Als u software levert aan een klant in Berlijn, Parijs of Amsterdam — en uw product op bijna elke manier raakt aan AI — dan is 2 augustus 2026 de datum die u met rood moet omcirkelen op uw compliance-kalender. Dat is de dag waarop Verordening (EU) 2024/1689, beter bekend als de EU AI-verordening (AI Act), volledig handhaafbaar wordt voor transparantieverplichtingen en de handhavingsbevoegdheden van de Commissie over AI-modellen voor algemene doeleinden in werking treden. Boetes kunnen oplopen tot 7% van de wereldwijde jaaromzet. En nee, het maakt niet uit dat uw hoofdkantoor in San Francisco staat, uw servers in Virginia staan en uw team nog nooit een voet in Brussel heeft gezet.
De meeste Amerikaanse oprichters die we spreken, hebben een mentaal model van de EU AI-verordening dat is ontleend aan de AVG (GDPR): een paar cookiebanners, een update van het privacybeleid, misschien een verwerkersovereenkomst (DPA). De AI-verordening is anders. Het reguleert het product, niet alleen de gegevens. Het wijst verplichtingen toe per rol — aanbieder, gebruiker (deployer), distributeur, importeur, gemachtigde — en het legt conformiteitsbeoordelingen voorafgaand aan het in de handel brengen, technische documentatie, monitoring na het in de handel brengen en registratie in een EU-brede database op voordat een systeem met een hoog risico rechtmatig een Europese gebruiker kan bereiken. De sancties zijn groter dan die van de AVG. De impact op inkoopvragenlijsten is groter. En de wet heeft een extraterritoriale reikwijdte die is vastgelegd in Artikel 2.
Deze gids doorloopt wat Amerikaanse SaaS-bedrijven, aanbieders van foundation models en ontwikkelaars van AI-agents daadwerkelijk moeten doen tussen nu en de volgende reeks deadlines, in ruwweg de volgorde waarin u het zou moeten doen.
Stap één: Bepaal of de verordening op u van toepassing is
Het toepassingsgebied van de verordening is breder dan de meeste Amerikaanse oprichters verwachten. Artikel 2 heeft betrekking op:
- Aanbieders die AI-systemen op de EU-markt aanbieden of in de EU in gebruik stellen, ongeacht waar de aanbieder is gevestigd
- Gebruikers (deployers) die in de EU zijn gevestigd
- Aanbieders en gebruikers die buiten de EU zijn gevestigd wanneer de output van het AI-systeem in de EU wordt gebruikt
Dat laatste punt is de valstrik. Als uw in de VS gevestigde AI-systeem een transcriptie verwerkt, een marketing-e-mail genereert, een cv beoordeelt of een contract samenvat, en de resulterende output wordt gebruikt door een in de EU gevestigde ontvanger, valt u binnen het toepassingsgebied, zelfs als er nooit een Europeaan rechtstreeks contact heeft met uw API. Een Amerikaanse leverancier van juridische technologie wiens samenvattingen in het dossier van een Nederlands advocatenkantoor terechtkomen, valt binnen het toepassingsgebied. Een Amerikaans wervingstool waarvan de rangschikking van kandidaten wordt beoordeeld door een personeelsmanager in München, valt binnen het toepassingsgebied. Een Amerikaanse chatbot die is ingebed in een SaaS-applicatie die aan een Franse klant wordt verkocht, valt binnen het toepassingsgebied.
Het praktische filter voor de meeste B2B SaaS-bedrijven is eenvoudiger: als een van uw betalende klanten, of de eindgebruikers van uw klanten, zich in de EU bevinden, ga er dan van uit dat de verordening van toepassing is en werk van daaruit terug.
Stap twee: Classificeer uw rol en het risiconiveau van uw systeem
De verordening wijst verplichtingen toe op basis van wat u doet, niet hoe u uzelf noemt. De meeste SaaS-bedrijven vallen tegelijkertijd in een of meer van deze categorieën:
- Aanbieder (Provider) — u brengt een AI-systeem onder uw eigen naam of handelsmerk op de markt. Dit geldt voor bijna elke SaaS-leverancier die AI-functies levert.
- Gebruiker (Deployer) — u gebruikt een AI-systeem onder uw gezag (bijvoorbeeld: u gebruikt een model van een derde partij in uw product). Gebruikers hebben lichtere verplichtingen dan aanbieders, maar ze zijn wel reëel.
- Aanbieder van AI-modellen voor algemene doeleinden (GPAI) — u ontwikkelt of fine-tunt een foundation model dat voor veel verschillende taken kan worden gebruikt. De meeste Amerikaanse SaaS-bedrijven zijn geen GPAI-aanbieders; u gebruikt GPAI-modellen van iemand anders. Maar als u Llama fine-tunt of uw eigen foundation model bouwt, heeft u de grens mogelijk overschreden.
- Gemachtigde (Authorized representative) — vereist voor niet-EU-aanbieders van systemen met een hoog risico en GPAI-modellen (hierover hieronder meer).
Risicoclassificatie is de tweede as. De verordening creëert vier niveaus:
| Niveau | Voorbeelden | Wat het betekent |
|---|---|---|
| Onaanvaardbaar (Artikel 5) | Sociale scores, emotieherkenning op de werkplek, willekeurige gezichtsscraping | Per 2 februari 2025 volledig verboden |
| Hoog risico (Bijlage III) | AI gebruikt bij werving, kredietbeoordeling, toelating tot onderwijs, biometrische ID, kritieke infrastructuur, wetshandhaving | Volledige conformiteitsbeoordeling, CE-markering, registratie in EU-database |
| Beperkt risico (Artikel 50) | Chatbots, deepfake-generatoren, emotieherkenning (buiten de werkplek) | Alleen transparantievoorschriften |
| Minimaal risico | Spamfilters, AI in videogames, door AI verbeterde zoekresultaten | Geen specifieke verplichtingen |
De meeste Amerikaanse B2B SaaS-producten die een AI-functie hebben toegevoegd aan bestaande workflows, vallen in de categorie beperkt risico en hebben transparantieplichten op grond van Artikel 50. De uitzonderingen zijn belangrijk: alles wat raakt aan beslissingen over werkgelegenheid, toelating tot het onderwijs, kredietwaardigheid, biometrie of essentiële openbare diensten, valt onder hoog risico en is een aanzienlijk zwaardere opgave.
Stap drie: Plan de deadlines in die op u van toepassing zijn
De verplichtingen van de wet worden over een periode van drie jaar gefaseerd ingevoerd. Hier is de actuele tijdlijn:
- 2 februari 2025 — Verboden AI-praktijken (Artikel 5) en verplichtingen inzake AI-geletterdheid (Artikel 4) werden afdwingbaar. Als uw product verboden praktijken uit Artikel 5 implementeert, stop dan. Vandaag nog.
- 2 augustus 2025 — Governance-bepalingen en verplichtingen voor GPAI-modellen werden van kracht. Nieuwe GPAI-modellen die na deze datum worden uitgebracht, moeten onmiddellijk voldoen. Modellen die vóór deze datum al bestonden, hebben tot 2 augustus 2027.
- 2 augustus 2026 — De belangrijkste mijlpaal. Transparantieverplichtingen uit Artikel 50 worden afdwingbaar. Verplichtingen voor systemen met een hoog risico onder Bijlage III worden afdwingbaar. De handhavingsbevoegdheden van de Commissie over GPAI-modellen, inclusief de mogelijkheid om boetes op te leggen, treden in werking. De vereiste uit Artikel 22 voor een gemachtigd vertegenwoordiger voor niet-EU-aanbieders van hoog-risicosystemen wordt operationeel.
- 2 augustus 2027 — Bestaande GPAI-modellen moeten volledig compliant zijn. Hoog-risicosystemen die zijn ingebed in reeds gereguleerde producten (speelgoed, medische hulpmiddelen, machines) vallen onder het kader van de wet.
- 2 december 2027 — Hoog-risicosystemen die al in gebruik zijn in specifieke categorieën van Bijlage III (biometrie, kritieke infrastructuur, onderwijs, werkgelegenheid, migratie, asiel, grenscontrole) moeten aan de regels voldoen.
- 2 augustus 2028 — Hoog-risicosystemen ingebed in gereguleerde producten (liften, speelgoed, enz.) zijn volledig onderworpen aan handhaving.
Voor een typisch Amerikaans SaaS-bedrijf dat een chatbot of AI-assistent levert aan klanten in de EU, is de praktische deadline op korte termijn 2 augustus 2026 voor de transparantie van Artikel 50. Voor aanbieders van basismodellen en AI-agentplatforms opent het venster voor GPAI-handhaving op diezelfde dag.
Stap vier: Voer de transparantiewerkzaamheden uit Artikel 50 uit
Als uw product in de categorie met beperkt risico valt, is dit het gedeelte dat er het meeste toe doet. Artikel 50 vereist vier specifieke openbaarmakingen:
- Openbaarmaking chatbot: Als een persoon communiceert met een AI-systeem, moet deze worden geïnformeerd dat hij of zij met AI communiceert — tenzij dit uit de context overduidelijk is. "Overduidelijk" is een rekbaar begrip in deze zin. De voorzichtige interpretatie is om bij de eerste interactie een expliciete melding toe te voegen.
- Markering van synthetische inhoud: Door AI gegenereerde of gemanipuleerde afbeeldingen, audio-, video- of tekstinhoud moeten worden gemarkeerd in een machineleesbaar formaat dat herkenbaar is als kunstmatig. Dit betekent in de praktijk watermerken of metadata over de herkomst (denk aan C2PA).
- Labelen van deepfakes: Inhoud die een deepfake vormt, moet worden gelabeld als kunstmatig gegenereerd of gemanipuleerd.
- Labelen van tekst van algemeen belang: Door AI gegenereerde tekst die is gepubliceerd om het publiek te informeren over zaken van algemeen belang, moet worden vermeld als door AI gegenereerd, tenzij er een menselijke beoordeling met redactionele verantwoordelijkheid heeft plaatsgevonden.
Het bouwen van deze transparantielaag is technisch niet moeilijk, maar vereist wel coördinatie tussen product, design en juridische zaken. Enkele patronen die we hebben zien werken:
- Een kleine "AI-ondersteunde" badge in chatinterfaces, met een tooltip die linkt naar een uitgebreidere informatiepagina
- Metadata over de herkomst die tijdens de generatie wordt ingebed via de C2PA-standaard voor alle media-outputs
- Een bibliotheek met goedgekeurde teksten voor openbaarmaking, gelokaliseerd in alle EU-talen waarin uw product beschikbaar is
- Een intern beleid dat bepaalt dat alle inhoud van "algemeen belang" (nieuwsoverzichten, politieke onderwerpen, gezondheidsinformatie) een menselijke redactionele beoordeling ondergaat en wordt geregistreerd
Stap vijf: Stel een gemachtigd EU-vertegenwoordiger aan (indien nodig)
Artikel 22 vereist dat aanbieders die gevestigd zijn in derde landen — waaronder de VS — een gemachtigd vertegenwoordiger in de EU aanstellen met een schriftelijk mandaat voordat zij een AI-systeem met een hoog risico op de markt van de Unie aanbieden. Artikel 54 legt een soortgelijke verplichting op aan aanbieders van GPAI-modellen.
Als u alleen systemen met een beperkt risico levert met transparantieverplichtingen volgens Artikel 50, heeft u geen vertegenwoordiger volgens Artikel 22 nodig. Als u systemen met een hoog risico of GPAI-modellen levert, heeft u die wel nodig — en het vinden van een geschikte partij kost tijd. De taken van de vertegenwoordiger omvatten onder meer:
- Controleren of de EU-conformiteitsverklaring en de technische documentatie aanwezig zijn
- De documentatie gedurende tien jaar beschikbaar houden voor de nationale bevoegde autoriteiten
- Samenwerken met autoriteiten op het gebied van corrigerende maatregelen, het uit de handel nemen of terugroepen van producten
- Het doorsturen van klachten, incidentrapporten en meldingen van ernstige incidenten naar u
- Het beëindigen van het mandaat (en het informeren van de autoriteiten) als u niet aan uw verplichtingen voldoet
De vertegenwoordiger kan uw kernverplichtingen als aanbieder onder de Artikelen 9 tot en met 17 niet overnemen — die verantwoordelijkheid blijft bij u. Zij zijn in feite uw aansprakelijke aanwezigheid in de EU en uw aanspreekpunt voor het AI-bureau en de nationale marktoezichtautoriteiten.
De prijsstelling voor diensten van gemachtigd vertegenwoordigers is gestabiliseerd rond de € 5.000 tot € 25.000 per jaar voor kleinere aanbieders, afhankelijk van de complexiteit van het systeem, het aantal bediende EU-lidstaten en de omvang van de documentatiecontrole. Neem dit op in uw begroting op dezelfde manier waarop u budgetteert voor een 'registered agent' in Delaware.
Stap zes: Bouw de documentatiestapel op
Of u nu een systeem met een hoog risico of een GPAI-model levert, u bent een papieren spoor verschuldigd. De wet noemt verschillende documenten die moeten bestaan en actueel moeten worden gehouden:
- Technische documentatie (Bijlage IV voor hoog-risicosystemen, Bijlage XI voor GPAI-modellen) — systeemarchitectuur, praktijken voor gegevensbeheer, trainingsmethodologie, evaluatieresultaten, bekende beperkingen
- Documentatie risicobeheersysteem (Artikel 9) — identificatie van voorzienbare risico's, beperkende maatregelen, acceptatiecriteria voor restrisico's
- Documentatie gegevensbeheer (Artikel 10) — bronnen voor training, validatie en testgegevens, criteria voor gegevenskwaliteit, onderzoek naar vooroordelen
- Logboeken (Artikel 12) — automatische gebeurtenislogs met voldoende detail om monitoring na het op de markt brengen mogelijk te maken
- Ontwerp voor menselijk toezicht (Artikel 14) — hoe menselijke operators outputs kunnen interpreteren, kunnen interveniëren, overschrijven of het systeem kunnen uitschakelen
- Plan voor monitoring na het op de markt brengen (Artikel 72) — hoe u gegevens over de prestaties in de praktijk en incidenten zult verzamelen, analyseren en erop zult reageren
- EU-conformiteitsverklaring (Artikel 47) — de juridische verklaring dat uw systeem voldoet aan de vereisten van de wet
- CE-markering — aangebracht op het product om conformiteit aan te geven
Voor GPAI-aanbieders is de Praktijkcode (Code of Practice) die in juli 2025 door het AI-bureau is gepubliceerd, de de facto basislijn voor naleving geworden. Deelname is vrijwillig, maar ondertekening toont naleving te goeder trouw aan en levert u een gunstige behandeling op bij eventuele latere handhavingsbeoordelingen. De drie hoofdstukken van de code — Transparantie, Auteursrecht en Veiligheid en beveiliging — sluiten nauw aan bij waar het AI-bureau naar zal kijken wanneer het in augustus 2026 zijn handhavingsbevoegdheden begint uit te oefenen.
Stap zeven: Plan voor de golf van inkoopvragenlijsten
Voor de meeste Amerikaanse SaaS-bedrijven zal de eerste praktische uiting van de EU AI Act geen klop op de deur van het AI Office zijn. Het zal een inkoopvragenlijst zijn van het juridische team van een EU-klant, met vragen over welke modellen u gebruikt, op welke trainingsgegevens ze zijn gebouwd, welke controles u hebt om verboden gebruik te voorkomen, hoe uw regelingen voor data-residentie eruitzien en of u een Artikel 22-vertegenwoordiger hebt.
Deze vragenlijsten komen nu al binnen — ruim vóór de handhavingsdatum van augustus 2026 — omdat EU-kopers conforme leveranciers willen vastleggen vóór de deadline-drukte. Verkoopcycli worden langer in gereguleerde sectoren (financiën, gezondheidszorg, overheid, onderwijs) naarmate kopers AI Act-specifieke due diligence toevoegen. Oprichters die de vragenlijst in de eerste week van een verkoopcyclus vol vertrouwen kunnen beantwoorden, zullen deals sluiten die hun minder goed voorbereide concurrenten zullen verliezen.
Stel nu een vast AI Act-informatiepakket samen. Dit moet het volgende bevatten:
- Een samenvatting van één pagina van uw rol (aanbieder/gebruiker/beide), risicocategorie en de toepasselijke verplichtingen
- Een lijst van de onderliggende modellen die u gebruikt, met informatie over subverwerkers en gegevensverwerking (DPA-stijl)
- Uw transparantie-informatie (Artikel 50)
- Uw documentatie over databeheer en trainingsgegevens, indien nodig geanonimiseerd
- Uw procedure voor incidentrespons en het melden van ernstige incidenten
- Een kopie van het mandaat van uw gemachtigde vertegenwoordiger, indien van toepassing
Hoe de AVG, de Data Act en de DSA in het geheel passen
De AI Act vervangt de bestaande EU-wetgeving niet, maar vult deze aan. Een systeem met een hoog risico dat persoonsgegevens verwerkt, valt onder zowel de AI Act als de AVG (GDPR), en de verplichtingen stapelen zich op. Artikel 26(8) van de AI Act handhaaft expliciet de eis voor een gegevensbeschermingseffectbeoordeling (DPIA) van de AVG voor gebruikers van systemen met een hoog risico. De verplichtingen voor het delen van gegevens en het overstappen uit de Data Act zijn van toepassing naast de conformiteit van de AI Act. De regels voor transparantie van aanbevelingssystemen uit de Digital Services Act (DSA) gelden bovenop Artikel 50.
In de praktijk betekent dit dat uw nalevingsprogramma een geïntegreerd dossier nodig heeft. Eén enkele AI-functie kan een AVG DPIA, een AI Act-risicobeoordeling, een Artikel 50-openbaarmaking, een DSA-transparantierapport voor aanbevelingssystemen en een overdraagbaarheidsverplichting uit de Data Act triggeren. Fouten ontstaan wanneer deze als afzonderlijke werkstromen worden behandeld. Ze behandelen als één programma met gedeelde documentatie is hoe u het overzicht bewaart.
Hoe de boetes er werkelijk uitzien
De sanctiestructuur van de verordening onder Artikel 99 kent drie niveaus:
- Verboden praktijken (schendingen van Artikel 5): Tot €35 miljoen of 7% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is
- De meeste andere verplichtingen (Artikelen 8-15, Artikel 50, GPAI-verplichtingen onder Artikel 101): Tot €15 miljoen of 3% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is
- Misleidende informatie aan autoriteiten: Tot €7,5 miljoen of 1% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is
Voor het mkb, inclusief startups, zijn boetes gemaximeerd op het laagste van de twee bedragen in plaats van het hoogste. Dat is een aanzienlijke tegemoetkoming, maar 1% van de omzet is nog steeds een aanzienlijk bedrag voor een Series B SaaS-bedrijf, en "mkb" volgens de EU-definities reikt tot €50 miljoen omzet — de meeste Amerikaanse SaaS-bedrijven in de groeifase zitten boven die grens.
De eerste golf van handhavingsacties eind 2026 en in 2027 zal zich waarschijnlijk richten op de grootste, meest zichtbare aanbieders — laboratoria voor fundamentele modellen en grote AI-producten voor consumenten. Maar nationale markttoezichtautoriteiten hebben een ruime discretionaire bevoegdheid, en onderzoeken op basis van klachten kunnen elke aanbieder treffen. Plan voor het gemiddelde scenario, niet het slechtste: u zult waarschijnlijk niet de eerste zijn die een boete krijgt, maar u wilt niet de oprichter zijn die aan een raad van bestuur moet uitleggen waarom de EU-omzet van het bedrijf nu geblokkeerd is in afwachting van een herstelplan.
Bouw naleving in de engineering in, niet eromheen
De nalevingsteams die de meeste moeite hebben met de AI Act, zijn de teams die het behandelen als een juridische oefening die achteraf aan een afgerond product wordt toegevoegd. De teams die dit soepel afhandelen, behandelen het als een beperking bij het systeemontwerp: databeheer ingebouwd in de datalaag, logging ingebouwd in de inferentielaag, menselijk toezicht ingebouwd in de UX, transparantie-informatie ingebouwd in de componentenbibliotheek. De vereisten van de verordening zijn grotendeels zaken die een goed ontworpen AI-product sowieso al zou moeten doen — robuuste evaluatie, duidelijke documentatie, gestructureerde incidentrespons, transparante UX. De verordening maakt ze alleen wettelijk verplicht.
Specifiek voor Amerikaanse oprichters is de mentaliteitsverandering het besef dat de EU geen optionele markt is die u kunt uitstellen tot "later". Het extraterritoriale bereik van de verordening via output-in-de-EU betekent dat zelfs kleine B2B-contracten u binnen het toepassingsgebied kunnen trekken. En de dynamiek van de inkoopvragenlijsten betekent dat paraatheid nu een concurrentievoordeel is, en niet slechts een administratief punt op de checklist.
Houd ook uw financiële administratie klaar voor audits
Als u een SaaS-bedrijf opschaalt naar de EU, is naleving van de AI Act slechts één onderdeel van een grotere documentatie-uitdaging. U hebt ook zuivere financiële gegevens nodig, verdedigbare omzeterkenning voor abonnementen in meerdere rechtsgebieden, documentatie over verrekenprijzen (transfer pricing) en btw-MOSS-aangiften. Hetzelfde engineering-instinct dat zorgt voor schone, versiebeheerde nalevingsdocumentatie, zou ook uw boekhouding moeten aansturen: plain-text, controleerbaar en te beoordelen door een menselijke of een AI-auditor.
Houd uw financiën net zo transparant als uw AI
De diepere les van de AI Act — dat documentatie, auditeerbaarheid en transparantie nu strategische voordelen zijn — is net zo goed van toepassing op uw boekhouding. Beancount.io biedt plain-text accounting die u volledige transparantie en versiebeheer over uw financiële administratie geeft, met dezelfde menselijk leesbare en machine-verwerkbare structuur die moderne compliance vereist. Geen black boxes, geen vendor lock-in, en een journaal dat een auditor (of uw eigen AI-agent) direct kan lezen. Begin gratis en ontdek waarom developers en financiële professionals die AI-first bedrijven bouwen, overstappen op plain-text accounting.