De EU AI Act-deadlinekalender: drie golven tot 2028

Lange tijd was 2 augustus 2026 hét ankerpunt in elk gesprek over de EU AI Act. Nadat de AI Omnibus het hoog-risicoregime heeft verschoven naar 2 december 2027 en het regime voor ingebouwde producten naar 2 augustus 2028, klopt dat ene datumpunt niet meer met de werkelijkheid. De Verordening kent nu drie onafhankelijke deadlines op drie onafhankelijke sporen, elk met een eigen toepassingsgebied, boeterisico en voorbereidingstraject. Dit artikel is de actuele kalender van de praktijk: welke verplichtingen gelden op welke datum, welke SaaS-producten vallen onder welk spoor, en wat is het minimale werk dat elk spoor vereist vóór de respectieve deadline.

Golf 1: Artikel 50, transparantie GPAI-aanbieder en governance (2 augustus 2026)

Drie blokken verplichtingen worden van toepassing op 2 augustus 2026.

Transparantie op grond van Artikel 50. Elke SaaS-interface waarbij een natuurlijk persoon interactie heeft met een AI-systeem, moet dat gegeven bekendmaken. Elk stuk AI-gegenereerde inhoud (tekst, afbeelding, audio, video) moet voorzien zijn van een machineleesbaar herkomstmerk. Elke functie voor emotieherkenning of biometrische categorisering moet de gebruiker informeren. Elke deepfake moet gelabeld zijn. Dit is de golf die vrijwel elke SaaS treft die AI in de EU op de markt brengt, ongeacht de sector of het risicoprofiel. Boeteband: €15 miljoen of 3% op grond van Artikel 99, lid 4.

Verplichtingen GPAI-aanbieders op grond van Hoofdstuk V. Aanbieders van AI-modellen voor algemene doeleinden die een model na 2 augustus 2025 in de EU op de markt hebben gebracht, moeten voldoen aan de transparantieverplichtingen van Artikel 53 (samenvatting trainingsdata, auteursrechtbeleid, technische documentatie). Aanbieders van GPAI-modellen met systeemrisico (trainingsrekencapaciteit boven 10²⁵ FLOP) moeten bovendien voldoen aan Artikel 55. Deze verplichtingen binden aanbieders van frontier-modellen, niet de SaaS die die modellen via een API gebruikt. Een SaaS die een GPAI zodanig fine-tunet dat er sprake is van een wezenlijke wijziging in de zin van Artikel 25, kan zelf aanbieder worden.

Governancekader op grond van Hoofdstuk VII. De AI-board, het AI-bureau, de nationale bevoegde autoriteiten en het wetenschappelijk panel worden operationeel. Nationale markttoezichtautoriteiten, door de lidstaten aangewezen vóór 2 augustus 2025, nemen handhavingsverantwoordelijkheid op zich. Vanuit handhavingsperspectief is 2 augustus 2026 de dag waarop het institutionele mechanisme in werking treedt. Boeteband voor governance-schendingen: €15 miljoen of 3% op grond van Artikel 99, lid 4.

Golf 2: Hoog-risicoverplichtingen Bijlage III (2 december 2027)

Bijlage III somt acht categorieën van hoog-risico-AI-toepassingen op: biometrie, kritieke infrastructuur, onderwijs, werkgelegenheid, essentiële diensten (waaronder kredietscoring en verzekeringsprijsstelling), rechtshandhaving, migratie en grenscontrole, rechtspraak en democratische processen. SaaS in gereguleerde sectoren (HR-tech, edtech, fintech-kredietscoring, healthtech-triage, legaltech) heeft doorgaans ten minste één functie die binnen Bijlage III valt.

De AI Omnibus, politiek overeengekomen op 7 mei 2026 en vastgesteld op 19 november 2025, heeft de toepassingsdatum van Bijlage III verschoven van 2 augustus 2026 naar 2 december 2027. De inhoud van het hoog-risicoregime is niet gewijzigd. De classificatie op grond van Artikel 6, lid 2, is nog steeds van toepassing. De Artikelen 9 tot en met 15 (risicobeheersysteem, datagovernance, technische documentatie, logging, transparantie jegens deployers, menselijk toezicht, nauwkeurigheid en robuustheid) zijn nog steeds van toepassing. De conformiteitsbeoordeling op grond van Artikel 43 is nog steeds van toepassing. Registratie in de EU AI-database op grond van Artikel 49 is nog steeds van toepassing. De achttien maanden tussen nu en december 2027 vormen de realistische minimumtermijn voor een SaaS die nog niet met het werk is begonnen. Boeteband: €15 miljoen of 3% op grond van Artikel 99, lid 4. Volledig overzicht: zie de pijler Bijlage III.

Golf 3: Verplichtingen ingebouwde producten Bijlage I (2 augustus 2028)

Artikel 6, lid 1, classificeert een AI-systeem als hoog-risico wanneer het bestemd is om te worden gebruikt als veiligheidscomponent van een product, of zelf een product is, dat valt onder de in Bijlage I opgesomde harmonisatiewetgeving van de Unie, ÉN het product verplicht aan een conformiteitsbeoordeling door een derde moet worden onderworpen. Bijlage I omvat de Machinerichtlijn, de Verordening betreffende medische hulpmiddelen (MDR), de Verordening betreffende in-vitrodiagnostische medische hulpmiddelen (IVDR), de speelgoedrichtlijn, liften, radioapparatuur, drukapparatuur, kabelbaaninstallaties, persoonlijke beschermingsmiddelen, gastoestellen, pleziervaartuigen, civiele luchtvaart, motorvoertuigen, landbouw- en bosvoertuigen, twee- en driewielige voertuigen en uitrusting voor zeeschepen.

De AI Omnibus heeft de toepassingsdatum van Bijlage I verschoven van 2 augustus 2027 naar 2 augustus 2028, om af te stemmen op de capaciteit van aangemelde instanties en de publicatie van geharmoniseerde normen. Dezelfde verplichtingen van Artikelen 9 tot en met 15 zijn van toepassing, geïntegreerd met de sectorspecifieke conformiteitsbeoordelingsprocedure. SaaS die is ingebouwd in gereguleerde hardware (beslissingsondersteuning voor medische hulpmiddelen, machinevisiesystemen, automotive-AI) valt in deze golf. Zuivere software-SaaS die geen veiligheidscomponent van een gereguleerd product wordt, valt hier niet onder. Boeteband: €15 miljoen of 3% op grond van Artikel 99, lid 4. Volledig overzicht: zie de pijler Bijlage I.

Reeds verstreken data en wat zij nu vereisen

Drie data zijn reeds ingegaan.

1 augustus 2024. Verordening (EU) 2024/1689 trad in werking. Op deze datum zijn geen operationele verplichtingen van kracht geworden.

2 februari 2025. De verboden praktijken van Artikel 5 werden handhaafbaar. Indien uw product sociale scoring van natuurlijke personen omvat, ongerichte gezichtsherkenning via scraping, manipulatieve AI die kwetsbaarheden uitbuit, realtime biometrische identificatie op afstand in openbare ruimten door rechtshandhavingsinstanties, biometrische categorisering op basis van gevoelige kenmerken, voorspellende politie, emotieherkenning op de werkvloer of in het onderwijs, of een van de andere verboden van Artikel 5, bent u sinds deze datum niet-compliant. Boeteband: €35 miljoen of 7% op grond van Artikel 99, lid 3. De AI Omnibus heeft de data van Artikel 5 niet gewijzigd. De AI Omnibus heeft één nieuw verbod toegevoegd: AI die niet-consensuele seksueel expliciete inhoud of kindermisbruikmateriaal genereert.

2 augustus 2025. De verplichtingen voor GPAI-aanbieders op grond van Hoofdstuk V, het governancekader op grond van Hoofdstuk VII, het kennisgevingskader op grond van Hoofdstuk III, Afdeling 4, het boeteregime voor GPAI op grond van Hoofdstuk XII en Artikel 78 (vertrouwelijkheid) zijn allemaal van toepassing geworden. Aanbieders van frontier-modellen zijn sindsdien compliant. SaaS-deployers zijn niet gebonden aan deze bepalingen; zij zijn gebonden aan de afgeleide verplichtingen van Artikel 50 die op 2 augustus 2026 van kracht worden.

Wat dit in de praktijk betekent. Indien u een SaaS bent die nog geen Artikel 5-audit heeft uitgevoerd, doe dat dan nu. Indien u een GPAI via een API gebruikt, verifieer dan of de openbaarmakingen van de upstream-aanbieder op grond van Artikel 53 gepubliceerd zijn en verwijs ernaar in uw modelkaart. Deze twee punten zijn basishygiëne die de praktijk tijdens de eerste intake afhandelt.

Drie golven parallel uitvoeren

De meeste SaaS-producten die de praktijk auditet, vallen onder ten minste twee golven. Een typisch fintech-kredietscoringsproduct valt onder Golf 1 (Artikel 50-transparantie voor gebruikersgerichte AI) en Golf 2 (kredietscoringsverplichtingen uit Bijlage III). Een SaaS voor medische hulpmiddelen valt onder Golf 1, Golf 2 (als de AI in een healthtech-context buiten de MDR wordt gebruikt) en Golf 3 (als de AI een veiligheidscomponent is van het medisch hulpmiddel op grond van de MDR). De golven zijn onafhankelijk; het werk is cumulatief.

De praktijk voert de drie golven uit als afzonderlijke opdrachten, gesequenced op deadline.

Golf 1-opdracht: Artikel 50-compliance. Vijf werkdagen, €997. Omvat Artikel 50-classificatie per functie, openbaarmakingscode (chatbanner, inhoudsmarkering, deepfake-labeling, kennisgeving emotieherkenning), toegankelijkheid op grond van Artikel 50, lid 5, en een gepubliceerde Artikel 50-verklaring. Deliverable: ondertekende assurance-brief en een implementatiepakket. Opdracht geven vóór eind juni 2026 om een implementatiebuffer te behouden vóór 2 augustus.

Golf 2-opdracht: Bijlage III-gereedmakingsprogramma. Achttien maanden, gefaseerd gefactureerd. Omvat Artikel 6-classificatie (per functie), Artikel 9-risicobeheersysteem, Artikel 10-datagovernance, Artikel 11-technische documentatie op grond van Bijlage IV, Artikel 12-logging, Artikel 13-gebruiksaanwijzing, Artikel 14-menselijk toezicht, Artikel 15-nauwkeurigheid en robuustheid, Artikel 43-conformiteitsbeoordeling, Artikel 49-registratie in de EU AI-database. Nu beginnen; afronden vóór 2 december 2027.

Golf 3-opdracht: Bijlage I-compliance ingebouwde producten. Twee jaar, geïntegreerd met de conformiteitsbeoordelingscyclus van de sectorale regelgeving. Omvat dezelfde Artikelen 9 tot en met 15, in kaart gebracht ten opzichte van de onderliggende harmonisatieverordening van de Unie. Aangemelde instantie inschakelen die zowel aangewezen is op grond van de MDR, de Machinerichtlijn of de RED als op grond van de AI Act. Planning: van nu tot 2 augustus 2028.

Oprichters die alle drie golven parallel uitvoeren: de praktijk wijst per golf een hoofdreviewer aan en een programmamanager die alle golven overspant. De meeste SaaS-producten vallen onder één of twee golven, niet drie. Triage via /audit bepaalt welke.

Frequently asked questions

Waarom zijn de data gewijzigd?

De AI Omnibus is een wetgevingspakket met wijzigingen van verschillende EU-digitale verordeningen, waaronder de AI Act. De Commissie stelde het voor als het Digital Package on Simplification, het Europees Parlement en de Raad bereikten op 7 mei 2026 een politiek akkoord, en het pakket werd vastgesteld op 19 november 2025. De wijzigingen hebben de toepassingsdatum van Bijlage III voor hoog-risico verschoven van 2 augustus 2026 naar 2 december 2027, en de toepassingsdatum van Bijlage I voor ingebouwde producten van 2 augustus 2027 naar 2 augustus 2028. De officiële motivering: de capaciteit van aangemelde instanties en de publicatie van geharmoniseerde normen lagen niet op schema om de oorspronkelijke data te halen. Artikel 50, Artikel 5, het GPAI-aanbiederregime en het governancekader zijn niet uitgesteld.

Zijn er eerdere data die ik ook moet bijhouden?

Twee. De verboden praktijken van Artikel 5 zijn handhaafbaar sinds 2 februari 2025. Als u uw product nog niet heeft geauditeerd op Artikel 5-blootstelling, doe dat dan als eerste; de boeteband is de hoogste in de Verordening: €35 miljoen of 7%. De verplichtingen voor GPAI-aanbieders op grond van Hoofdstuk V zijn handhaafbaar voor upstream-modelaanbieders sinds 2 augustus 2025. Als SaaS-deployer bent u daar niet rechtstreeks aan gebonden, maar uw modelkaart moet verwijzen naar de Artikel 53-openbaarmakingen van de upstream-aanbieder.

Mijn SaaS valt onder meerdere golven. Hoe plan ik dat?

Sequenceer op deadline. Lever Artikel 50 (Golf 1) op vóór 2 augustus 2026. Start het Bijlage III-programma (Golf 2) onmiddellijk; het betreft achttien maanden werk en de deadline is december 2027. Als u ook in Golf 3 valt (ingebouwde hardware via Bijlage I), schakel dan nu de sectorspecifieke aangemelde instantie in; de capaciteit van aangemelde instanties is krap tot en met 2027. De golven delen de ruggengraat van Artikelen 9 tot en met 15, zodat het werk voor Bijlage III en Bijlage I technisch overlapt; alleen de conformiteitsbeoordelingsroute en de integratie met de onderliggende sectorale verordening verschillen.

Verschillen de boetes per golf?

De band van Artikel 99, lid 4, van maximaal €15 miljoen of 3% van de wereldwijde jaaromzet omvat schendingen van Artikel 50, niet-naleving van Bijlage III en niet-naleving van Bijlage I. Schendingen van de verboden praktijken van Artikel 5 vallen in een hogere band op grond van Artikel 99, lid 3: maximaal €35 miljoen of 7%. Het verstrekken van onjuiste of misleidende informatie aan autoriteiten valt in een lagere band op grond van Artikel 99, lid 5: maximaal €7,5 miljoen of 1%. Kmo's profiteren van evenredigheid op grond van Artikel 99, lid 6, maar de maxima blijven ongewijzigd.

Is er een golf die zuivere software-SaaS niet treft?

Golf 3 (Bijlage I ingebouwde producten) is in het algemeen niet van toepassing op zuivere software-SaaS die niet is geïntegreerd in een gereguleerd hardwareproduct. Als uw klant een fabrikant van medische hulpmiddelen is die uw AI als component integreert, of een machineleverancier die hetzelfde doet, kunt u aanbiedersverplichtingen erven op grond van Artikel 25. In die scenario's valt u door erfenis in Golf 3. Zuivere SaaS-naar-SaaS of SaaS-naar-consument zonder hardwarepad valt hier doorgaans niet onder.

Sources

Last updated: 2026-06-09