Blog
Twaalf weken tot het stof neerdaalt
Een dinsdagochtend bij een hypotheekkantoor met 32 medewerkers. Een adviseur zit met een complex dossier en plakt drie alinea's klantgegevens in ChatGPT om sneller een samenvatting te krijgen. Dat scheelt vier minuten. En het kost je iets wat je nu niet ziet.
Op 2 augustus 2026 wordt dat onzichtbare iets juridisch reëel. De Europese AI Act gaat dan handhaven. De boetes worden actief. De Autoriteit Persoonsgegevens en de ACM krijgen tanden. Voor de meeste DGA's in onze hoek is dat geen reden tot paniek, maar het is wel het moment waarop een vraag die je tot nu toe kon uitstellen, niet meer kan worden uitgesteld.
Wat er op 2 augustus echt verandert
Vanaf 2 augustus 2026 heeft het Europese AI Office volledige handhavingsbevoegdheid. Het kan informatie opvragen bij leveranciers van AI-modellen, mitigatie-maatregelen verplichten en boetes opleggen. De zwaarste boete, tot 35 miljoen euro of 7 procent van de wereldwijde jaaromzet, geldt voor verboden AI-praktijken uit artikel 5 (denk aan social scoring of manipulatieve emotion-detection). Voor andere overtredingen, zoals onvoldoende documentatie of werken met een GPAI-model dat zelf niet compliant is, geldt een lagere staffel, tot 15 miljoen euro of 3 procent van de wereldwijde jaaromzet.
Belangrijke nuance, want hier loopt veel van de paniek vandaan. De zware verplichtingen (technische audits, modeldocumentatie, certificering) gelden voor high-risk AI, dus AI in gezondheidszorg, recruitment, kredietbeoordeling en kritieke infrastructuur. Een hypotheekkantoor van 30 FTE dat ChatGPT gebruikt zit daar zelden in. Je bent in de meeste gevallen geen provider, je bent deployer.
Wat er voor jou als deployer wel verandert
Drie dingen worden concreet. Ten eerste, je moet weten welke AI-tools binnen je organisatie draaien, ook de tools die niemand officieel heeft aangeschaft. Ten tweede, je moet kunnen aantonen dat de leveranciers van die tools zelf compliant zijn met de AI Act. Ten derde, je medewerkers moeten weten hoe ze de tools mogen gebruiken, met welke data wel en met welke nooit.
Dat klinkt op papier simpel. In praktijk is het dat zelden. Vraag eens rond op een willekeurige werkdag welke AI-tools er bij jou intern actief zijn. De kans is groot dat het lijstje langer is dan je denkt en dat een paar van die tools nergens in een contract of policy staan.
De vraag die de wet stelt is dezelfde vraag die jij zelf moet stellen
Welke AI gebruiken we, wie is verantwoordelijk, welke klantdata gaat erdoorheen, en wat gebeurt er als een tool wegvalt of een fout maakt. Dat is geen juridische exercitie. Dat is operationele hygiëne, en het had los van Brussel allang gemoeten.
Specifiek voor zakelijke dienstverleners weegt dit zwaarder dan voor andere sectoren. Een hypotheekadviseur, makelaar, verzekeringskantoor of accountant verwerkt per definitie gevoelige persoonsgegevens. BSN's, financieringsdossiers, schadeclaims, koopovereenkomsten, taxatiegegevens. Als die data via een onofficiële ChatGPT-prompt buiten de deur is geweest, is dat geen AI-experiment, dat is een AVG-incident in wording.
Waar de wet en de praktijk samenvallen
Op het kruispunt van AI Act en operationeel werk staat de AI-audit. Niet als juridisch product, maar als nulmeting. Een audit beantwoordt in 14 dagen drie vragen tegelijk. Welke AI-tools draaien er bij jou, officieel en onofficieel. Wat is het risico van elk daarvan, juridisch én procesmatig. En, en dat is meestal de prettige verrassing, waar zit tijdwinst die je nu mist.
Een voorbeeld dat we vaker zien. Een hypotheekkantoor verwerkt 60 financieringsverzoeken per dag. De adviseurs gebruiken op eigen initiatief drie verschillende AI-tools om dossiers samen te vatten. Niemand bij de directie weet welke. Een audit brengt dat in beeld, classificeert het risico per tool, schrapt twee tools die niet AVG-proof zijn, en wijst aan welke vier processen vrijwel direct 50 tot 100 uur per maand kunnen vrijspelen als je het officieel en gecontroleerd opzet.
Wat na de audit komt
De audit is niet het eindstation. Het is de inventarisatie waaruit drie paden volgen. Optie één, je gaat zelf met de roadmap aan de slag, kleine stappen, eigen tempo. Optie twee, je laat ons de eerste use case implementeren als project van vijf tot acht weken, zie ook onze pagina over AI Software. Optie drie, een AIOS-traject waarbij we structureel als partner verbonden blijven en de AI-laag onder je organisatie doorontwikkelen.
Welk pad je kiest, hangt af van je bedrijfsfase en van wat de audit naar boven brengt. Maar zonder die nulmeting blijft elk volgend besluit gokken op gevoel. AI die werkt in je vak begint bij weten wat er bij jou draait.
De eerste stap
De handhaving start over twaalf weken. Dat is genoeg tijd om een audit te doen, het rapport te verwerken en de eerste prioriteit op te pakken. Niet genoeg om er nog een kwartaal mee te wachten.
Veertien dagen vanaf de interviewdag, vaste prijs, een rapport met 8 tot 15 gescoorde kansen, een prioriteitenlijst en een vervolgvoorstel. Acht tot tien uur tijdsinvestering aan jouw kant. Daarna weet je wat er draait, waar het risico zit en welke drie processen het eerst aangepakt moeten worden.
