Het uitstel van Europese regels voor hoog-risico AI-systemen kan bedrijven en overheden op hoge kosten jagen. Organisaties die nu pas maatregelen nemen wanneer alle verplichtingen definitief zijn, moeten compliance alsnog inbouwen in AI-toepassingen die dan al volledig zijn verweven in hun processen. Volgens AI-consultancybureau ADC blijven burgers en klanten ondertussen langer blootgesteld aan systemen waarvan de risico’s nog onvoldoende zijn geborgd.
AI Act uitstel vergroten compliancerisico’s
Het Europees Parlement en de Raad bereikten op 7 mei een voorlopig akkoord om de implementatiedeadlines van hoog-risico AI-systemen uit te stellen. Voor standalone systemen onder Annex III verschuift de verplichte naleving van augustus 2026 naar december 2027. Dit uitstel creëert een problematische situatie: organisaties die pas maatregelen nemen wanneer alle verplichtingen definitief zijn, moeten compliance achteraf inbouwen in AI-toepassingen die al volledig in hun processen zijn verweven. Volgens AI-consultancybureau ADC blijven burgers en klanten ondertussen langer blootgesteld aan systemen waarvan de risico’s onvoldoende zijn geborgd.
Voor ondernemers in zakelijke dienstverlening die AI-toepassingen inzetten, van klantenservice tot beslissingsondersteunend systemen, biedt dit uitstel geen vrijbrij. Bedrijven die nu anticiperen op AI-beveiligingseisen kunnen risico’s beter beheersen en voldoen aan datasoevereiniteitsstandaarden, kritiek voor contracten met internationale partners. Het alternatief, wachten tot 2027 en dan alsnog compliant moeten worden, betekent aanzienlijke herzieningswerk en operationele verstoringen.
AI Act verplichtingen verschuiven naar 2027 en 2028
Het Europees Parlement en de Raad bereikten op 7 mei een voorlopig akkoord om de deadlines voor hoog-risico AI-systemen uit te stellen. Voor standalone systemen onder Annex III verschuift de verplichte naleving van augustus 2026 naar december 2027. Voor hoog-risico AI in gereguleerde producten geldt een nieuwe deadline van augustus 2028. Daarnaast deelde de Europese Commissie op 19 mei conceptrichtlijnen voor de classificatie van Annex III, maar deze zijn nog niet juridisch bindend.
Volgens Elianne Anemaat, senior manager Public & Society bij ADC, beschouwen veel organisaties het uitstel als adempauze. Echter, wie pas in actie komt wanneer alle richtlijnen definitief zijn, heeft onnodig extra werk. AI-systemen draaien nu al in processen die mensen direct raken, van fraudedetectie tot recruitment en kredietbeoordeling.
Ingebakken AI-systemen en onduidelijke normen drijven kosten op
De afwezigheid van technische standaarden en praktische richtlijnen zorgt voor onzekerheid bij organisaties. Tegelijkertijd implementeren bedrijven en overheden in hoog tempo nieuwe AI-toepassingen. Daarbij nemen ze beslissingen over architectuur, leveranciers en processen, terwijl de technische standaarden voor naleving nog niet vaststaan. Wanneer dit achteraf moet worden bijgesteld, kunnen de kosten flink oplopen.
Anemaat benadrukt dat proactief handelen loont. Organisaties die nu al zorgen voor transparante datastromen, goede logging, duidelijke rollen en toetsbare modellen, kunnen straks relatief eenvoudig aansluiten op de uiteindelijke standaarden. Dit voorkomt dure hersteloperaties wanneer systemen al volledig zijn geïntegreerd in bedrijfsvoering.
Menselijke impact van risicovol AI-gebruik
Het uitstel van de AI Act is niet alleen een organisatorisch of financieel risico. Hoog-risico AI wordt steeds vaker ingezet waar beslissingen direct ingrijpen in het leven van mensen. Denk aan recruitment, medische triage, fraudedetectie, onderwijs en publieke dienstverlening. Bovendien kunnen slecht ontworpen of onvoldoende gemonitoreerde systemen negatieve gevolgen hebben.
Zo kan het beïnvloeden of iemand wordt uitgenodigd voor een sollicitatiegesprek, op tijd zorg krijgt of tijdig reactie krijgt van een publieke instelling. Anemaat stelt dat hoe langer de AI Act op zich laat wachten, hoe groter de kans dat mensen onnodig worden geraakt door fouten of blinde vlekken in deze systemen.
Publieke sector extra kwetsbaar voor AI-risico’s
Vooral de publieke sector moet scherp zijn. Gemeenten, uitkeringsinstanties en zorgorganisaties hebben veel te winnen met AI, maar hebben direct impact op burgers. Daarnaast opereren deze organisaties binnen strakke aanbestedingsregels, budgetcycli en politieke verantwoording waardoor snel bijsturen structureel moeilijker is.
Anemaat waarschuwt dat een AI-systeem dat faalt in de private sector primair een bedrijfsrisico vormt. In de publieke sector kan hetzelfde probleem echter uitgroeien tot een bestuurlijke crisis. De combinatie van trage besluitvorming en hoge maatschappelijke impact maakt overheidsinstellingen extra kwetsbaar.
Advies: gebruik gewonnen tijd voor structurele inventarisatie
ADC adviseert organisaties om de gewonnen tijd te gebruiken voor een structurele inventarisatie van hun AI-gebruik. Dit betekent alle AI-toepassingen in kaart brengen, ook functionaliteiten die verwerkt zijn in bestaande software of dashboards. Vervolgens kunnen organisaties bepalen welke systemen mogelijk hoog-risico zijn op basis van functie en impact.
Verder raadt het consultancybureau aan om impact assessments uit te voeren, ook als formele vereisten nog niet vaststaan. Ook het toetsen van systemen op bias, uitlegbaarheid en controleerbaarheid hoort daarbij. Tot slot moeten organisaties investeren in AI-geletterdheid zodat medewerkers risico’s kunnen herkennen.
Anemaat benadrukt dat verantwoord AI-gebruik geen eenmalige exercitie is, maar een vaardigheid. Wie nu begint, bouwt compliance in als onderdeel van de werkwijze, in plaats van als een verplichting die er later bij komt. Het formele akkoord van het Europees Parlement en de Raad moet nog worden bekrachtigd.
Kernfeiten
- Implementatiedeadline hoog-risico AI-systemen verschuift van augustus 2026 naar december 2027
- Organisaties die wachten tot definitieve compliance moeten achteraf herzieningswerk uitvoeren in reeds ingebouwde AI-processen
- ADC waarschuwt dat burgers en klanten langer blootgesteld blijven aan systemen met onvoldoende risicoborging
Veelgestelde vragen
Wat betekent het AI Act uitstel voor mijn bedrijf dat AI inzet?
Het uitstel tot december 2027 geeft meer tijd, maar ook risico’s. Als je nu niet anticiperen op compliance-eisen, moet je later mogelijk kostbare herzieningswerk doen in systemen die al volledig zijn verweven in je processen. Beter is nu stap voor stap de vereisten uittesten en documenteren.
Hoe beïnvloedt dit uitstel ondernemers in Nederland?
Nederlandse bedrijven die AI-tools gebruiken voor klantbeslissingen, creditscoring of andere hoog-risico toepassingen moeten nu voorzichtig zijn. Een uitstel lijkt gunstig, maar betekent eigenlijk dat je moet voorkomen dat je AI-systemen dermate ingebakken raken dat naleving later onmogelijk of extreem duur wordt.
Welke risico’s brengt wachten met AI-compliance met zich mee?
Wachten tot 2027 kan betekenen dat je AI-systemen al diep in je bedrijfsprocessen zitten. Compliance-eisen, risicoanalyse, audit trails, transparantieverplichtingen, zijn dan veel duurder om in te bouwen. Bovendien blijven klanten en werknemers ondertussen langer blootgesteld aan systemen waarvan de risico’s niet goed zijn gedocumenteerd.
Wat kunnen ondernemers nu doen?
Start een inventarisatie: welke AI-toepassingen heb je, en vallen die onder ‘hoog-risico’? Leg nu vast welke risico’s deze systemen met zich meebrengen en hoe je ze monitort. Dit bespaart je straks veel duurdere ombouwen en geeft je al een competitief voordeel, partners en klanten zien graag dat je risico’s serieus neemt.