Kantyra Kantyra
AI-verordening (AI Act) · hoog-risico vanaf 2 augustus 2026

Software voor de AI-verordening

De AI-verordening geldt gefaseerd. De AI-geletterdheidsplicht loopt al sinds februari 2025 en vanaf 2 augustus 2026 gelden de verplichtingen voor hoog-risico-systemen en de transparantieplicht. Kantyra bevat een AI-register en een risicoclassificatie, met het normenkader van de AI-verordening naast je bestaande informatiebeveiliging, zodat je AI beheerst inzet en dat kunt aantonen.

De wet

Wat verplicht de AI-verordening?

De AI-verordening kiest voor een risicogebaseerde aanpak: niet elk AI-systeem is even zwaar gereguleerd, maar de zwaarte hangt af van wat het systeem doet en wie het raakt. Drie verplichtingen bepalen waar je begint.

Risicoclassificatie

Elk AI-systeem valt in een categorie: verboden praktijk, hoog risico, beperkt risico met een transparantieplicht, of minimaal risico. De categorie bepaalt welke verplichtingen gelden.

AI-geletterdheid

Sinds 2 februari 2025 zorg je dat medewerkers die met AI werken begrijpen wat het systeem doet, wat de risico's zijn en hoe zij het verantwoord gebruiken. Deze plicht geldt voor elke organisatie die AI inzet.

Verplichtingen per rol

Als aanbieder of als gebruiksverantwoordelijke gelden verschillende plichten, van menselijk toezicht en transparantie tot documentatie. Voor hoog-risico-systemen zijn die eisen het zwaarst en gelden zij vanaf 2 augustus 2026.

De AI-module

Het AI-register en de classificatie zitten ingebouwd

Kantyra heeft een AI-module die naast je risicomanagement, je verwerkingsregister en je maatregelen draait. Je houdt AI dus niet in een losse spreadsheet bij, maar op hetzelfde platform waar de rest van je informatiebeveiliging staat.

Een AI-register met rol en categorie

Elk AI-systeem staat in het register met zijn doel, de leverancier, de rol van je organisatie (aanbieder of gebruiksverantwoordelijke) en zijn risicocategorie. Je koppelt het systeem aan de eigenaar, het bedrijfsmiddel en de verwerkingsactiviteit waarop het draait.

Risicoclassificatie met onderbouwing

Met een classificatie bepaal je per systeem in welke categorie het valt en leg je vast of er menselijk toezicht is. Zo zie je meteen welke systemen hoog risico zijn en dus de zwaarste eisen kennen, en welke je licht kunt houden.

Het normenkader in het compliance-register

De AI-verordening en ISO/IEC 42001 staan als toetsbaar kader in het compliance-register, gekoppeld aan je bestaande maatregelen. Wat je voor de AVG of de Cbw al geregeld hebt, telt daar waar het kan meteen mee.

Aan de slag

Van AI-inventarisatie naar aantoonbare beheersing

De AI-module volgt dezelfde vier fasen als de rest van Kantyra. Elke fase levert iets op dat je aan de directie, een auditor of een klant kunt laten zien.

Signaleren

Je brengt je AI-systemen in kaart in het AI-register, ook de hulpmiddelen die via leveranciers of losse tools binnenkomen.

Beoordelen

Je classificeert elk systeem en bepaalt welke verplichtingen en welke rol voor jouw organisatie gelden.

Oplossen

Maatregelen als menselijk toezicht, transparantie en documentatie krijgen een eigenaar en een einddatum; de voortgang is zichtbaar in hetzelfde overzicht.

Aantonen

Het bewijs hangt aan het systeem en de maatregelen. Een toets of vraag van een klant wordt daarmee een export in plaats van een zoektocht.

Veelgestelde vragen

Veelgestelde vragen over de AI-verordening

Wat is de AI-verordening (AI Act)?

De Europese wet (Verordening (EU) 2024/1689) die het gebruik van AI reguleert. Zij deelt systemen in naar risico: verboden, hoog, beperkt met een transparantieplicht, en minimaal. Hoe hoger het risico, hoe zwaarder de eisen.

Vanaf wanneer geldt de wet?

Gefaseerd: de verboden praktijken en de AI-geletterdheidsplicht sinds 2 februari 2025, de regels voor AI voor algemene doeleinden sinds 2 augustus 2025, en de eisen voor hoog-risico-systemen en de transparantieplicht vanaf 2 augustus 2026.

Voor wie geldt de wet?

Voor aanbieders die AI ontwikkelen of leveren en voor gebruiksverantwoordelijken die AI inzetten. De meeste organisaties zijn gebruiksverantwoordelijke en dragen dus verantwoordelijkheid voor de AI die zij gebruiken.

Wat is de AI-geletterdheidsplicht?

Artikel 4 verplicht je te zorgen dat medewerkers die met AI werken voldoende weten van wat het systeem doet en welke risico's eraan zitten. Deze plicht geldt sinds februari 2025 en staat los van de risicocategorie.

Wat is een hoog-risico-AI-systeem?

Een systeem op een gebied uit bijlage III, zoals werving, kredietbeoordeling of toegang tot onderwijs. Daarvoor gelden de zwaarste eisen: risicobeheer, datakwaliteit, menselijk toezicht, logging en documentatie.

Wat riskeer je als je niet voldoet?

Boetes tot 35 miljoen euro of 7 procent van de wereldwijde jaaromzet voor verboden praktijken, en tot 15 miljoen euro of 3 procent voor overige overtredingen, naast het reputatierisico.

Meer lezen? Wat vraagt de AI-verordening van jouw organisatie? · NIS2 en de Cyberbeveiligingswet

Demo

Welke AI zet jij al in?

In een demo van 30 minuten lopen we de AI-module door aan de hand van jouw situatie: welke AI-systemen je in kaart brengt, hoe je ze classificeert en wat er vóór 2 augustus 2026 nog moet gebeuren.

Plan een demo van 30 minuten