Wat verandert er voor SaaS-oprichters op 2 augustus 2026: de handhavingsanalyse van de praktijk
2 augustus 2026 is de datum waarop de transparantieverplichtingen van artikel 50, de GPAI-leveranciersregeling onder hoofdstuk V en het governancekader onder hoofdstuk VII van toepassing worden in de hele EU. Dit is na de AI Omnibus níet de datum waarop de hoog-risicoregeling onder bijlage III van toepassing wordt (de AI Omnibus heeft die datum verschoven naar 2 december 2027), noch de datum waarop de verplichtingen voor ingebedde producten onder bijlage I van toepassing worden (2 augustus 2028). Dit stuk is de handhavingsanalyse van de praktijk specifiek voor 2 augustus 2026: wat op die dag in werking treedt, wat niet, de blootstelling aan sancties en wat onze reviewers zien misgaan bij SaaS-oprichters in de aanloop naar die datum.
Wat er op 2 augustus 2026 daadwerkelijk van toepassing wordt
Drie blokken van verplichtingen worden van toepassing op 2 augustus 2026.
Transparantie op grond van artikel 50. Elk SaaS-oppervlak waarop een natuurlijke persoon met een AI-systeem interageert, moet dit bekendmaken. Elk stuk door AI gegenereerde inhoud (tekst, beeld, audio, video) moet een machineleesbaar herkomstmerk dragen en, wanneer ingezet in contexten van algemeen belang, een zichtbaar label. Elke functie voor emotieherkenning of biometrische categorisering moet de gebruiker informeren. Elke deepfake moet worden gelabeld. Artikel 50 bindt aanbieders en gebruiksverantwoordelijken in verschillende leden; de meeste SaaS vervullen beide rollen afhankelijk van de functie. Sanctiebandbreedte: €15 miljoen of 3% van de totale wereldwijde jaarlijkse omzet op grond van artikel 99, lid 4.
GPAI-leveranciersverplichtingen onder hoofdstuk V. Aanbieders van AI-modellen voor algemene doeleinden die een model na 2 augustus 2025 op de EU-markt hebben gebracht, moeten voldoen aan de transparantieverplichtingen van artikel 53 (samenvatting trainingsdata, auteursrechtbeleid, technische documentatie). Aanbieders van GPAI-modellen met systemisch risico (trainingsberekeningen boven 10²⁵ FLOP) moeten daarnaast voldoen aan artikel 55. Deze verplichtingen zijn van toepassing op OpenAI, Anthropic, Google, Mistral en Meta. Ze zijn niet van toepassing op een SaaS die deze modellen via een API gebruikt. Een SaaS die een GPAI zodanig fine-tunet dat er sprake is van een wezenlijke wijziging in de zin van artikel 25, kan op eigen titel een aanbieder worden.
Governancekader onder hoofdstuk VII. De AI-Board, het AI-Bureau, de nationale bevoegde autoriteiten en het wetenschappelijk panel worden operationeel. Nationale markttoezichtautoriteiten, aangewezen door de lidstaten vóór 2 augustus 2025, nemen de handhavingsverantwoordelijkheid op zich. De Commissie kan beginnen met het uitvaardigen van richtsnoeren, gedelegeerde handelingen en werkprogramma's voor geharmoniseerde normen. Vanuit handhavingsperspectief is 2 augustus 2026 de dag waarop de institutionele machinerie begint te draaien.
Wat er op 2 augustus 2026 NIET van toepassing wordt
Drie blokken die mensen doorgaans verwarren met deze datum treden er in feite niet op in werking.
Hoog-risicoverplichtingen van bijlage III. De acht categorieën van bijlage III (biometrie, kritieke infrastructuur, onderwijs, werkgelegenheid, essentiële diensten, rechtshandhaving, migratie, rechtsbedeling) waren oorspronkelijk gepland voor 2 augustus 2026 op grond van het oorspronkelijke artikel 113. De AI Omnibus heeft deze datum verschoven naar 2 december 2027. Artikelen 9 tot en met 15 blijven van toepassing. Conformiteitsbeoordeling op grond van artikel 43 blijft van toepassing. Registratie in de EU-databank op grond van artikel 49 blijft van toepassing. Alleen de datum is veranderd.
Verplichtingen voor ingebedde producten van bijlage I. AI die wordt gebruikt als veiligheidscomponent in producten die vallen onder de in bijlage I vermelde harmonisatiewetgeving van de Unie (de Machinerichtlijn, MDR, IVDR, speelgoed, liften, RED, scheepvaart, burgerluchtvaart, motorvoertuigen, landbouw- en bosbouwvoertuigen) was oorspronkelijk gepland voor 2 augustus 2027. De AI Omnibus heeft dit verschoven naar 2 augustus 2028 om aan te sluiten bij de capaciteit van aangemelde instanties en de publicatie van geharmoniseerde normen. Artikel 6, lid 1 is het operationele classificatiepad.
Verboden praktijken van artikel 5. Deze zijn op 2 februari 2025 in werking getreden, achttien maanden eerder. Als uw product sociale scoring, gerichte gezichtsherkenning via scraping, manipulatieve AI die kwetsbaarheden uitbuit, real-time biometrische identificatie op afstand in openbare ruimten door rechtshandhaving, voorspellende politiewerk, biometrische categorisering op basis van gevoelige kenmerken, emotieherkenning op de werkvloer of in het onderwijs, of andere verboden uit artikel 5 toepast, bent u al niet-conform. De AI Omnibus heeft de data van artikel 5 niet gewijzigd; er is één nieuw verbod aan toegevoegd (niet-consensuele seksueel expliciete AI-inhoud).
GPAI-leveranciersverplichtingen onder artikel 53 zijn op 2 augustus 2025 in werking getreden voor de upstream-modelaanbieders. Als SaaS-gebruiksverantwoordelijke die hun API's gebruikt, zijn deze verplichtingen niet rechtstreeks op u van toepassing. Uw downstream-verplichtingen op grond van artikel 50 zijn dat wel.
Vier bevindingen die onze reviewers het vaakst zien die de deadline missen
In de audits die de praktijk heeft uitgevoerd, duiken vier patronen keer op keer op in de aanloop naar 2 augustus 2026.
1. Chatbotmelding ontbreekt of is verborgen. De meest voorkomende schending van artikel 50, lid 1: een chatoppervlak dat duidelijk een AI is, maar dit niet aan het begin van elk gesprek bekendmaakt. Onze reviewers lossen dit op met een drop-in chatbanner-snippet (React, vanilla HTML, Vue 3) met de tekst in alle 24 EU-talen. Vijf minuten plakken, conform.
2. Door AI gegenereerde inhoud zonder markering. Artikel 50, lid 2 vereist een machineleesbaar herkomstmerk, niet alleen een zichtbaar label. Onze technische reviewers integreren C2PA Content Credentials op het moment van genereren. Dit is de enige momenteel beschikbare implementatie die voldoet aan de door de Verordening gestelde norm van 'doeltreffend, interoperabel, robuust en betrouwbaar'.
3. Deepfake of stemkloon blijft dubbelzinnig. Artikel 50, lid 4 is expliciet: synthetische media die echte personen afbeelden, moeten worden gelabeld als kunstmatig gegenereerd of gemanipuleerd. Onze reviewers leveren overlay-componenten die de bestaande mediarenderer van de klant omhullen zonder de speler te wijzigen.
4. Openbaar AI-gebruiksbeleid ontbreekt. Geen strikte verplichting op grond van artikel 50 op zichzelf, maar het meest nuttige vertrouwenssignaal dat een SaaS kan publiceren. Onze praktijk schrijft het beleid als onderdeel van de audit, gebranded voor de klant, klaar om te publiceren op /ai-use.
Blootstelling aan sancties op dezelfde datum
De sancties van artikel 99 treden in werking in lijn met de verplichtingen die zij handhaven. Drie niveaus die SaaS moet bijhouden.
€35 miljoen of 7% van de totale wereldwijde jaarlijkse omzet voor schendingen van de verboden praktijken van artikel 5 op grond van artikel 99, lid 3. Al afdwingbaar sinds 2 februari 2025. Kleine en middelgrote ondernemingen profiteren van evenredigheid op grond van artikel 99, lid 6, maar het maximum is ongewijzigd.
€15 miljoen of 3% van de totale wereldwijde jaarlijkse omzet voor niet-naleving van de hoog-risicoverplichtingen op grond van artikelen 6 tot en met 49, en voor schendingen van artikel 50, op grond van artikel 99, lid 4. Treedt in werking op 2 augustus 2026 voor artikel 50. Treedt in werking op 2 december 2027 voor bijlage III. Treedt in werking op 2 augustus 2028 voor ingebedde producten van bijlage I.
€7,5 miljoen of 1% van de totale wereldwijde jaarlijkse omzet voor het verstrekken van onjuiste of misleidende informatie aan autoriteiten op grond van artikel 99, lid 5. Treedt in werking in lijn met de materiële verplichting die wordt geschonden.
Onze sanctiecalculator op /tools/penalty-calculator geeft een voor het mkb gecorrigeerde schatting op basis van de omzetcategorie van de klant. Wij verwachten niet dat kleine SaaS op dag één van de handhaving de hoogste boetes zullen ontvangen. Wij verwachten wel dat markttoezichtautoriteiten optreden bij zichtbare schendingen om precedenten te scheppen: chatbots die hun AI-aard verbergen, en deepfake-diensten die ongelabelde output leveren.
Wat de praktijk aanbeveelt nu te doen
Drie concrete stappen, in volgorde, specifiek voor de artikel 50-golf.
Stap 1: triage. Voer de artikel 50-audit uit op /tools/article-50-audit. Functie voor functie: welke leden van artikel 50 zijn van toepassing (chatbotmelding, markering van synthetische inhoud, melding bij emotie- of biometrische herkenning, labeling van deepfakes). Twee minuten, beslisboom.
Stap 2: de audit in opdracht geven. Als u zich op het terrein van artikel 50 begeeft (de overgrote meerderheid van SaaS), geef dan een Disclos-audit opdracht. €997, vijf werkdagen, oplevering ondertekend door onze hoofdreviewer. De audit omvat de implementatie van artikel 50 voor elke in-scope functie, inclusief het logboek voor openbaarmakingen.
Stap 3: implementeer vóór 30 juli 2026. Drie dagen buffer vóór de deadline. De check-in van onze reviewers vindt dertig dagen na oplevering plaats, waardoor u weken de tijd heeft om elke fix te implementeren vóór de datum.
Als u een audit opdracht geeft in late juli 2026, zal de oplevering na 2 augustus 2026 in uw inbox belanden. Tegen die tijd is het handhavingsrisico reëel. De bijlage III-golf op 2 december 2027 is een afzonderlijk programma van achttien maanden; zie onze bijlage III-pagina voor de routekaart.
Frequently asked questions
Zal het EU AI-Bureau SaaS-oprichters actief vervolgen op 2 augustus 2026?
Actieve vervolging vereist dat markttoezichtautoriteiten in elke lidstaat zijn bemand en van middelen voorzien. Onze beleidsreviewers volgen de paraatheid per lidstaat. Frankrijk (CNIL), Italië (Garante), Spanje (AESIA) en Duitsland (BSI + Bundesländer) zijn de vier meest waarschijnlijke eerstebewegers. Handhaving op dag één zal waarschijnlijk worden uitgelokt door klachten van natuurlijke personen in plaats van actieve sweep-audits. Zichtbare schendingen (chatbots die hun AI-aard verbergen, ongelabelde deepfakes) zijn de meest waarschijnlijke doelwitten.
Moet mijn in de VS opgerichte SaaS iets doen?
Als een persoon die zich in de Europese Unie bevindt uw product kan gebruiken, ja. Artikel 2, lid 1, onder a) maakt de Verordening extraterritoriaal van toepassing, ongeacht waar de aanbieder is gevestigd. Onze pagina's per land beschrijven hoe handhaving eruitziet in elke lidstaat.
Wat als ik er niet zeker van ben of mijn functies AI zijn?
Artikel 3, lid 1 definieert een AI-systeem ruim: elk op machines gebaseerd systeem dat uitvoer genereert (voorspellingen, aanbevelingen, beslissingen, inhoud) voor een reeks doelstellingen. Het aanroepen van een inferentie-eindpunt en het tonen van het resultaat aan een gebruiker is inzet van AI in de zin van de Verordening, zelfs als u zelf nooit een model heeft getraind. De standaardinname van onze reviewers omvat een functie-voor-functie-classificatie. Als u twijfelt, neemt de audit de onzekerheid weg.
Kan ik vertrouwen op OpenAI / Anthropic / Mistral om voor mij conform te zijn?
Nee. Hun verplichtingen op grond van artikel 53 zijn verplichtingen van GPAI-aanbieders, niet uw verplichtingen als gebruiksverantwoordelijke op grond van artikel 50. De Verordening is hierover expliciet. Hun naleving gaat niet op u over. Verwijs naar hun openbaarmakingen op grond van artikel 53 in uw modelkaart, maar lever uw eigen openbaarmakingen op grond van artikel 50 op uw product.
Hoe laat is te laat om een audit opdracht te geven?
De praktijk voert maximaal vijf audits per week uit. In juni 2026 zal de intake tot capaciteit vol zijn. Medio juli 2026 verwachten wij het formulier binnen enkele uren na openen te sluiten voor die week. Geef opdracht vóór eind juni voor oplevering vóór de deadline met drie weken implementatiebuffer.
Sources
Last updated: 2026-06-09