De boetestructuur
De EU AI Act kent drie boetecategorieën, afhankelijk van de ernst van de overtreding:
Categorie 1: Verboden AI-praktijken
Sociale scoring, manipulatie van mensen, ongeoorloofde real-time biometrische identificatie in openbare ruimten.
Categorie 2: Schending verplichtingen hoog-risico AI
Geen risicobeheersysteem, geen beslissingslogging, geen conformiteitsbeoordeling, onjuiste of ontbrekende documentatie.
Categorie 3: Onjuiste informatie aan toezichthouders
Onjuiste, onvolledige of misleidende informatie verstrekt aan nationale toezichthouders of de AI Office.
Voor kleine organisaties: geen vrijstelling
Er is geen volledige vrijstelling voor mkb-bedrijven. Toezichthouders houden weliswaar rekening met de omvang en draagkracht van de organisatie bij het bepalen van de boetehoogte, maar de kernverplichtingen gelden onverminderd. Een startup die hoog-risico AI inzet voor kredietbeoordeling heeft dezelfde logging- en documentatieplichten als een grote bank.
Wie handhaaft?
Nationaal niveau
Elke EU-lidstaat wijst een of meer markttoezichthouders aan. In Nederland wordt dit naar verwachting de Autoriteit Persoonsgegevens (AP). Bevoegdheden omvatten: audits uitvoeren, documenten opvragen, corrigerende maatregelen opleggen, boetes uitdelen en gebruiksverboden instellen.
Europees niveau
Het AI Office van de Europese Commissie heeft directe handhavingsbevoegdheid voor aanbieders van GPAI-modellen (zoals grote taalmodellen). Het coördineert ook de nationale toezichthouders en kan richtsnoeren uitgeven.
Wanneer worden de eerste boetes verwacht?
- 2024–2025 — Opbouwfase: toezichthouders richten zich op voorlichting
- Augustus 2025 — GPAI-verplichtingen volledig van kracht
- Augustus 2026 — Hoog-risico AI volledig van kracht: handhaving kan beginnen
- 2027+ — Eerste formele boeteprocedures verwacht
Ter vergelijking: na de AVG-inwerkingtreding in mei 2018 duurde het 12 tot 24 maanden voor de eerste grote boetes volgden (Google: €50M in januari 2019). De EU AI Act heeft een kortere aanlooptijd omdat toezichthouders al ervaring hebben.
Reputatierisico
Naast directe boetes zijn er aanzienlijke indirecte risico's:
- Reputatieschade door een publiek handhavingsonderzoek
- Aansprakelijkheidsrisico bij burgers die schade ondervinden van uw AI-systeem
- Uitsluiting van publieke aanbestedingen bij non-compliance
- Impact op due diligence bij M&A of investeringsronden
Hoe u zich beschermt
- Classificeer uw AI-systemen nu en documenteer de beslissing
- Implementeer automatische logging conform Artikel 12 — dit is de meest controleerbare verplichting
- Stel technische documentatie op die aantoont dat uw systeem voldoet
- Documenteer compliance-inspanningen — toezichthouders kijken naar aantoonbare goede wil
- Start nu — niet in juli 2026, want een compliance-programma duurt 6–12 maanden
Voorkom boetes met Agent Ledger
Automatische beslissingslogging conform Artikel 12. Auditeerbaar, onveranderbaar, klaar voor toezichthouders.
Start gratis →