EU AI Act augustus 2026: wat moet jouw organisatie doen?

De deadline nadert snel. Op 2 augustus 2026 gaan nieuwe verplichtingen uit de EU AI Act gelden voor onder meer GPAI-modellen en high-risk systemen. Veel organisaties zijn nog niet voorbereid. Dit is wat je moet weten.

Wat is de EU AI Act?

De EU AI Act is de eerste uitgebreide AI-wetgeving ter wereld. De verordening deelt AI-systemen in op basis van risico: van minimaal risico (chatbots voor entertainment) tot onaanvaardbaar risico (sociale scoring door overheden). Voor hoog-risico toepassingen gelden strenge eisen rond transparantie, datakwaliteit en menselijk toezicht.

De wet is van toepassing op iedere organisatie die AI-systemen aanbiedt of gebruikt in de EU, ongeacht waar de aanbieder gevestigd is. ChatGPT, Copilot en andere tools van buiten de EU vallen ook onder deze wet als ze in Europa worden gebruikt.

Wat moet jouw organisatie doen voor augustus 2026?

Concrete stappen die je nu kunt nemen:

• Inventariseer alle AI-tools die medewerkers gebruiken, ook onofficieel. Denk aan ChatGPT, Copilot, Gemini, maar ook gespecialiseerde SaaS-tools met ingebouwde AI.
• Voer een DPIA uit (Data Protection Impact Assessment) voor elk AI-systeem dat persoonsgegevens verwerkt. Dit is al verplicht onder de AVG, maar de EU AI Act voegt extra vereisten toe.
• Stel een AI-governancebeleid op met regels over welke tools zijn toegestaan, wat medewerkers wel en niet mogen invoeren, en wie eindverantwoordelijk is.
• Zorg voor aantoonbare audit trails: wie heeft welke AI-tool gebruikt, voor welk doel, en wanneer?

Welke AI-tools zijn problematisch?

De open consumentenversies van ChatGPT, Gemini en vergelijkbare tools zijn problematisch om meerdere redenen:

• Geen verwerkersovereenkomst (DPA) standaard beschikbaar bij standaardaccounts zonder enterprise-contract.
• Gesprekken kunnen worden gebruikt voor modeltraining, ook als dit opt-out is.
• Data wordt verwerkt op Amerikaanse servers, zonder EU-dataresidencie-garanties.
• Onvoldoende audittrail voor compliance-rapportage.

Ook zakelijke versies van ChatGPT (Plus, Team) geven geen volledige EU-compliance garantie zonder aanvullende contractuele afspraken.

Hoe helpt PrivaAI met AI-governance en aantoonbaarheid?

PrivaAI is gebouwd op Scaleway met EU-first verwerking en ontworpen voor gecontroleerd AI-gebruik, niet als losse add-on achteraf:

• EU-only processing chain: runtime, database, bestandsopslag, embeddings, vector search en AI-inference draaien via Scaleway in Frankrijk.
• Geen modeltraining: klantcontent wordt niet gebruikt voor modeltraining binnen de gebruikte Scaleway AI setup.
• Audit logging voor kernacties: AI-verzoeken worden vastgelegd met gebruiker, tijdstip en organisatiecontext waar dit binnen de productflow beschikbaar is.
• Verwerkersovereenkomst en documentatie: wij bieden een DPA-flow, clickwrap en ondersteuning voor een ondertekende DPA binnen je AVG-proces.
• DPIA-ondersteuning: onze documentatie helpt je de benodigde risicoanalyse te voltooien.