De EU AI Act en je documentbeheersysteem
Een praktische gids per functie over wat de EU AI Act betekent voor documentbeheersystemen met AI — OCR, auto-tagging, chatbots en alles daartussenin.
Laatst bijgewerkt: april 2026
Het korte antwoord
- → De meeste AI-functies in een documentbeheersysteem — OCR, automatische classificatie, metadata-extractie, zoeken — vallen onder minimaal risico en brengen geen specifieke verplichtingen met zich mee, afgezien van training in AI-geletterdheid.
- → Als je DMS een AI-chatbot heeft of tekst genereert (samenvattingen, vertalingen), zijn die functies van beperkt risico en vereisen ze transparantie-etikettering vanaf 2 augustus 2026.
- Kernpunt: De EU AI Act is niet zo eng als de krantenkoppen suggereren — maar de deadline van 2 augustus is reëel, en Artikel 4 (AI-geletterdheid) is al van kracht sinds februari 2025. Lees verder voor de volledige analyse.
Wat gebeurt er op 2 augustus 2026?
De EU AI Act (Verordening 2024/1689) is op 1 augustus 2024 in werking getreden, maar de verplichtingen worden geleidelijk ingevoerd. De grootste golf van handhaving vindt plaats op 2 augustus 2026 — dat is het moment waarop transparantieverplichtingen voor systemen met een beperkt risico, het volledige compliance-regime voor hoog risico, verplichtingen voor gebruikers (deployers) en de handhaving van boetes tegelijkertijd van kracht worden.
Als je een documentbeheersysteem met AI-functies in de EU exploiteert of gebruikt, is deze tijdlijn van belang. Sommige verplichtingen gelden al. Andere komen eraan in maanden, niet in jaren.
| Datum | Wat van kracht wordt | Status |
|---|---|---|
| 1 aug 2024 | AI Act treedt in werking (Verordening EU 2024/1689 gepubliceerd in het Publicatieblad) | Voltooid |
| 2 feb 2025 | Verboden praktijken uit Artikel 5 verboden — Artikel 4 verplichting tot AI-geletterdheid geldt voor alle aanbieders en gebruikers | Van kracht |
| 2 aug 2025 | Verplichtingen voor AI-modellen voor algemene doeleinden (Art. 51–56) — van toepassing op aanbieders van basismodellen zoals OpenAI, Google, Anthropic | Van kracht |
| 2 aug 2026 | Transparantieverplichtingen uit Artikel 50, vereisten voor systemen met een hoog risico uit Bijlage III (Art. 8–15), verplichtingen voor gebruikers (Art. 26), registratie in EU-database, handhavingsbevoegdheden en boetes | Nog 97 dagen |
| 2 aug 2026 | Transparantie: alle AI-chatbots moeten hun AI-aard onthullen; alle AI-gegenereerde content moet machineleesbare markeringen bevatten | Deadline |
| 2 aug 2027 | Bijlage I hoog-risico systemen — AI ingebed in gereguleerde producten (medische hulpmiddelen, voertuigen, machines) | Aankomend |
De Digital Omnibus Act, die zich momenteel in de trialoogonderhandelingen bevindt, kan de deadlines voor hoog-risico systemen (Bijlage III) verschuiven naar december 2027. De transparantieverplichtingen onder Artikel 50 en de vereiste voor AI-geletterdheid onder Artikel 4 blijven echter onaangetast door eventuele voorgestelde vertragingen. Houd rekening met 2 augustus 2026.
De vier risiconiveaus uitgelegd
De EU AI Act deelt AI-systemen in vier niveaus in op basis van potentieel gevaar. Hoe hoger het risico, hoe strenger de verplichtingen. Voor documentbeheer is het essentieel om deze niveaus te begrijpen — omdat het niveau bepaalt of u niets hoeft te doen, een informatielabel moet toevoegen of een volledige conformiteitsbeoordeling moet ondergaan.
De overgrote meerderheid van de AI-functies in documentbeheersoftware — OCR, automatische classificatie, extractie van metadata, full-text search — valt direct in de categorie minimaal risico. Het zijn beperkte procedurele taken die geen beslissingen over mensen nemen. In de volgende sectie brengen we dit functie voor functie in kaart.
| Risiconiveau | Wat valt hieronder | Verplichtingen | Maximale boete |
|---|---|---|---|
| Verboden | Social scoring, subliminale manipulatie, realtime biometrische identificatie in de openbare ruimte, emotieherkenning op de werkplek | Volledig verboden (Art. 5) | € 35M / 7% |
| Hoog risico | AI in biometrie, kritieke infrastructuur, werkgelegenheid, credit scoring, onderwijs, wetshandhaving, migratie | Volledige naleving: risicobeheer, datagovernance, technische documentatie, logging, menselijk toezicht, conformiteitsbeoordeling, CE-markering (Art. 8–15) | € 15M / 3% |
| Beperkt risico | AI-chatbots, door AI gegenereerde content (tekst, afbeeldingen, audio, video), emotieherkenning, deepfakes | Alleen transparantie: maak de AI-aard bekend aan gebruikers, markeer door AI gegenereerde content als machineleesbaar (Art. 50) | € 15M / 3% |
| Minimaal risico | Spamfilters, AI in videogames, zoekrangschikking, OCR, automatische classificatie, de meeste bedrijfssoftware | Geen verplichte verplichtingen — alleen Art. 4 AI-geletterdheid (geldt voor alle niveaus). Vrijwillige gedragscodes worden aangemoedigd | € 7,5M / 1% |
Een belangrijke nuance: risicoclassificatie hangt af van wat de AI doet, niet van wie het bouwt. Een startup van 3 personen en een Fortune 500-bedrijf hebben dezelfde verplichtingen voor hetzelfde AI-systeem. De wet reguleert de technologie, niet de organisatie.
Waar valt uw DMS onder? Classificatie per functie
Dit is waar de meeste gidsen over de EU AI Act tekortschieten. Ze leggen de risiconiveaus abstract uit, maar koppelen specifieke softwarefuncties nooit aan specifieke niveaus. Als u een documentbeheersysteem met AI gebruikt, ziet u hier precies waar elke functie onder valt.
De onderstaande classificatie gaat uit van algemeen zakelijk documentbeheer — facturen, contracten, bonnetjes, correspondentie, verzekeringspolissen. Als uw DMS wordt gebruikt in een hoog-risico domein (werving, kredietbeslissingen, medische triage), kan de classificatie naar boven verschuiven. Context is belangrijk.
| DMS-functie | Risiconiveau | Wat u moet doen |
|---|---|---|
| OCR (tekstextractie uit scans) | Minimaal | Geen specifieke verplichtingen. OCR is een hulpmiddel voor tekstherkenning — het neemt geen beslissingen over mensen. |
| Automatische classificatie (factuur, contract, bonnetje) | Minimaal | Geen specifieke verplichtingen. Patroonherkenning voor archivering is een "beperkte procedurele taak" onder Art. 6(3)(a) — het valt niet onder een categorie van Bijlage III. |
| Metadata-extractie (data, bedragen, entiteiten) | Minimaal | Geen specifieke verplichtingen. Het extraheren van gestructureerde gegevens uit documenten is voorbereidende verwerking, geen besluitvormingssysteem. |
| AI-chatbot (document Q&A, documenten vinden) | Beperkt | Art. 50(1): Gebruikers moeten worden geïnformeerd dat ze met AI communiceren voor of bij aanvang van de interactie. Een zichtbaar label zoals "AI-assistent" of een Sparkles-icoon met uitleg volstaat. |
| Door AI gegenereerde samenvattingen en tekst | Beperkt | Art. 50(2): Synthetische tekst moet in een machineleesbaar formaat als door AI gegenereerd worden gemarkeerd. Uitzondering: "ondersteunende functie voor standaardbewerking" die de semantiek van de invoer niet wezenlijk verandert. |
| AI-documentvertaling | Beperkt | Art. 50(2): De vertaalde output is door AI gegenereerde tekst. Markeer deze als zodanig met machineleesbare metadata — tenzij de output nauw aansluit bij het bronmateriaal (uitzondering voor ondersteunende bewerking). |
| AI-gestuurde beslissingen over werkgelegenheid of krediet | Hoog risico | Volledige naleving van Art. 8–15: risicobeheersysteem, datagovernance, technische documentatie, automatische logging, menselijk toezicht, conformiteitsbeoordeling, CE-markering, registratie in EU-database. |
Het belangrijkste juridische mechanisme dat de meeste DMS-functies buiten het hoog-risico gebied houdt, is Artikel 6(3). Dit biedt expliciete afwijkingen voor AI-systemen die "beperkte procedurele taken" uitvoeren (6(3)(a)), taken die "het resultaat van een eerder voltooide menselijke activiteit verbeteren" (6(3)(b)), of "voorbereidende taken voor een beoordeling die relevant is voor de doeleinden van de in Bijlage III genoemde use-cases" (6(3)(d)). Automatische classificatie die facturen in categorieën sorteert, is een beperkte procedurele taak. Metadata-extractie die data en bedragen uit contracten haalt, is een voorbereidende taak. Geen van beide heeft wezenlijke invloed op een beslissing over een persoon.
Echter: als de automatische classificatie van uw DMS wordt gebruikt om sollicitaties te sorteren voor een wervingsproces, of om verzekeringsclaims door te sturen voor goedkeuring of afwijzing, kan diezelfde functie worden geherclassificeerd als hoog risico — omdat de context verschuift naar een domein van Bijlage III (werkgelegenheid of toegang tot essentiële diensten). De functie zelf bepaalt niet het risiconiveau. De use-case wel.
Artikel 50: De transparantieverplichtingen die gelden voor uw AI-chatbot
Als uw documentbeheersysteem een AI-chatbot, een samenvattingsfunctie of enige vorm van door AI gegenereerde tekst bevat, is Artikel 50 van toepassing. Dit is de meest relevante verplichting voor de meeste DMS-producten — en deze wordt handhaafbaar op 2 augustus 2026.
Artikel 50 heeft drie sub-verplichtingen die van belang zijn voor documentbeheer:
Bekendmaking van AI-interactie
Elk AI-systeem dat is ontworpen om met mensen te communiceren, moet hen informeren dat het AI is — voor of bij aanvang van de interactie. Niet weggestopt in de algemene voorwaarden, maar op het moment van contact. Uitzondering: wanneer het "duidelijk is uit de omstandigheden" — een hoge drempel om aan te voldoen.
Markering van door AI gegenereerde content
Synthetische tekst, audio, afbeeldingen of video moeten in een machineleesbaar formaat als door AI gegenereerd worden gemarkeerd (C2PA-metadata, watermerken of vergelijkbaar). Dit moet effectief, interoperabel, robuust en betrouwbaar zijn. Uitzondering: ondersteunende bewerking die de invoer niet wezenlijk verandert.
Bekendmaking van deepfakes / AI-tekst
Door AI gegenereerde content die voor publieke consumptie wordt gepubliceerd, moet zichtbaar worden gelabeld. Gebruikers (deployers) moeten machineleesbare markeringen van providers behouden en zichtbare labels toevoegen op het moment van publicatie.
Voor een DMS is de praktische impact eenvoudig. Als uw systeem een AI-chatfunctie heeft, toon dan een duidelijke indicator dat de gebruiker met AI communiceert — een label, een Sparkles-icoon of een vergelijkbaar visueel signaal. Als uw systeem samenvattingen, vertalingen of uitleg genereert, markeer deze dan als door AI gegenereerd in de interface en bij voorkeur in de metadata van het document. Dit zijn geen belastende vereisten. De meeste moderne DMS-producten met AI-functies doen dit al of kunnen dit binnen enkele uren implementeren.
Het onderscheid tussen provider (aanbieder) en deployer (gebruiker) is belangrijk. De AI Act legt de verplichting om transparantiefuncties te ontwerpen bij de provider, en de verplichting om deze te configureren en weer te geven bij de deployer. Als u een SaaS DMS-leverancier bent, bent u de provider — u moet het bekendmakingsmechanisme in uw product inbouwen. Als u een bedrijf bent dat een DMS gebruikt, bent u de deployer — u moet ervoor zorgen dat de bekendmaking zichtbaar is voor uw gebruikers.
Artikel 4: AI-geletterdheid is al verplicht
Dit is de verplichting die de meeste organisaties over het hoofd hebben gezien. Artikel 4 vereist dat alle providers en deployers van AI-systemen — ongeacht het risiconiveau — zorgen voor een "voldoende niveau van AI-geletterdheid" onder het personeel en iedereen die namens hen AI bedient. Dit is al van kracht sinds 2 februari 2025.
Al van kracht sinds 2 februari 2025
Artikel 4 is van toepassing op elk bedrijf dat AI gebruikt — inclusief uw documentbeheersysteem. Als u nog niet bent begonnen met training in AI-geletterdheid, loopt u al achter. Er is geen certificering vereist, maar de training moet gedocumenteerd en aantoonbaar zijn bij een audit.
Wat betekent "AI-geletterdheid" eigenlijk? De richtlijnen van de EU-commissie verduidelijken dat het simpelweg verwijzen van personeel naar de gebruikershandleiding van het AI-systeem niet voldoende is. Een conform programma moet het volgende omvatten:
- 1.Wat AI is en hoe het werkt — afgestemd op de doelgroep (directie, technici en eindgebruikers hebben verschillende diepgang nodig)
- 2.Mogelijkheden en beperkingen van de specifieke AI-systemen die uw organisatie inzet
- 3.Risico's, waaronder bias, fouten, hallucinaties en privacygevolgen
- 4.Verantwoordelijkheden voor menselijk toezicht — wat te doen als AI onverwachte, onjuiste of schadelijke resultaten produceert
- 5.De relevantie van de EU AI Act voor de specifieke rol van de persoon
- 6.Documentatie: een schriftelijk beleid voor AI-geletterdheid met reikwijdte, rollen, inhoudelijke gebieden, presentielijsten van trainingen en een evaluatiecyclus
Voor een klein team dat een DMS met AI gebruikt, is hiervoor geen formeel trainingsprogramma nodig. Het kan zo simpel zijn als een gedocumenteerde interne vergadering waarin u doorneemt: welke AI-functies zitten in de tools die we gebruiken, wat kunnen ze wel en niet, en wat te doen als resultaten onjuist lijken. Documenteer de sessie, noteer de aanwezigen en plan een jaarlijkse herhaling. Dat is voldoende voor de meeste scenario's met minimaal of beperkt risico.
De Digital Omnibus Act: veranderen de deadlines?
Op 19 november 2025 stelde de Europese Commissie de Digital Omnibus Act voor — een pakket voor wetgevingsvereenvoudiging dat de AI Act samen met andere digitale regelgeving (GDPR, Data Act, NIS 2) wijzigt. Onder andere wordt voorgesteld om de deadline voor hoog-risico systemen van Bijlage III te verschuiven van 2 augustus 2026 naar 2 december 2027.
Vanaf april 2026 bevindt de Omnibus zich in trialoogonderhandelingen. Het Europees Parlement nam zijn standpunt in maart 2026 aan met 569 tegen 45 stemmen. De Raad nam in maart ook zijn mandaat aan. Het is nog niet als wet aangenomen. De oorspronkelijke data blijven wettelijk bindend.
NIET beïnvloed door de Omnibus — nog steeds 2 augustus 2026
- ×Artikel 50 transparantieverplichtingen (bekendmaking chatbot, markering content)
- ×Artikel 4 AI-geletterdheid (al van kracht sinds feb 2025)
- ×Artikel 5 verboden praktijken (al van kracht sinds feb 2025)
- ×GPAI-modelverplichtingen (van kracht sinds aug 2025)
Kan worden uitgesteld ALS de Omnibus wordt aangenomen
- ✓Verplichtingen voor hoog-risico systemen van Bijlage III (Art. 8–15) — voorgesteld uitstel naar dec 2027
- ✓In producten ingebedde hoog-risico systemen van Bijlage I — voorgesteld uitstel naar aug 2028
Het praktische advies: gebruik de Omnibus niet als excuus voor uitstel. Zelfs als de deadlines voor hoog risico verschuiven, is het governance-werk — AI-inventarisatie, risicoclassificatie, documentatie, logging, ontwerp van toezicht — identiek. En de verplichtingen die het meest van belang zijn voor DMS-producten (transparantie en geletterdheid) blijven ongewijzigd. Bereid u nu voor, dan wordt een eventueel uitstel reservetijd in plaats van verloren tijd.
Wat u deze maand moet doen: een praktische checklist
Of u nu een documentbeheersysteem met AI-functies bouwt, verkoopt of gebruikt, dit is wat u moet doen voor 2 augustus 2026. De stappen zijn geordend op urgentie — begin bovenaan.
Pak AI-geletterdheid nu aan (al over tijd)
Artikel 4 is van kracht sinds februari 2025. Houd een interne sessie over de AI-tools die uw team gebruikt. Documenteer wat er is besproken, wie er aanwezig was en wanneer. Dit kan een vergadering van 90 minuten zijn — geen meerweekse cursus. Plan een jaarlijkse herhaling.
Inventariseer uw AI-functies
Maak een lijst van elke AI-gestuurde functie in uw softwarestack: OCR, automatische classificatie, chatbot, samenvatting, vertaling, aanbevelingsmotor. Noteer voor elke functie of deze direct met gebruikers communiceert en of deze content genereert.
Classificeer elke functie per risiconiveau
Gebruik de tabel in Sectie 3 van deze gids. Koppel elke AI-functie aan een risiconiveau. Documenteer uw redenering — dit is het verslag waar een auditor om zou vragen. De meeste DMS-functies zullen een minimaal of beperkt risico vormen.
Implementeer transparantie-labeling
Voor elke functie met een beperkt risico (chatbot, tekstgeneratie): voeg een zichtbare AI-bekendmaking toe op het punt van interactie. Voor door AI gegenereerde tekst: voeg machineleesbare metadata toe die het als synthetisch markeert. Test of de bekendmakingen zichtbaar zijn bij de eerste interactie — niet weggestopt in instellingen.
Controleer uw audit trail
Hoewel niet verplicht voor systemen met een minimaal risico, is het bijhouden van logs van door AI gegenereerde output, correcties door gebruikers en systeembeslissingen een goede gewoonte. Als uw DMS al een audit trail heeft (de meeste hebben dat), controleer dan of deze ook AI-acties dekt — niet alleen documenttoegang.
Documenteer alles
Maak een eenvoudig nalevingsverslag: uw AI-inventarisatie, risicoclassificatie, bewijs van training in AI-geletterdheid en transparantie-implementatie. Dit document hoeft niet uitgebreid te zijn — een interne samenvatting van 2-3 pagina's is voldoende voor de meeste mkb-bedrijven die systemen met minimaal/beperkt risico gebruiken.
Mkb-realitycheck: wat een klein team echt moet doen
Er is geen uitzondering op basis van grootte in de EU AI Act. Een startup met 3 personen heeft voor hetzelfde AI-systeem dezelfde verplichtingen als een Fortune 500-bedrijf. De wet reguleert wat de AI doet, niet wie het beheert.
Dat gezegd hebbende, de AI Act is niet blind voor de realiteit van het mkb. Verschillende bepalingen houden specifiek rekening met kleinere bedrijven — lagere boetes, vereenvoudigde documentatie, prioritaire toegang tot sandboxes en lagere kosten voor conformiteitsbeoordelingen.
Dit is wat de EU AI Act specifiek biedt voor kleine en middelgrote ondernemingen:
| Bepaling | Wat het betekent voor het mkb |
|---|---|
| Art. 99(6) — Boeteplafonds | Voor het mkb geldt het laagste van de twee boete-alternatieven. Verboden overtredingen: gemaximeerd op € 35M (niet 7% omzet). Hoog risico: gemaximeerd op € 15M (niet 3%). Dit betekent dat een klein bedrijf nooit een percentage van de omzet als boete krijgt als het vaste plafond lager is. |
| Art. 63 — Vereenvoudigd QMS | Micro-ondernemingen (<10 werknemers, < € 2M omzet) kunnen op een vereenvoudigde manier voldoen aan delen van het kwaliteitsmanagementsysteem (QMS). Minder papierwerk, dezelfde principes. |
| Art. 62–63 — Regelluwe testomgevingen (sandboxes) | Elke EU-lidstaat moet uiterlijk in augustus 2026 ten minste één regelluwe testomgeving hebben opgezet. Mkb-bedrijven en startups krijgen prioritaire toegang met verlaagde of kwijtgescholden kosten. |
| Art. 11(2) — Vereenvoudigde documentatie | De Commissie is bevoegd om een vereenvoudigd formaat voor technische documentatie van Bijlage IV te maken, specifiek voor het mkb en startups. |
Voor een typisch bedrijf van 5 personen dat een DMS met AI gebruikt: uw totale inspanning voor naleving bestaat waarschijnlijk uit één gedocumenteerde sessie over AI-geletterdheid, een inventarisatie van AI-functies (één pagina), een risicoclassificatie (de meeste functies zullen een minimaal risico vormen) en het controleren of uw DMS-leverancier transparantie-labeling heeft geïmplementeerd. Geschatte directe kosten: nul tot een paar honderd euro. Geschatte tijd: 10–15 werkuren verspreid over een paar weken. Dat is de eerlijke realiteit voor de meeste kleine bedrijven die AI gebruiken in documentbeheer.
Hoe Veluvanto helpt bij de naleving van de EU AI Act
Veluvanto is vanaf de eerste dag ontworpen met de EU-regelgeving in het achterhoofd. Dit is wat het platform al biedt voor de naleving van de AI Act — zonder extra configuratie:
- ✓Bekendmaking van AI-interactie: elk door AI gegenereerd antwoord in de chat van Veluvanto is gemarkeerd met een Sparkles-icoon, wat duidelijk aangeeft dat het om door AI gegenereerde content gaat. Gebruikers weten altijd wanneer ze met AI communiceren.
- ✓Audit trail: alle AI-acties — documentanalyse, chatvragen, toewijzing van tags, aanmaken van herinneringen — worden gelogd met tijdstempels, gebruikers-ID's en actiedetails. Dit voldoet aan de best-practice logging voor systemen met een beperkt risico.
- ✓AI-gebruikstracking: gebruiksgegevens per gebruiker houden het verbruik van AI-credits, het gebruikte model en het type actie bij — dit biedt de gedetailleerde logging die de verantwoordingsplicht ondersteunt.
- ✓EU-datasoevereiniteit: alle gegevens worden opgeslagen en verwerkt in EU-datacenters. Geen flex routing, geen Amerikaanse fallback, geen uitzonderingen. Uw documenten verlaten de EU nooit.
- ✓Gebruikerscontrole over AI-acties: gebruikers kunnen elke door AI gegenereerde classificatie, tag of metadata op elk moment bekijken, bewerken en overschrijven. AI werkt op de achtergrond om u tijd te besparen, maar u blijft de baas over uw documenten.
- ✓Geen training op uw gegevens: Veluvanto gebruikt klantdocumenten nooit om AI-modellen te trainen. Uw gegevens worden uitsluitend voor uw eigen voordeel verwerkt.
Deze functies maken naleving niet automatisch — u moet nog steeds de training in AI-geletterdheid regelen en uw eigen documentatie bijhouden. Maar ze betekenen wel dat het platform waarop u vertrouwt al is gebouwd voor de toekomstige regelgeving.
Bronnen en verder lezen
Deze gids is gebaseerd op de officiële tekst van de EU AI Act en gezaghebbende analyses. Zie de onderstaande bronnen voor de volledige verordening en de specifieke artikelen waarnaar wordt verwezen.
- Volledige tekst EU AI Act — Verordening (EU) 2024/1689 — Publicatieblad van de Europese Unie (eur-lex.europa.eu)
- Artikel 50 (Transparantieverplichtingen voor systemen met een beperkt risico) — artificialintelligenceact.eu/article/50
- Artikel 6 en Bijlage III (Hoog-risico classificatie en afwijkingen) — artificialintelligenceact.eu/article/6 en artificialintelligenceact.eu/annex/3
- Q&A AI-geletterdheid EU-commissie — digital-strategy.ec.europa.eu
- Digital Omnibus Act — Standpunt Europees Parlement aangenomen op 26 maart 2026 (europarl.europa.eu)
- Artikel 99 (Sancties en mkb-bepalingen) — artificialintelligenceact.eu/article/99
- Accountancy Europe mkb-factsheet over de AI Act — accountancyeurope.eu
Gerelateerde gidsen
AI-documentbeheer
Hoe AI documenten leest, tagt en organiseert — en waar u op moet letten bij het kiezen van een systeem
GDPR-documentbeheer
Hoe Veluvanto u helpt GDPR-compliant te blijven met in de EU gehoste, versleutelde documentopslag
NIS2-richtlijn & documentbeheer
Het andere grote EU-nalevingskader voor 2026 — en waarom het meeste neerkomt op documentatie