justice, statue, lady justice, greek mythology, themis, law, court, justice, justice, justice, law, law, law, law, law, court, court
/ AI compliance / Door

EU AI Act boetes: wanneer loop je risico en hoe voorkom je het?

AI Act boetes kennen drie niveaus: tot 35 miljoen euro of 7% van de wereldwijde jaaromzet voor verboden AI, tot 15 miljoen euro of 3% voor andere overtredingen en tot 7,5 miljoen euro of 1% voor misleidende informatie aan toezichthouders. Volledige handhaving start 2 augustus 2026. Verboden toepassingen zijn sinds februari 2025 al strafbaar.

De Autoriteit Persoonsgegevens kan sinds 2 februari 2025 al handhaven op verboden AI-toepassingen en sinds 2 augustus 2025 op GPAI-modellen. Vanaf 2 augustus 2026 komt de rest van de EU AI Act onder toezicht. De bovengrens van AI Act boetes ligt daarbij op 35 miljoen euro of 7% van de wereldwijde jaaromzet, afhankelijk van welk bedrag het hoogste is. In de praktijk is die grens voor veel MT-leden en compliance officers nog een abstract gegeven. Dit artikel maakt de drie boetecategorieën van Artikel 99 AI Act concreet, laat zien wie welke sanctie kan verwachten en geeft een praktisch handelingsperspectief.

Het directe antwoord: drie AI Act boetes onder Artikel 99

Artikel 99 AI Act onderscheidt drie sanctieniveaus. Welke van toepassing is, hangt af van het type overtreding.

Niveau 1: verboden AI-toepassingen

Maximaal 35 miljoen euro of 7% van de wereldwijde jaaromzet van het voorgaande boekjaar (het hoogste van de twee bedragen telt). Dit geldt bij inzet van AI die onder Artikel 5 AI Act valt: social scoring door overheden, manipulatieve AI die kwetsbare groepen schaadt, realtime biometrische identificatie in openbare ruimtes en emotieherkenning in werk- of onderwijscontext. Deze EU AI Act sancties gelden al sinds 2 februari 2025.

Niveau 2: overige verplichtingen

Maximaal 15 miljoen euro of 3% van de wereldwijde jaaromzet. Deze boete hangt boven overtredingen van vrijwel alle andere AI Act-verplichtingen. Denk aan niet-naleving van de eisen voor hoog-risico-systemen, onvoldoende transparantie richting gebruikers en het ontbreken van aantoonbare AI-geletterdheid onder personeel zoals Artikel 4 dit voorschrijft.

Niveau 3: misleidende informatie

Maximaal 7,5 miljoen euro of 1% van de wereldwijde jaaromzet. Dit niveau raakt organisaties die onjuiste, onvolledige of misleidende informatie aan toezichthouders verstrekken, bijvoorbeeld tijdens een audit of naar aanleiding van een klacht.

Wanneer krijgt jouw organisatie welke AI Act boete?

In de praktijk bepaalt de rol van je organisatie onder de AI Act welke sancties reëel zijn.

Veel Nederlandse organisaties zijn gebruiksverantwoordelijke: ze zetten AI-tools van anderen in, zoals ChatGPT, Microsoft Copilot of AI-gebaseerde recruitmentsoftware. Voor deze groep is niveau 2 het meest relevant, vooral rond Artikel 4 (AI-geletterdheid) en de transparantie-eisen uit Artikel 50.

Aanbieders en ontwikkelaars van AI-systemen lopen risico op niveau 1 en 2. Wie een hoog-risico AI-systeem op de markt brengt zonder conformiteitsbeoordeling, technische documentatie of risicomanagement, riskeert direct de 15 miljoen euro of 3%. Wie in strijd met Artikel 5 een verboden toepassing uitrolt, valt onder niveau 1.

Niveau 3 treft iedereen die in contact komt met de toezichthouder. Dit geldt los van de hoofdrol.

Welke AI Act boetes gelden voor MKB en startups?

Voor MKB en startups geldt bij elk van de drie niveaus het laagste van de genoemde bedragen. Een startup met een jaaromzet van vijf miljoen euro kan dus niet beboet worden op 7% van de omzet, maar op het absolute maximum van 35 miljoen. Omgekeerd: een kleine partij met een verboden toepassing ontspringt de dans niet, de bovengrens blijft bij overtreding van Artikel 5 aanzienlijk.

De AI Act bevat daarnaast een proportionaliteitsbeginsel. Toezichthouders wegen organisatiegrootte, ernst van de overtreding, of er sprake is van opzet en of de organisatie zelf actie heeft ondernomen. Dit maakt een boete AI Act MKB in de praktijk lager dan bij een concern, maar niet afwezig. De Autoriteit Persoonsgegevens heeft aangegeven eerst te werken met waarschuwingen en correctieve maatregelen, behalve bij grove of opzettelijke overtredingen.

Praktijkcase: hoe voorkom je AI Act boetes?

Een middelgrote HR-dienstverlener in Utrecht (180 medewerkers) gebruikte sinds 2024 een AI-gebaseerde cv-screening tool. In januari 2026 ontving de organisatie een verzoek van de Autoriteit Persoonsgegevens om documentatie aan te leveren over AI-geletterdheid, risicoclassificatie en menselijk toezicht. De eerste inventarisatie liet drie hiaten zien: geen formeel AI-beleid, geen aantoonbare training voor HR-consultants en geen documentatie over de hoog-risico-classificatie van de tool.

Binnen twaalf weken heeft de organisatie een AI-beleid opgesteld, alle HR-consultants een trainingsmodule laten volgen, de leverancier van de tool een conformiteitsverklaring laten aanleveren en een intern meldpunt ingericht. De AP rondde het onderzoek af met een correctief bericht zonder boete. Had de organisatie niet kunnen reageren met documentatie, dan was een niveau 2-sanctie (3% van de omzet) een reëel scenario geweest.

De volgorde om AI Act handhaving Nederland voor te blijven:

  1. Breng AI-gebruik per afdeling in kaart
  2. Classificeer elk systeem (verboden, hoog-risico, beperkt, minimaal)
  3. Stel AI-beleid op met rollen en verantwoordelijkheden
  4. Borg aantoonbare AI-geletterdheid via een AI training per functiegroep
  5. Documenteer incidenten en review-momenten structureel

Veelgestelde vragen over AI Act boetes

Wanneer starten AI Act boetes in Nederland?

Verboden AI-toepassingen zijn sinds 2 februari 2025 strafbaar. Regels voor GPAI-modellen gelden sinds 2 augustus 2025. Volledige handhaving, inclusief Artikel 4 (AI-geletterdheid) en hoog-risico-eisen, start op 2 augustus 2026. Hoog-risico AI in producten onder aparte EU-productwetgeving volgt op 2 augustus 2027.

Wie bepaalt de AI Act boete in Nederland?

De Autoriteit Persoonsgegevens is aangewezen als coördinerend toezichthouder. Sectorspecifieke toezichthouders (AFM, DNB, Commissariaat voor de Media, IGJ) houden toezicht binnen hun eigen sector. De European AI Office coördineert toezicht op GPAI-modellen op EU-niveau.

Kan een AI Act boete gecombineerd worden met een AVG-boete?

Ja. De AVG en de AI Act zijn twee afzonderlijke wetten. Als AI-gebruik zowel privacyregels als AI Act-regels overtreedt, kunnen toezichthouders beide boetes opleggen. De AP treedt hierbij op als toezichthouder voor beide kaders, wat cumulatie in één onderzoek mogelijk maakt.

Welke AI Act boete geldt als wij alleen ChatGPT gebruiken?

Je bent in dat geval gebruiksverantwoordelijke. De sanctie die het dichtst bij ligt is niveau 2 (15 miljoen of 3%), vooral rond Artikel 4 AI-geletterdheid en transparantie richting medewerkers en klanten. Gratis of consumentenversies vallen ook onder deze verplichtingen.

Hoe hoog is een AI Act boete voor een MKB-organisatie in de praktijk?

Voor MKB geldt het laagste van de twee bedragen per niveau. Er is tot april 2026 nog geen openbare beslispraktijk, dus exacte bandbreedtes per type overtreding zijn nog in ontwikkeling. Verwacht een getrapte aanpak: waarschuwing, correctief bevel, boete bij herhaling of bij grove nalatigheid.

Wat documenteer je om AI Act boetes te voorkomen?

Minimaal: een AI-register met alle ingezette systemen, risicoclassificatie per systeem, AI-beleid met rolverdeling, trainingsregistratie per functiegroep en een incidentenlog. Deze vijf documenten vormen de basis waar toezichthouders bij een audit naar vragen.

 

Wat is de veilige volgende stap?

AI Act boetes zijn geen theoretisch risico. Verboden toepassingen leveren al anderhalf jaar sancties op en Artikel 4 wordt vanaf augustus 2026 actief gehandhaafd. De organisaties die nu investeren in aantoonbaar AI-beleid en gerichte AI-geletterdheid voor sleutelfuncties staan sterker tijdens een audit dan zij die pas in reactie op een AP-brief in beweging komen.

AICG begeleidt Nederlandse organisaties in AI-governance via de GRIPP-werkwijze, specifiek gericht op implementatie die aantoonbaar is voor toezichthouders. Een logische eerste stap is een AI Act compliance scan om te zien waar de grootste risico’s zitten en welke documentatie nog mist.

Related Posts

Elke Verandering Begint met de Eerste Stap

Laat het ons even weten als wij je kunnen helpen met AI advies of het trainen in digitale vaardigheden en dan nemen wij snel contact met je op

Contact
Maak een afspraak
Maak een afspraak