensen denken. Niet omdat ieder bedrijf een modelbouwer is, maar omdat AI steeds vaker onderdeel wordt van echte werkprocessen.

Wat je niet meteen nodig hebt

Dezelfde FAQ is ook nuttig omdat die iets wegneemt. Je hebt niet automatisch een certificaat, een formele AI-officer of een nieuw governance-orgaan nodig om aan de basis van artikel 4 te voldoen. De Commissie zegt expliciet dat er geen certificaat nodig is en dat geen specifieke governance-structuur verplicht is voor deze bepaling.

Dat is goede nuance. Veel bedrijven slaan bij nieuwe regelgeving meteen door naar papierwerk. Voor de AI Act is de eerste stap meestal praktischer: weten welke systemen je gebruikt, bepalen waar risico zit en gerichte training organiseren voor de mensen die ermee werken.

Waar bedrijven nu het vaakst de fout in gaan

Geen overzicht van AI-gebruik

In veel organisaties zit AI al op meer plekken dan het management denkt. ChatGPT voor tekstwerk. Copilots in Office. Transcriptie in meetings. AI-features in CRM, supporttools of marketingsoftware. Zolang dat verspreid groeit zonder inventaris, kun je risico's ook niet serieus beoordelen.

AI-geletterdheid verwarren met een losse workshop

De Commissie maakt in haar AI literacy-FAQ duidelijk dat alleen de gebruiksinstructies van een tool laten lezen vaak niet genoeg is. Training moet passen bij het kennisniveau van de gebruiker, de context en het doel van het systeem. Een marketeer die AI gebruikt voor eerste contentopzetten heeft andere begeleiding nodig dan een medewerker die AI inzet in sollicitaties of klantacceptatie.

Denken dat de leverancier alles oplost

Een softwareleverancier kan veel afdekken, maar niet jouw interne besluitvorming. Zodra AI in jouw proces zit, blijft jouw kant belangrijk: welke data voer je in, wanneer moet een mens controleren, wie mag de uitkomst gebruiken en wanneer mag dat juist niet?

Geen plan voor transparantie richting gebruikers

Volgens de uitleg bij artikel 50 van de AI Act Service Desk gaan vanaf 2 augustus 2026 transparantieverplichtingen gelden voor bepaalde AI-systemen. Mensen moeten in sommige gevallen weten dat ze direct met AI interacteren, en AI-gegenereerde of gemanipuleerde content moet onder voorwaarden duidelijk herkenbaar zijn. Voor bedrijven met chatbots, assistenten, geautomatiseerde content of publieke AI-uitingen is dit geen randzaak.

Een praktisch startplan voor bedrijven die AI gebruiken of laten bouwen

Je hoeft hier geen juridisch project van drie maanden van te maken om verstandig te beginnen. Wel moet de basis er nu komen. Dit is een werkbare volgorde.

1. Maak een AI-inventaris. Zet op één lijst welke tools, ingebouwde AI-features en maatwerksystemen je organisatie gebruikt.
2. Markeer gevoelige processen. Kijk extra scherp naar recruitment, intake, scoring, support, contentpublicatie, klantcommunicatie en interne beslisondersteuning.
3. Wijs eigenaarschap toe. Iemand moet verantwoordelijk zijn voor beleid, leveranciersvragen, training en escalatie.
4. Leg human oversight vast. Bepaal bij welke uitkomsten een medewerker moet controleren, goedkeuren of ingrijpen.
5. Train per rol. AI-geletterdheid is geen generieke sessie voor iedereen, maar praktische begeleiding per team en per use case.
6. Check je leveranciers en maatwerkpartners. Vraag hoe zij omgaan met documentatie, logging, modelkeuze, datagebruik, updates en risicobeperking.

Voor bedrijven die AI-software laten ontwikkelen of AI in hun website, portaal of interne systemen willen integreren, is dit extra belangrijk. Dan verschuift de vraag van "kunnen we dit bouwen?" naar "kunnen we dit ook aantoonbaar verantwoord inzetten?"

Waar BLB Solutions het verschil kan maken

De lastigste stap zit zelden in de theorie van de wet. Die zit in de vertaalslag naar je echte proces. Hoe ontwerp je een AI-flow waarbij een gebruiker niet wordt misleid? Hoe zorg je dat een medewerker weet wanneer hij een AI-uitkomst mag vertrouwen en wanneer niet? Hoe bouw je een chatbot, intake of samenvattingsflow die technisch handig is, maar bestuurlijk ook klopt?

Dat is precies het punt waar strategie, UX en development samenkomen. Voor bedrijven die AI niet alleen willen testen maar echt willen inzetten, wordt compliance snel een ontwerpvraag. En ontwerpvragen los je het beste vroeg op, niet pas vlak voor handhaving.

De kern

Voor bedrijven in 2026 is de AI Act geen toekomstverhaal meer. Een deel geldt al sinds 2 februari 2025. De volgende grote stap volgt op 2 augustus 2026, wanneer het grootste deel van de regels toepasbaar wordt en de handhaving echt start.

De beste voorbereiding is niet paniek en ook geen papieren schijnzekerheid. Het is een helder overzicht van je AI-gebruik, passende training voor medewerkers en een nuchtere beoordeling van waar AI in jouw processen echt impact heeft. Wil je AI inzetten of laten bouwen op een manier die technisch werkt en bestuurlijk klopt, dan helpt BLB Solutions je om dat praktisch in te richten.

Referenties

• European Commission. (2026). AI Act. https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
• European Commission. (2026). Navigating the AI Act. https://digital-strategy.ec.europa.eu/en/faqs/navigating-ai-act
• European Commission. (2025). AI Literacy - Questions & Answers. https://digital-strategy.ec.europa.eu/en/faqs/ai-literacy-questions-answers
• AI Act Service Desk. (2026). Timeline for the Implementation of the EU AI Act. https://ai-act-service-desk.ec.europa.eu/en/ai-act/timeline/timeline-implementation-eu-ai-act
• AI Act Service Desk. (2026). Article 50: Transparency obligations for providers and deployers of certain AI systems. https://ai-act-service-desk.ec.europa.eu/en/ai-act/article-50