Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > EU AI-wet Deadline van 2 augustus 2026 is over zes weken. De meeste organisaties zijn nog niet klaar.
EU AI-wet Deadline van 2 augustus 2026 is over zes weken. De meeste organisaties zijn nog niet klaar.

EU AI-wet Deadline van 2 augustus 2026 is over zes weken. De meeste organisaties zijn nog niet klaar.

by Marc ten Eikelder updated juni 23, 2026 Wettelijke naleving
Reading Time: 17 minutes

Over zes weken gaan de EU AI Act compliance verplichtingen voor high-risk AI-systemen juridisch in. Artikelen 9 tot en met 17 en Artikel 26 van de EU AI Act, die gelden voor gebruikers van Annex III high-risk AI-systemen, zijn vanaf 2 augustus 2026 afdwingbaar. De maximale boete is fors: tot €15 miljoen of 3% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Voor de meeste middelgrote en grote ondernemingen is dat geen verwaarloosbare boete.

Een politiek akkoord dat EU-wetgevers op 7 mei 2026 bereikten, gaf aan dat men bereid is bepaalde implementatietermijnen te herzien. Sommige organisaties hebben dat opgevat als toestemming om hun complianceprogramma’s tijdelijk stop te zetten. Die interpretatie is juridisch riskant. Per juni 2026 is het akkoord van 7 mei nog niet omgezet in wetgeving. 2 augustus blijft de geldende datum. Organisaties die wachten tot de herziene termijn het wetgevingsproces heeft doorlopen, riskeren de deadline te missen zonder de controles, documentatie of governance-infrastructuur die de wet vereist.

Het compliance-gat is reëel en meetbaar. Slechts 37% van de organisaties heeft AI-governancebeleid geïmplementeerd, volgens onderzoek gepubliceerd in juni 2026. Tegelijkertijd gebruikt meer dan 80% van de medewerkers niet-goedgekeurde AI-tools, een patroon dat beveiligingsonderzoekers shadow IT noemen. Die combinatie – brede AI-adoptie zonder governance – is precies het scenario waarvoor toezichthouders van de EU AI Act de verplichtingen voor gebruikers hebben ontworpen. Het is bovendien een scenario dat gelijktijdige blootstelling creëert onder recent ingevoerde Amerikaanse staatswetten.

Voor organisaties actief in juridische dienstverlening, de financiële sector, life sciences, arbeidsmarkt en andere sectoren waar Annex III AI-systemen daadwerkelijk worden ingezet, zijn de komende zes weken geen wachttijd. Het is een sprint naar de deadline. In dit artikel wordt uiteengezet wat de wet vereist, waar de meeste organisaties tekortschieten en hoe u het compliance-gat vóór 2 augustus kunt dichten.

Belangrijkste inzichten

1. 2 augustus 2026 blijft de afdwingbare deadline

Het politieke akkoord van 7 mei 2026 over herziene termijnen is niet omgezet in wetgeving – 2 augustus blijft leidend voor gebruikers van Annex III high-risk AI-systemen, en de maximale boete bedraagt €15 miljoen of 3% van de wereldwijde jaaromzet.

2. Shadow AI is een actief datalek, geen toekomstig risico

Meer dan 80% van de medewerkers gebruikt niet-goedgekeurde AI-tools, en juridisch werkproduct vertegenwoordigt 22,3% van de gevoelige data die via deze kanalen uitlekt, wat leidt tot gelijktijdige blootstelling aan de EU AI Act en datalekken.

3. De Colorado AI Act is al van kracht

Colorado werd de eerste Amerikaanse staat die per 1 juni 2026 expliciete verplichtingen oplegt aan gebruikers van high-risk AI-systemen – complianceprogramma’s die zich alleen op de EU richten en de Amerikaanse wetgeving negeren, zijn slechts half af.

4. Menselijk toezicht en logging vereisen technische infrastructuur, niet alleen beleid

Artikel 26 vereist operationele menselijke toezichtcontroles en automatische eventlogging op het juiste detailniveau – beleidsverklaringen en vastgelegde intenties voldoen niet aan deze vereisten.

5. Shadow AI-incidenten brengen gemiddeld $670.000 extra datalekschade met zich mee

Het financiële argument om shadow AI-kanalen te sluiten is kwantificeerbaar: gemiddeld $670.000 aan extra datalekschade en een detectievenster van 247 dagen maken AI-governance tot een financieel risicobeheerprobleem.

Welke Data Compliance Standards zijn relevant?

Lees nu

Wat vereist de EU AI Act nu echt van gebruikers?

De EU AI Act maakt onderscheid tussen aanbieders (organisaties die AI-systemen ontwikkelen of op de markt brengen) en gebruikers (organisaties die AI-systemen inzetten in een professionele context). De meeste ondernemingen vallen in de categorie gebruikers. De verplichtingen voor gebruikers van Annex III high-risk AI-systemen zijn omvangrijk en operationeel specifiek.

Artikel 26 verplicht gebruikers om menselijke toezichtmaatregelen te implementeren, AI-systemen te gebruiken volgens de instructies van de aanbieder, het systeemgebruik te monitoren en ernstige incidenten te melden bij de relevante markttoezichthouder. Dit zijn geen streefdoelen. Het zijn afdwingbare vereisten met verplichte documentatie.

Artikelen 9 tot en met 17 voegen extra vereisten toe die direct van invloed zijn op hoe organisaties gegevensbeheer voor AI-systemen organiseren. Artikel 10 vereist passend gegevensbeheer, waaronder criteria voor datakwaliteit, processen voor datavoorbereiding en maatregelen om mogelijke bias aan te pakken. Dit is vooral relevant voor AI-systemen die worden gebruikt bij werving, kredietverlening, onderwijs, rechtshandhaving en toegang tot essentiële diensten – allemaal opgenomen in Annex III.

Transparantieverplichtingen onder Artikel 13 vereisen dat high-risk AI-systemen zo zijn ontworpen dat gebruikers de uitkomsten kunnen interpreteren, en dat informatie aan gebruikers wordt verstrekt in een vorm die geïnformeerd gebruik mogelijk maakt. Loggingvereisten onder Artikel 12 verplichten automatische registratie van gebeurtenissen gedurende de levensduur van het systeem, op een detailniveau dat past bij het doel van het systeem. Als uw organisatie geen volledige audit log kan overleggen van hoe een Annex III AI-systeem tot een belangrijke beslissing is gekomen, voldoet u niet aan de eisen.

De boetestructuur weerspiegelt hoe serieus EU-toezichthouders deze vereisten nemen. Tot €15 miljoen of 3% van de wereldwijde jaaromzet voor niet-naleving van gebruikersverplichtingen plaatst deze boetes in dezelfde categorie als ernstige GDPR compliance-overtredingen. Organisaties die al ervaring hebben met GDPR, zullen het patroon herkennen: te weinig investeren in compliance-infrastructuur leidt tot onevenredig dure herstelmaatregelen.

Annex III begrijpen: welke AI-systemen vallen daadwerkelijk onder de wet?

Annex III van de EU AI Act noemt acht categorieën high-risk AI-systemen. Begrijpen welke categorieën op uw organisatie van toepassing zijn, is het startpunt voor elk complianceprogramma. Veel organisaties zullen merken dat hun Annex III-blootstelling breder is dan ze aanvankelijk dachten.

De acht categorieën zijn: biometrische identificatie- en categorisatiesystemen; AI-systemen voor beheer van kritieke infrastructuur (energie, water, transport, digitale infrastructuur); AI-systemen in onderwijs en beroepsopleiding (toelating, beoordeling, toezicht, leerprestaties); AI-systemen voor werkgelegenheid en personeelsbeheer (werving, screening van kandidaten, prestatiebeoordeling, taaktoewijzing); AI-systemen die bepalen wie toegang krijgt tot essentiële particuliere of publieke diensten en voordelen (kredietwaardigheid, verzekeringsrisicobeoordeling, prioritering van noodhulp); AI voor rechtshandhaving (risicobeoordeling, criminaliteitsanalyse, bewijswaardering); AI voor migratie, asiel en grensbewaking; en AI-systemen voor het beheer van justitie en democratische processen (ondersteuning voor rechtbanken, tools voor verkiezingsintegriteit).

Voor de meeste middelgrote tot grote ondernemingen zijn de categorieën werkgelegenheid en financiële sector de meest voorkomende bronnen van Annex III-blootstelling. AI-ondersteunde cv-screening, geautomatiseerde planningshulpmiddelen voor sollicitatiegesprekken met rangschikking van kandidaten, prestatiebeheersystemen met algoritmische scores en modellen voor kredietwaardigheid vallen allemaal binnen de scope. Juridische, HR- en financiële teams die AI-ondersteunde workflowtools hebben ingezet zonder formeel AI-gegevensbeheer, moeten dit als een urgente inventarisatietaak zien.

De onderwijs- en zorgsector hebben aanvullende scope-overwegingen. AI-systemen voor medische beeldvorming, klinische besluitvorming, behandeladvies en risicostratificatie van patiënten kunnen als high-risk AI onder Annex III kwalificeren, afhankelijk van de specifieke toepassing en de mate waarin de uitkomsten invloed hebben op belangrijke klinische beslissingen. Instellingen in deze sectoren moeten hun Annex III-scopebepaling uitvoeren met juridisch advies van experts die zowel de definities van de EU AI Act als het bestaande compliancekader van hun sector kennen.

Artikel 10 gegevensbeheer: het meest operationeel veeleisende vereiste

Van de vereisten uit de artikelen 9 tot en met 17 is Artikel 10 vaak het lastigst te implementeren. Het vereist dat trainings-, validatie- en testdatasets voldoen aan kwaliteitscriteria die passen bij het beoogde doel van het systeem, onderworpen zijn aan passend gegevensbeheer, worden onderzocht op mogelijke bias, en volledig zijn met de juiste statistische eigenschappen voor de use case.

Voor organisaties die hun AI-systemen niet zelf hebben gebouwd – wat voor de meeste gebruikers geldt – is voldoen aan Artikel 10 deels een kwestie van zorgvuldigheid richting leveranciers en documentatie, in plaats van directe controle over modeltraining. Gebruikers moeten technische documentatie van AI-aanbieders opvragen die ingaat op de vereisten van Artikel 10 en deze aanvullen met eigen documentatie over hoe ze het systeem hebben geconfigureerd, welke data ze als input leveren en welke biasbeoordelingen ze hebben uitgevoerd op de output in hun specifieke inzet.

Artikel 10 heeft bovendien een doorlopend karakter: het is geen eenmalige certificering. Naarmate AI-systemen evolueren, aanbieders modelupdates uitrollen en organisaties hun gebruik aanpassen, moet de gegevensbeheerdocumentatie worden bijgewerkt om de actuele situatie van de inzet te weerspiegelen. Het toepassen van dataminimalisatie op de data die aan AI-systemen wordt gevoed, is een praktisch startpunt – door input te beperken tot de minimaal benodigde data voor het beoogde doel, vermindert u zowel biasrisico als data-exposure.

Het Shadow AI-probleem maakt compliance lastiger

Het grootste structurele obstakel voor EU AI Act compliance bij de meeste ondernemingen is shadow AI: het gebruik van niet-goedgekeurde, niet-gereguleerde AI-tools door medewerkers die niet wachten op een officieel AI-beleid. Onderzoek uit juni 2026 laat de schaal van het probleem scherp zien. Meer dan 80% van de medewerkers gebruikt niet-goedgekeurde AI-tools. Slechts 37% van de organisaties heeft AI-governancebeleid. Dat gat – 80% adoptie tegenover 37% governance – is waar de compliance-risico’s zich bevinden.

De patronen van datalekken door shadow AI zijn specifiek en zorgwekkend. Broncode is goed voor 30% van wat medewerkers in niet-goedgekeurde AI-tools plakken. Juridisch werkproduct is goed voor 22,3%. Data over fusies en overnames voor 12,6%. Dit zijn geen categorieën met lage gevoeligheid. Juridisch werkproduct is precies het type gevoelige informatie dat de EU AI Act met haar gegevensbeheervereisten wil beschermen. Het is ook precies de categorie waar rechtbanken AI-gebruik steeds kritischer bekijken. Dataclassificatie is de basiscontrole waarmee organisaties kunnen bepalen welke content medewerkers nooit via niet-goedgekeurde AI-kanalen mogen verwerken.

WilmerHale meldde in februari 2026 dat rechtbanken advocaten verantwoordelijk beginnen te houden voor AI-hallucinaties in juridische stukken. Als advocaten niet-goedgekeurde AI-tools gebruiken voor het opstellen van stukken en die stukken bevatten verzonnen verwijzingen, is het gevolg niet alleen professionele schaamte. Het leidt tot sancties, aansprakelijkheid voor beroepsfouten en steeds meer rechterlijke aandacht voor het AI-governancebeleid van het kantoor. De combinatie van shadow AI, juridisch werkproduct en toezicht door toezichthouders maakt AI governance een institutioneel risico, niet alleen een IT-beleid.

Het financiële argument om shadow AI-kanalen te sluiten is minstens zo duidelijk. Organisaties die te maken krijgen met AI-gerelateerde datalekken, incasseren gemiddeld $670.000 aan extra kosten. Het gemiddelde detectievenster voor shadow AI-incidenten is 247 dagen. Beide cijfers wijzen op dezelfde conclusie: shadow AI is geen theoretisch governanceprobleem. Het is een incidentkost die zich de komende acht maanden zal manifesteren bij organisaties die nu niet handelen.

Het sluiten van shadow AI-kanalen vereist inzicht in welke AI-tools medewerkers daadwerkelijk gebruiken, controles die gevoelige data via goedgekeurde systemen leiden, en Kiteworks secure file sharing-infrastructuur die medewerkers een gereguleerd alternatief biedt dat ze daadwerkelijk willen gebruiken. Als de goedgekeurde optie omslachtig is en de niet-goedgekeurde optie moeiteloos werkt, zullen medewerkers de niet-goedgekeurde optie blijven kiezen, ongeacht het beleid.

De Colorado AI Act creëert parallelle Amerikaanse blootstelling

EU AI Act compliance was niet de enige deadline waarmee organisaties in de eerste helft van 2026 werden geconfronteerd. De Colorado Artificial Intelligence Act is op 1 juni 2026 van kracht geworden, waarmee Colorado de eerste Amerikaanse staat is die expliciete verplichtingen oplegt aan gebruikers van high-risk AI-systemen. Voor organisaties die al werken aan EU AI Act compliance, creëert de wet van Colorado een parallel compliance-traject dat vergelijkbare concepten gebruikt, maar verschilt in de praktische uitvoering.

De wet van Colorado legt een zorgplicht op aan gebruikers van high-risk AI-systemen, gedefinieerd als het beschermen van consumenten tegen algoritmische discriminatie. Er zijn bias impact assessments vereist vóór de inzet van high-risk AI-systemen en periodieke herbeoordelingen daarna. Transparantieverklaringen aan consumenten zijn verplicht wanneer high-risk AI invloed heeft op belangrijke beslissingen die hen raken. En organisaties moeten governance-documentatie bijhouden die aantoont dat aan deze verplichtingen wordt voldaan.

De conceptuele overlap met de EU AI Act is groot. Beide regimes vereisen dat gebruikers hun AI-systemen documenteren, risico’s beoordelen, menselijk toezicht implementeren en transparant zijn richting betrokkenen. Organisaties die compliance-infrastructuur bouwen voor het ene regime, zullen merken dat veel daarvan ook voor het andere geldt. Dezelfde gegevensbeheer-kaders, dezelfde loggingpraktijken en dezelfde toezichtmechanismen zijn toepasbaar in beide regimes.

De praktische implicatie voor organisaties met activiteiten in de VS is dat AI-governance geen exclusief Europees onderwerp meer is. Colorado zal niet de laatste Amerikaanse staat zijn die verplichtingen oplegt aan gebruikers van high-risk AI. Een complianceprogramma bouwen dat de EU AI Act-vereisten als minimum neemt en ontwerpt voor uitbreiding naar Amerikaanse privacywetgeving, is een duurzamere investering dan twee aparte programma’s bouwen.

De kruising van de EU AI Act met bestaande compliance-kaders

Voor organisaties die al werken met GDPR, HIPAA, NIS2 of DORA, is de EU AI Act geen volledig nieuw compliance-domein. De wet breidt verplichtingen uit waar veel organisaties al in hebben geïnvesteerd. Begrijpen waar bestaande compliance-infrastructuur overlapt met de EU AI Act versnelt het dichten van gaten en voorkomt dubbel werk.

EU AI Act en GDPR

De relatie tussen de EU AI Act en GDPR compliance is de belangrijkste overlap voor Europese organisaties. Beide regelgevingen bepalen hoe organisaties omgaan met persoonsgegevens, vereisen proportionaliteit in gegevensverwerking en verplichten documentatie van verwerkingsactiviteiten. Het data protection impact assessment (DPIA)-proces van de GDPR, verplicht bij high-risk verwerkingsactiviteiten, sluit conceptueel aan bij de risicoanalyses onder Artikel 9 van de EU AI Act. Organisaties met volwassen DPIA-processen kunnen die methodiek uitbreiden naar risicoanalyses voor AI-systemen zonder opnieuw te hoeven beginnen.

Artikel 22 van de GDPR – dat geautomatiseerde besluitvorming reguleert en individuen rechten geeft met betrekking tot besluiten die uitsluitend geautomatiseerd zijn genomen – is direct relevant voor Annex III AI-systemen die belangrijke uitkomsten genereren. Organisaties die al infrastructuur hebben gebouwd voor compliance met Artikel 22, inclusief menselijke reviewprocessen en workflows voor het afhandelen van individuele rechten, hebben een voorsprong op de vereisten voor menselijk toezicht uit Artikel 26 van de EU AI Act. De documentatievormen verschillen, maar de operationele controles zijn grotendeels gelijk.

Het belangrijkste verschil tussen GDPR en EU AI Act compliance is technische logging en biasbeoordeling. De GDPR verplicht geen automatische eventlogging op het detailniveau dat Artikel 12 vereist, en legt niet de specifieke datakwaliteitscriteria van Artikel 10 op. Dit zijn de gebieden waar de EU AI Act extra investeringen vereist bovenop bestaande GDPR-programma’s.

EU AI Act en NIS2

NIS2 compliance legt verplichtingen op voor risicobeheer cyberbeveiliging en incidentrapportage aan aanbieders van essentiële diensten en belangrijke entiteiten. Beide categorieën sluiten nauw aan bij de vereisten van de EU AI Act. De verplichting uit NIS2 om passende en proportionele technische en organisatorische maatregelen te nemen voor het beheer van cyberbeveiligingsrisico’s, geldt ook voor AI-systemen die gevoelige data verwerken of invloed hebben op kritieke diensten.

De incidentrapportageverplichtingen uit NIS2 – belangrijke incidenten moeten binnen 24 uur (eerste melding) en 72 uur (volledige melding) aan de bevoegde autoriteiten worden gerapporteerd – lopen parallel aan de verplichting uit Artikel 26 van de EU AI Act om ernstige incidenten met Annex III AI-systemen te melden. Organisaties die al detectie- en rapportageprocessen voor NIS2 hebben ingericht, kunnen deze uitbreiden met AI-specifieke incidentcategorieën. Een gedocumenteerd incident response plan dat expliciet AI-systeemstoringen en misbruikscenario’s dekt, is een vereiste voor zowel NIS2 als de EU AI Act.

Het praktische integratiepunt is risicoregisterbeheer. Organisaties met volwassen NIS2-risicoregisters moeten Annex III AI-systemen als risicocategorie toevoegen, de specifieke risico’s van elk systeem documenteren en bestaande NIS2-controles koppelen aan de EU AI Act-verplichtingen die ze afdekken. Gaten zullen doorgaans zichtbaar worden in loggingdetail, biasbeoordeling en AI-specifieke workflows voor menselijk toezicht.

EU AI Act en DORA

Organisaties in de financiële sector die werken aan DORA compliance hebben vereisten voor ICT-risicobeheer die tot de meest operationeel veeleisende behoren. DORA’s vereisten voor ICT-assetinventarisaties, risicobeoordelingen, beheer van derde partijen en incidentrapportage bieden een compliance-infrastructuur die goed aansluit op de verplichtingen voor gebruikers uit de EU AI Act.

DORA’s vereisten voor derde ICT-aanbieders zijn hierbij bijzonder relevant. Financiële instellingen die onder DORA vallen, moeten zorgvuldigheid betrachten richting ICT-aanbieders, waaronder AI-toolproviders, en contractuele waarborgen hebben voor blijvende toegang, auditbaarheid en exitrechten. Dit zorgvuldigheidskader, toegepast op AI-aanbieders, ondersteunt direct de documentatievereisten uit Artikel 10 en de loggingvereisten uit Artikel 12 van de EU AI Act. Het DORA-zorgvuldigheidsproces biedt organisaties een gestructureerd mechanisme om de technische documentatie van aanbieders te verkrijgen die de EU AI Act vereist.

EU AI Act en HIPAA

Zorgorganisaties die HIPAA compliance beheren, hebben gegevensbeheer- en auditvereisten die aansluiten bij diverse verplichtingen uit de EU AI Act. De auditcontrolestandaard van HIPAA (45 CFR § 164.312(b)) verplicht organisaties om hardware-, software- en procedurele mechanismen te implementeren om activiteiten in informatiesystemen met elektronische beschermde gezondheidsinformatie vast te leggen en te onderzoeken. Die auditcontrolestandaard, toegepast op AI-systemen die PHI verwerken, dekt veel van wat Artikel 12 aan logging vereist.

De verplichting tot risicoanalyse onder HIPAA (45 CFR § 164.308(a)(1)) – het uitvoeren van een nauwkeurige en grondige beoordeling van potentiële risico’s en kwetsbaarheden voor de vertrouwelijkheid, integriteit en beschikbaarheid van ePHI – biedt een methodiek die kan worden aangepast aan de risicoanalysevereisten uit Artikel 9 van de EU AI Act. Zorgorganisaties die grondige HIPAA-risicoanalyses hebben uitgevoerd voor AI-ondersteunde klinische tools, zijn goed gepositioneerd om die analyse uit te breiden naar de EU AI Act.

Het onderscheidende gat voor zorgorganisaties is biasbeoordeling. HIPAA vereist geen biasbeoordeling van klinische AI-tools. De gegevensbeheervereisten van Artikel 10 van de EU AI Act zijn direct van toepassing op AI-systemen in de zorg die als high-risk onder Annex III vallen, dus zorgorganisaties moeten biasbeoordeling toevoegen aan hun bestaande compliancekaders.

De technische infrastructuur bouwen die compliance vereist

Regelgevende verplichtingen worden uiteindelijk gerealiseerd via technische controles. De gebruikersverplichtingen uit Artikel 26 van de EU AI Act kunnen niet worden ingevuld met alleen beleidsdocumenten. Er is infrastructuur nodig: loggingsystemen die AI-beslissingsgebeurtenissen op het juiste detailniveau vastleggen, gegevensbeheercontroles die kwaliteits- en biasnormen afdwingen, mechanismen voor menselijk toezicht die in workflows zijn ingebouwd in plaats van achteraf toegevoegd, en incidentrapportageprocessen die ernstige incidenten binnen de vereiste termijn bij toezichthouders kunnen melden.

Zero trust architecture-principes zijn direct toepasbaar op AI-governance. Net zoals zero trust vereist dat geen enkel netwerkentiteit standaard wordt vertrouwd en alle toegang continu wordt geverifieerd, vereist AI-governance dat geen enkele AI-interactie met gevoelige data ongemonitord blijft en dat alle AI-gegenereerde uitkomsten met impact op belangrijke beslissingen traceerbaar zijn. Het principe is hetzelfde: continu verifiëren, alles loggen, ervan uitgaan dat elk ongemonitord kanaal uiteindelijk wordt misbruikt. Zero trust combineren met ABAC-controles die bepalen welke data AI-systemen kunnen benaderen op basis van gebruikersrol en gevoeligheid van de content, creëert de gelaagde verdediging die Artikel 26 voor menselijk toezicht vereist.

Voor organisaties die gevoelige datastromen via AI-systemen beheren, biedt secure MFT-infrastructuur een gereguleerd kanaal voor AI-gerelateerde data-uitwisseling. Wanneer AI-systemen trainingsdata ontvangen, inference-inputs en -outputs uitwisselen of resultaten leveren aan andere systemen, moeten deze uitwisselingen via gemonitorde, gelogde en beleidsgestuurde kanalen verlopen, niet via ad-hocintegraties die governancecontroles omzeilen.

De koppeling met aangrenzende compliancekaders is hier belangrijk. Organisaties die onder NIS2 compliance vallen, hebben al incidentrapportage- en risicobeheervereisten die sterk overlappen met de EU AI Act. Organisaties in de financiële sector die werken aan DORA compliance beschikken over ICT-risicobeheerstructuren die kunnen worden uitgebreid naar AI-systeemrisico’s. Zorgorganisaties die HIPAA compliance beheren, hebben gegevensbeheer- en auditvereisten die aansluiten bij Artikel 10 en 12. Voortbouwen op bestaande compliance-infrastructuur is sneller dan opnieuw beginnen.

Kiteworks’ AI governance en Compliant AI-functionaliteiten pakken de verplichting uit Artikel 10 voor gegevensbeheer direct aan en bieden een gereguleerd kanaal voor AI die gevoelige data verwerkt. Kiteworks beschikt over FedRAMP compliance-autorisatie (Moderate level), CMMC Level 2-certificering en ondersteunt HIPAA-, NIS2- en DORA-compliancevereisten. De infrastructuur die voldoet aan de strenge FedRAMP-controles ondersteunt ook de logging-, gegevensbeheer- en toezichtvereisten van de EU AI Act – onafhankelijk geverifieerd, niet zelfverklaard. Het CISO Dashboard biedt security- en compliance-teams realtime inzicht in welke data AI-systemen binnen de organisatie benaderen, waardoor afwijkende AI-activiteiten kunnen worden opgespoord voordat ze een meldingsplichtig incident worden.

Zes weken: een praktische checklist voor gereedheid

Zes weken is genoeg om substantiële compliance-vooruitgang te boeken, mits organisaties de juiste prioriteiten stellen. De volgende volgorde weerspiegelt waar toezichthouders op zullen letten bij een controle op 2 augustus.

  1. Inventariseer eerst uw Annex III AI-systemen. U kunt niet sturen op wat u niet heeft geïdentificeerd. Annex III omvat AI-systemen voor biometrische identificatie, kritieke infrastructuur, onderwijs, werkgelegenheid, essentiële diensten, rechtshandhaving, migratie en justitie. Als uw organisatie AI gebruikt in een van deze domeinen, vallen die systemen onder de wet.

  2. Controleer vervolgens uw gegevensbeheercontroles voor deze systemen. Artikel 10 vereist passend gegevensbeheer. Documenteer uw bronnen van trainingsdata, uw datakwaliteitscriteria en uw methodiek voor biasbeoordeling. Als u deze documentatie niet kunt overleggen, is dat uw meest urgente gat.

  3. Beoordeel daarna uw logging en auditbaarheid. Artikel 12 vereist automatische eventlogging op het juiste detailniveau. Trek vandaag nog een voorbeeld audit log uit een van uw Annex III-systemen. Als u geen volledige, van tijdstempel voorziene log kunt tonen van hoe het systeem tot een belangrijke beslissing is gekomen, heeft uw logginginfrastructuur direct aandacht nodig.

  4. Leg uw mechanismen voor menselijk toezicht vast. Artikel 26 vereist dat menselijk toezicht daadwerkelijk in de praktijk is gebracht, niet alleen beschreven in beleid. Breng de specifieke workflowstappen in kaart waarin mensen AI-uitkomsten beoordelen voordat belangrijke beslissingen worden genomen.

  5. Sluit uw shadow AI-kanalen. Dit is zowel een compliancevereiste als een databeveiligingsnoodzaak. Breng in kaart welke niet-goedgekeurde AI-tools medewerkers gebruiken voor gevoelige data, blokkeer de toegang tot die tools op netwerkniveau en bied een gereguleerd alternatief via AI governance-infrastructuur die medewerkers kunnen gebruiken voor legitiem AI-ondersteund werk.

  6. Breng uw bestaande compliancekader in kaart ten opzichte van de EU AI Act-gaten. Als uw organisatie al GDPR-, NIS2-, DORA- of HIPAA-complianceprogramma’s heeft, koppel dan de controles uit die programma’s aan de vereisten van de EU AI Act. De overlap is groot en de gaten – doorgaans loggingdetail, biasbeoordeling en AI-specifieke workflows voor menselijk toezicht – zijn beter beheersbaar als u bestaande infrastructuur uitbreidt in plaats van vanaf nul te beginnen.

  7. Neem contact op met uw AI-aanbieders voor technische documentatie. Compliance met Artikel 10 vereist technische documentatie van aanbieders over trainingsgegevensbeheer, biasbeoordeling en datakwaliteitscriteria. Als uw AI-aanbieders deze documentatie niet op verzoek kunnen leveren, is dat een gap in risicobeheer voor leveranciers die vóór 2 augustus moet worden opgelost – door de documentatie te verkrijgen of door systemen te vervangen waarvoor documentatie ontbreekt.

Wilt u meer weten over EU AI Act compliance en hoe u de governance-infrastructuur bouwt die uw organisatie vóór 2 augustus nodig heeft? Plan vandaag nog een persoonlijke demo.

Veelgestelde vragen

2 augustus 2026 is de datum waarop de artikelen 9 tot en met 17 en artikel 26 van de EU AI Act afdwingbaar worden voor gebruikers van Annex III high-risk AI-systemen. Artikel 26 regelt direct de verplichtingen van gebruikers: het vereist menselijk toezicht, naleving van de instructies van de aanbieder, operationele monitoring en incidentrapportage aan markttoezichthouders. Artikelen 9 tot en met 17 behandelen het conformiteitskader, waaronder risicobeheer (artikel 9), gegevensbeheer (artikel 10), technische documentatie (artikel 11), registratie en logging (artikel 12), transparantie (artikel 13), ontwerp van menselijk toezicht (artikel 14) en nauwkeurigheid en robuustheid (artikel 15). Gebruikers die op 2 augustus geen operationele compliance met deze vereisten hebben opgebouwd, riskeren boetes tot €15 miljoen of 3% van de wereldwijde jaaromzet. Voor EU AI Act compliance-planningsdoeleinden verandert het politieke akkoord van 7 mei 2026 over herziene termijnen niets aan deze datum – het is per juni 2026 nog niet omgezet in wetgeving, dus 2 augustus blijft leidend. Organisaties kunnen hun gereedheid toetsen aan de EU AI Act-woordenlijstdefinities van “gebruiker”, “high-risk AI-systeem” en “Annex III” om te bepalen welke verplichtingen op hun specifieke use cases van toepassing zijn.

Mogelijk, uiteindelijk. Maar “mogelijk, uiteindelijk” is geen compliance-strategie. Per juni 2026 is het akkoord van 7 mei een politieke afspraak, geen wet. 2 augustus blijft de geldende handhavingsdatum. Organisaties die hun complianceprogramma’s hebben gepauzeerd in afwachting van de herziene termijn, gokken erop dat het wetgevingsproces sneller verloopt dan de toezichthouders zullen handhaven. Dat heeft een bekend risico: volledige boeteblootstelling als de termijn niet wordt aangepast vóór de handhaving. De veiligere aanpak is om de compliancevoorbereiding voort te zetten alsof 2 augustus vaststaat, terwijl u de wetgeving blijft volgen. Het werk dat u doet om te voldoen aan EU AI Act compliance en gegevensbeheer-vereisten is niet verspild als de deadline verschuift; het wordt dan vroege compliance in plaats van last-minute compliance. Organisaties met bestaande GDPR-complianceprogramma’s zullen merken dat veel van de documentatie en procesinfrastructuur direct overdraagbaar is naar de EU AI Act.

Shadow AI veroorzaakt compliance-risico’s onder de EU AI Act via twee overlappende mechanismen. Ten eerste: wanneer medewerkers niet-goedgekeurde AI-tools gebruiken om persoonsgegevens of andere gevoelige data te verwerken, kan dat zelf gelden als inzet van high-risk AI-systemen zonder de governancecontroles die artikel 26 vereist. Ten tweede: shadow AI-kanalen ondermijnen de gegevensbeheer-infrastructuur die artikelen 10 en 12 vereisen. Als gevoelige data via niet-gereguleerde AI-tools loopt, kan een organisatie haar datakwaliteitspraktijken niet geloofwaardig documenteren of volledige audit logs van AI-beslissingen overleggen. Onderzoek uit juni 2026 toont aan dat juridisch werkproduct verantwoordelijk is voor 22,3% van de shadow AI-datalekken. Het shadow IT-probleem vergroot ook de kosten van datalekken: organisaties met shadow AI-incidenten krijgen gemiddeld $670.000 aan extra datalekschade en een detectievenster van 247 dagen. Shadow AI-kanalen sluiten is een voorwaarde voor geloofwaardige EU AI Act compliance, geen optionele beveiligingsverbetering. Een zero trust AI-databeschermingskader biedt organisaties een gestructureerde aanpak om te bepalen welke AI-tools medewerkers mogen gebruiken en welke data die tools mogen verwerken.

De Colorado Artificial Intelligence Act, van kracht sinds 1 juni 2026, legt drie hoofdverplichtingen op aan gebruikers van high-risk AI-systemen: een zorgplicht om consumenten te beschermen tegen algoritmische discriminatie, bias impact assessments vóór inzet en periodiek daarna, en transparantieverklaringen aan consumenten wanneer high-risk AI invloed heeft op belangrijke beslissingen. Het is de eerste Amerikaanse staatswet die expliciete verplichtingen voor gebruikers in deze categorie oplegt. De conceptuele overlap met de verplichtingen uit de EU AI Act is groot: beide wetten vereisen documentatie van risicoanalyses, transparantie richting betrokkenen en voorzien in doorlopend menselijk toezicht op AI-besluitvorming. Organisaties die AI governance-infrastructuur bouwen om te voldoen aan de EU AI Act – inclusief gedocumenteerde risicoanalyses, biasbeoordelingsprocessen en audittrails – zullen merken dat dezelfde infrastructuur Colorado-compliance ondersteunt met relatief beperkte aanpassingen. Dit combineren met GDPR compliance-kaders biedt organisaties een cross-jurisdictioneel fundament waarop ze kunnen voortbouwen. Organisaties met klanten in meerdere Amerikaanse staten moeten ook de privacywetgeving van andere staten volgen voor aanvullende AI-specifieke verplichtingen die waarschijnlijk het voorbeeld van Colorado zullen volgen.

Zes weken is een gefocust maar haalbaar tijdsbestek als organisaties eerst de belangrijkste gaten aanpakken. De volgorde die de meeste compliance-dekking oplevert in de kortste tijd: (1) Inventariseer alle Annex III AI-systemen, inclusief shadow AI-inzet die via netwerkmonitoring wordt geïdentificeerd – u kunt geen systemen beheren die u niet heeft geïdentificeerd. (2) Controleer uw audit log-infrastructuur voor elk systeem binnen de scope; artikel 12 vereist automatische eventlogging, en als u geen volledige, van tijdstempel voorziene log van AI-beslissingen kunt tonen, is dat uw meest urgente hersteldoel. (3) Documenteer gegevensbeheercontroles voor artikel 10, inclusief schriftelijke documentatie van datakwaliteitscriteria, biasbeoordelingsmethodiek en processen voor datavoorbereiding. (4) Koppel mechanismen voor menselijk toezicht aan specifieke workflowstappen waarin AI-uitkomsten invloed hebben op belangrijke beslissingen – beleidsverklaringen zijn niet voldoende, artikel 26 vereist operationele toezichtcontroles. (5) Sluit shadow AI-kanalen door niet-goedgekeurde tools op netwerkniveau te blokkeren en gereguleerde alternatieven te bieden via Kiteworks secure file sharing en AI governance-infrastructuur die medewerkers daadwerkelijk gebruiken. Organisaties met bestaande NIS2 compliance– of DORA compliance-programma’s moeten de risicobeheervereisten uit die kaders koppelen aan de verplichtingen uit de EU AI Act, omdat de overlap groot is en het dichten van gaten kan versnellen. Het toepassen van security risk management-disciplines op Annex III AI-systemeninventarisaties – risiconiveaus toekennen, controles documenteren en periodieke herbeoordelingen plannen – biedt compliance-teams de gestructureerde methodiek die toezichthouders verwachten te zien.

Aanvullende bronnen

  • Blog Post
    Zero‑Trust-strategieën voor betaalbare AI-privacybescherming
  • Blog Post
    Hoe 77% van de organisaties faalt in AI-gegevensbeveiliging
  • eBook
    AI Governance Gap: Waarom 91% van de kleine bedrijven Russisch Roulette speelt met gegevensbeveiliging in 2025
  • Blog Post
    Er bestaat geen “–dangerously-skip-permissions” voor uw data
  • Blog Post
    Toezichthouders zijn klaar met vragen of u een AI-beleid heeft. Ze willen bewijs dat het werkt.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks