Wat gebeurt er als u de EU AI-verordening negeert

# Wat gebeurt er als u de EU AI-verordening negeert

De meeste SaaS-oprichters weten dat de EU AI-verordening bestaat. De meesten gokken erop dat ze er later mee kunnen omgaan. Dit is wat "later" er in de praktijk uitziet.

De boetes

Artikel 99 van Verordening (EU) 2024/1689 stelt drie niveaus van sancties vast:

Verboden AI-praktijken (schendingen van artikel 5): tot 35 miljoen EUR of 7% van de wereldwijde jaarlijkse omzet, afhankelijk van welk bedrag hoger is.

Verplichtingen voor hoog-risicosystemen (Bijlage III, artikelen 6 tot en met 49): tot 15 miljoen EUR of 3% van de wereldwijde jaarlijkse omzet.

Transparantieschendingen (artikel 50): tot 7,5 miljoen EUR of 1% van de wereldwijde jaarlijkse omzet.

Voor een SaaS met een jaaromzet van 2 miljoen EUR betekent die ondergrens van 1% een boete van 20.000 EUR voor een transparantieschending. Voor een bedrijf met 10 miljoen EUR omzet is dat 100.000 EUR. Dit zijn geen theoretische maxima die bedoeld zijn om mensen angst aan te jagen. Nationale markttoezichtautoriteiten beschikken over handhavingsbudgetten en een mandaat om deze te benutten.

De handhavingstijdlijn

De EU AI-verordening is op 1 augustus 2024 in werking getreden. De handhaving verloopt gefaseerd:

2 augustus 2026 is de datum die voor de meeste SaaS-bedrijven van belang is. Als uw product gebruikmaakt van AI en u EU-klanten bedient, gelden de transparantieverplichtingen van artikel 50 en mogelijk de vereisten voor hoog-risicosystemen uit Bijlage III vanaf die datum.

Wie handhaaft de verordening

Elke EU-lidstaat moet ten minste één nationale bevoegde autoriteit en één markttoezichtautoriteit aanwijzen. In de praktijk betekent dit 27 afzonderlijke toezichthouders in de EU, elk met hun eigen interpretatie en handhavingsprioriteiten.

Frankrijk heeft de CNIL (gegevensbescherming) en bouwt AI-specifieke handhavingscapaciteit op. Duitsland heeft de BNetzA voor AI-modellen voor algemene doeleinden en afzonderlijke deelstaatautoriteiten voor sectorspecifieke handhaving. Ierland, waar veel Amerikaanse SaaS-bedrijven hun EU-entiteit hebben gevestigd, zal zijn eigen autoriteit krijgen.

Als uw SaaS klanten bedient in meerdere EU-lidstaten, kunnen meerdere toezichthouders jurisdictie hebben.

Het werkelijke risico is niet de boete

Voor een SaaS-bedrijf bestaat de daadwerkelijke schade van niet-naleving niet uit de sanctie zelf. Het is wat er met uw verkooppipeline gebeurt.

Enterprise-kopers in de EU voegen AI-verordening-conformiteit toe aan hun inkoopchecklist. Als u geen transparantieverklaring op grond van artikel 50, een risicoklassificatie voor uw AI-functies en documentatie van uw nalevingsaanpak kunt overleggen, komt u niet op de shortlist.

Dit gebeurt al. In het eerste kwartaal van 2026 verscheen de eerste golf van offerteaanvragen die EU AI-verordening-conformiteit als vereiste drempeleis opnemen. Tegen het derde kwartaal van 2026, nadat de deadline van augustus is verstreken, zal dit standaard zijn.

Elke week dat u naleving uitstelt, is een week die uw concurrenten kunnen gebruiken als verkoopvoordeel tegen u.

Hoe niet-naleving er in de praktijk uitziet

Een SaaS die de EU AI-verordening na 2 augustus 2026 negeert, wordt geconfronteerd met de volgende reeks gebeurtenissen:

Maand 1 tot 6: Er gebeurt niets zichtbaars. Toezichthouders bouwen capaciteit op. Enterprise-klanten beginnen vragen te stellen die u niet kunt beantwoorden. U verliest twee deals die u anders had gewonnen.

Maand 6 tot 12: Een concurrent noemt uw niet-naleving in een verkoopgesprek. Het juridische team van uw grootste EU-klant stuurt een formele vraag over uw status onder de AI-verordening. U haast zich om te reageren.

Maand 12 tot 18: Een markttoezichtautoriteit stuurt een formeel informatieverzoek. U heeft 30 dagen om te reageren met documentatie die u niet heeft. De juridische kosten om correct te reageren overtreffen wat naleving zou hebben gekost.

Maand 18 tot 24: Handhavingsactie. Openbaar register. Elke prospect die uw bedrijfsnaam opzoekt, ziet het.

Dit is geen speculatie. Dit is hoe de handhaving van de AVG zich tussen 2018 en 2020 heeft ontwikkeld voor bedrijven die ervan uitgingen dat toezichthouders niet zouden optreden.

Wat naleving in de praktijk vereist

Voor de meeste SaaS-bedrijven bestaan de verplichtingen uit:

  1. Classificeer uw AI-functies onder Bijlage III om te bepalen of er hoog-risicosystemen bij zijn
  2. Bepaal of u een aanbieder of gebruiksverantwoordelijke bent in de zin van de definities in de verordening
  3. Voeg transparantieverklaringen op grond van artikel 50 toe aan uw gebruikersinterface op plaatsen waar gebruikers met AI interacteren
  4. Documenteer uw nalevingsaanpak in een formaat dat u kunt delen met klanten en toezichthouders
  5. Stel een proces voor incidentmelding in voor ernstige AI-incidenten

Dit is geen meerjarig governanceprogramma. Voor een typische SaaS met één of twee AI-functies duurt het gehele proces dagen, niet maanden.

De kosten van wachten

Elke maand dat u wacht, stijgen de kosten:

De deadline van 2 augustus 2026 verschuift niet. De verordening is gepubliceerd. De tekst is definitief. Wachten op "duidelijkheid" betekent wachten op handhaving.

Wat u nu moet doen

Begin met de transparantieverplichtingen. Deze zijn van toepassing op de breedste reeks AI-systemen en zijn het eenvoudigst te implementeren. Voeg artikel 50-transparantieverklaringen toe aan de gebruikersinterface van uw product. Classificeer uw AI-functies onder Bijlage III. Documenteer alles.

Als u het zelf wilt doen, bevat onze open source EU AI-verordening-checklist alle 47 items verdeeld over 5 nalevingsfasen: github.com/GatisOzols/eu-ai-act-checklist

Als u het voor u wilt laten doen, voert Disclos audits met vaste reikwijdte uit voor SaaS in het kader van de EU AI-verordening. 997 EUR, 5 werkdagen, terugbetalingsgarantie gekoppeld aan de deadline van augustus: disclos.eu/audit

Last updated: 2026-06-04