Terug naar inzichten
eu-ai-actbelgiecompliancedeadline

De EU AI-wet geldt al in België — dit moet u doen vóór augustus 2026

Stéphane WillemsStéphane Willems6 min leestijd

De meeste Belgische ondernemers met wie ik praat denken dat de EU AI-wet een probleem voor 2027 is. Dat is het niet. Delen ervan zijn juridisch bindend sinds februari 2025, en de deadline die de meeste bedrijven raakt — hoog-risico AI-systemen — valt in augustus 2026. Dat is een kwestie van weken, niet jaren.

Ik ben geen jurist, en dit is geen juridisch advies. Ik ben een engineer die AI-systemen bouwt en auditeert voor Belgische bedrijven, en ik besteed een groot deel van mijn week aan uitleggen wat deze regelgeving werkelijk betekent als je het juridische jargon wegstreept. Dit is de versie die ik geef aan operationele directeurs en CEO's die geen compliance-afdeling hebben.

Wat bijna niemand weet: de geletterdheidsverplichting geldt al

Dit verrast mensen. Sinds 2 februari 2025 vereist artikel 4 van de AI-wet dat elke organisatie die AI-systemen gebruikt, ervoor zorgt dat haar personeel een voldoende niveau van AI-geletterdheid heeft.

Niet "zou moeten overwegen." Verplicht. Al sinds meer dan een jaar geleden.

In de praktijk betekent dit: als uw team AI-tools gebruikt — en bijna elk Belgisch bedrijf doet dat nu, al is het maar personeel dat dingen in ChatGPT plakt — wordt van u verwacht dat u kunt aantonen dat die mensen op basisniveau begrijpen wat de tools doen, wat hun grenzen zijn, en wat de risico's zijn.

Er is geen certificaat te koop en er staat morgen geen overheidsinspecteur aan uw deur. Maar de verplichting bestaat nu, en de eenvoudigste manier om eraan te voldoen is ook de goedkoopste: een kort intern AI-gebruiksbeleid plus een basisbriefing voor het team. De meeste bedrijven hebben geen van beide. Als u na het lezen hiervan niets anders doet, doe dan dit.

De tijdlijn, in begrijpelijke taal

  • Februari 2025 — al van kracht. Verboden AI-praktijken (sociale scorebepaling, bepaalde manipulatie, ongerichte gezichtsdata-scraping) zijn verboden. De AI-geletterdheidsverplichting (artikel 4) geldt.
  • Augustus 2025 — al van kracht. Regels voor general-purpose AI-modellen (de grote basismodellen) en de bestuursstructuur.
  • Augustus 2026 — de grote. Verplichtingen voor hoog-risico AI-systemen gelden. Dit is de deadline die gewone bedrijven raakt.
  • Augustus 2027. Uitgebreide regels voor AI ingebouwd in al-gereguleerde producten.

Als u dit in 2026 leest, is de vraag die telt: heeft u hoog-risico AI? Want als dat zo is, tikt de klok echt.

"Hoog-risico" — geldt het voor u?

"Hoog-risico" is een specifieke juridische categorie, geen oordeel over hoe geavanceerd uw AI is. Een eenvoudig, goed gebouwd systeem kan hoog-risico zijn; een flashy systeem misschien niet.

U zit waarschijnlijk in hoog-risico-gebied als u AI gebruikt voor:

  • Werving en HR — cv-screening, kandidaatrangschikking, prestatie-evaluatie, beslissingen over promotie of ontslag. Dit is degene die de meeste Belgische kmo's verrast, omdat HR-teams deze tools invoeren zonder de classificatie te beseffen.
  • Krediet en verzekering — kredietwaardigheidsscoring, risicoprijszetting.
  • Toegang tot essentiële diensten — alles wat beslist wie wat krijgt.
  • Veiligheidscomponenten — AI in kritieke infrastructuur of als veiligheidsfunctie in een product.

Als uw AI alleen documenten samenvat, e-mails opstelt, een chatbot aandrijft die duidelijk als AI is gelabeld, of producten aanbeveelt — bent u vrijwel zeker niet hoog-risico. U heeft lichtere transparantieverplichtingen (vooral: mensen vertellen wanneer ze met AI praten) en dat is het.

Het eerlijke antwoord voor de meeste Belgische kmo's: u bent waarschijnlijk niet hoog-risico, maar u kunt het niet aannemen — u moet de één of twee systemen die het wél zouden kunnen zijn, echt controleren en de conclusie opschrijven. (Ik schrijf een apart stuk over hoe de classificatie precies werkt.)

Wie handhaaft dit in België?

Hier raken Belgische bedrijven de weg kwijt, want de EU schrijft de wet maar elke lidstaat benoemt zijn eigen handhavers. In België zijn twee instanties belangrijk:

  • BIPT (de telecom-/digitale regulator) is aangewezen als een belangrijk onderdeel van de Belgische markttoezichtstructuur voor de AI-wet. Zij zijn de AI-wet-specifieke autoriteit.
  • De GBA / APD (de Gegevensbeschermingsautoriteit / Autorité de protection des données) behandelt waar AI en persoonsgegevens elkaar raken. Zij publiceerden in december 2024 formele richtlijnen over AI en de GDPR, wat aangeeft dat ze al opletten.

U hoeft dit niet uit het hoofd te leren. U moet weten dat "niemand kijkt" niet waar is, en dat AI + persoonsgegevens twee sets regels op zich gericht heeft (AI-wet én GDPR), niet één.

De checklist die ik mensen echt geef

Als u deze vijf dingen doet, loopt u voor op de grote meerderheid van Belgische bedrijven:

  1. Inventariseer uw AI. Maak een lijst van elke AI-tool en elk systeem in gebruik — inclusief de onofficiële die uw team zelf heeft ingevoerd. U kunt niet voldoen aan regels over systemen die u niet hebt benoemd. Deze ene stap kost een namiddag en levert telkens verrassingen op.

  2. Classificeer de riskante. Voor alles wat werving, krediet, toegang tot diensten of veiligheid raakt — bepaal of het hoog-risico is, en schrijf de redenering op. Voor de rest, noteer dat het minimaal/beperkt risico is en ga verder.

  3. Schrijf een AI-gebruiksbeleid van één pagina. Wat mag, wat niet, welke data nooit in een publieke AI-tool mag worden geplakt, bij wie u terechtkunt. Dit is uw goedkoopste compliance-winst en dient meteen als bewijs van uw artikel 4-geletterdheid.

  4. Brief uw team. Vijftien minuten. Wat de tools doen, waar ze fout zitten, wat u er niet in mag stoppen. Dat is de geletterdheidsverplichting, voldaan.

  5. Voor echte hoog-risico systemen, laat een echte beoordeling doen. Documentatie, logging, menselijk toezicht, biastests — die zijn substantieel en moeten er zijn vóór augustus 2026, niet achteraf aangeplakt. Improviseer deze niet.

Stappen 1–4 kunt u deze maand zelf doen. Stap 5 is waar het de moeite waard is om hulp te halen, want de kosten van het fout doen zijn regulatoir, niet alleen operationeel.

De eerlijke conclusie

De EU AI-wet is niet de catastrofe die sommige leveranciers ervan maken (handig, naast het dure product dat het "oplost"). Voor de meeste Belgische kmo's is compliance een paar uur eerlijke inventarisatie, een beleid van één pagina, en een korte teambriefing.

De uitzondering is echte hoog-risico AI — en als u die heeft, is augustus 2026 een harde datum waar u nu naartoe zou moeten werken.

De fout die ik zie zijn de twee uitersten: bedrijven die panikeren en te veel uitgeven aan consultants voor systemen die nooit hoog-risico waren, en bedrijven die aannemen dat het niet op hen van toepassing is en het tegendeel op de harde manier ontdekken. De remedie voor beide is dezelfde: besteed de namiddag, doe de inventaris, schrijf het op.

Ik schrijf een korte, praktische nieuwsbrief over precies dit — de EU AI-wet, GDPR en AI, en senior engineering voor Belgische bedrijven, in begrijpelijke taal en zonder het angst-verkopen. Als dat nuttig voor u is, schrijf u hieronder in.

Wilt u liever dat iemand uw werkelijke systemen met u doorneemt, dan doet WDC's AI Readiness Audit precies dat — een eerlijke, schriftelijke beoordeling van wat u draait en waar het valt onder de wet.

Klaar om te starten?

Praat met ons over uw project.

De meeste opdrachten beginnen met een gesprek van 30 minuten.

Boek een gesprek

Schrijf u in voor onze nieuwsbrief

Schrijf u in voor af en toe een praktische tekst over AI-integratie, de EU AI-wet en senior engineering voor Belgische bedrijven.