EU AI Act boetes: wat riskeer je bij non-compliance?

Non-compliance met de EU AI Act kan een organisatie duur komen te staan. Dit artikel legt de boetestructuur uit, laat zien welke overtredingen tot welke bedragen leiden en beschrijft hoe het toezicht in Nederland is geregeld.

De boetestructuur

De EU AI Act kent een gelaagde boetestructuur. De hoogte van een boete hangt af van de ernst van de overtreding. Net als bij de AVG geldt voor ondernemingen telkens het hoogste van twee bedragen: een vast maximumbedrag of een percentage van de wereldwijde jaaromzet. Voor een groot internationaal bedrijf weegt het percentage vaak het zwaarst, terwijl voor een kleinere organisatie het vaste bedrag bepalend is.

De onderstaande tabel geeft de drie boeteniveaus weer.

Voor het mkb en start-ups gelden de laagste van de twee bedragen, zodat de boetes proportioneel blijven ten opzichte van de omvang van de onderneming.

Bij het vaststellen van een boete kijken toezichthouders bovendien naar de omstandigheden. Factoren die meewegen zijn onder meer de ernst en de duur van de overtreding, het aantal getroffen personen, of de organisatie zelf de overtreding heeft gemeld, en of er sprake is van opzet of nalatigheid. Een organisatie die aantoonbaar haar best heeft gedaan om aan de wet te voldoen, staat er bij een onderzoek dus beter voor dan een organisatie die niets heeft gedaan. Dat maakt aantoonbare inspanning, zoals een opleidingsbeleid en gedocumenteerde procedures, ook financieel relevant.

Verboden praktijken (hoogste boetes)

De zwaarste boetes zijn gereserveerd voor het gebruik van AI-systemen met een onaanvaardbaar risico. Deze toepassingen zijn sinds 2 februari 2025 volledig verboden binnen de EU. Wie ze toch inzet, riskeert een boete tot 35 miljoen euro of 7% van de wereldwijde jaaromzet.

Het gaat hier om de meest schadelijke vormen van AI, zoals social scoring, manipulatieve systemen die gedrag onbewust sturen en bepaalde vormen van biometrische identificatie. Welke praktijken precies verboden zijn, lees je in het overzicht van de risicocategorieën.

Voor de meeste reguliere organisaties is deze categorie niet aan de orde. Toch is bewustzijn belangrijk, want sommige toepassingen, bijvoorbeeld emotieherkenning op de werkvloer, kunnen ongemerkt in deze categorie vallen.

De hoogte van de boete weerspiegelt de ernst die de EU aan deze praktijken toekent. Het gaat om toepassingen die de waardigheid, de autonomie of de grondrechten van mensen rechtstreeks aantasten. Dat de wetgever hier de zwaarste sanctie aan koppelt, is een signaal: dit zijn geen administratieve tekortkomingen, maar fundamentele grenzen. Voor een organisatie betekent dit dat het loont om bij elke nieuwe AI-tool expliciet te controleren of de toepassing niet onbedoeld in de verboden categorie valt.

Overige overtredingen

De middelste categorie betreft het niet naleven van de overige verplichtingen uit de wet. Dit is voor de meeste bedrijven de meest relevante categorie. De boete kan oplopen tot 15 miljoen euro of 3% van de wereldwijde jaaromzet.

Onder deze categorie vallen onder meer:

• Het niet voldoen aan de eisen voor hoog-risico-AI, zoals risicomanagement, datakwaliteit en menselijk toezicht.
• Het schenden van de transparantieplicht bij AI met beperkt risico.
• Het tekortschieten in verplichtingen voor aanbieders en gebruiksverantwoordelijken.

Hoewel de AI-geletterdheidsplicht uit Artikel 4 geen eigen boetebedrag in de verordening kent, is het een wettelijke verplichting. Het niet naleven ervan kan meewegen in handhaving en bij de beoordeling van bredere tekortkomingen. Een goed onderbouwd opleidingsbeleid is daarom niet alleen verstandig, maar ook een vorm van risicobeperking. Een overzicht van de wet als geheel vind je in de EU AI Act uitgelegd.

Onjuiste informatie

De laagste boetecategorie geldt voor het verstrekken van onjuiste, onvolledige of misleidende informatie aan toezichthouders en aangemelde instanties. De boete bedraagt hier maximaal 7,5 miljoen euro of 1% van de wereldwijde jaaromzet.

Deze categorie onderstreept het belang van een correcte en transparante administratie. Wie documentatie aanlevert die niet klopt, of die informatie achterhoudt bij een onderzoek, kan ook zonder een inhoudelijke overtreding al beboet worden. Een ordelijke en eerlijke informatievoorziening is dus een basisvoorwaarde.

In de praktijk betekent dit dat het bijhouden van een actueel overzicht van je AI-systemen geen formaliteit is, maar onderdeel van compliance. Als een toezichthouder informatie opvraagt, moet je die juist en volledig kunnen aanleveren. Een register met de gebruikte systemen, hun risicocategorie en de genomen maatregelen helpt om snel en correct te kunnen reageren.

Handhaving in Nederland

De EU AI Act is een Europese verordening, maar de handhaving vindt op nationaal niveau plaats. In Nederland wordt het toezicht ingevuld door meerdere instanties, afhankelijk van de sector en het type AI-systeem.

Twee instanties spelen hierbij een centrale rol:

• De Autoriteit Persoonsgegevens (AP) richt zich onder meer op de bescherming van grondrechten en is nauw betrokken bij het toezicht op AI met een hoog risico voor burgers.
• De Rijksinspectie Digitale Infrastructuur (RDI) vervult een coördinerende en toezichthoudende rol op het terrein van digitale technologie.

Daarnaast houden sectorale toezichthouders toezicht binnen hun eigen domein, bijvoorbeeld in de financiële sector of de zorg. De exacte taakverdeling wordt op nationaal niveau verder ingevuld. Voor organisaties betekent dit dat ze, afhankelijk van hun activiteiten, met verschillende toezichthouders te maken kunnen krijgen.

De parallel met de AVG is hier verhelderend. Ook bij de privacywetgeving duurde het even voordat de handhaving op gang kwam, maar inmiddels zijn forse boetes geen uitzondering meer. Het is aannemelijk dat de handhaving van de EU AI Act een vergelijkbaar pad volgt: een aanloopperiode waarin toezichthouders hun rol invullen, gevolgd door actievere handhaving naarmate de deadlines verstrijken. Organisaties die nu hun zaken op orde brengen, lopen straks niet achter de feiten aan.

Hoe beperk je het risico

De boetes ogen fors, maar het risico is goed te beheersen met een gestructureerde aanpak. De volgende maatregelen helpen je het risico op een boete te verkleinen:

1. Inventariseer en classificeer. Breng al je AI-systemen in kaart en bepaal de risicocategorie van elk systeem.
2. Vermijd verboden toepassingen. Controleer of geen van je systemen onder de verboden categorie valt.
3. Voldoe aan de transparantie- en hoog-risico-eisen waar die van toepassing zijn.
4. Investeer in AI-geletterdheid. Goed opgeleide medewerkers herkennen risico’s eerder en gebruiken AI verantwoord.
5. Documenteer zorgvuldig. Houd een correcte administratie bij, zodat je bij een onderzoek de juiste informatie kunt aanleveren.
6. Stel beleid vast. Leg afspraken over verantwoord AI-gebruik vast in helder beleid.

Het is goed om te beseffen dat een boete zelden uit de lucht komt vallen. Toezichthouders kijken naar het geheel: heeft een organisatie zich ingespannen, of zijn de regels stelselmatig genegeerd? Een bedrijf dat zijn AI-systemen in kaart heeft, medewerkers heeft opgeleid en duidelijk beleid hanteert, laat zien dat het de wet serieus neemt. Dat verkleint niet alleen de kans op een overtreding, maar ook op een hoge boete als er toch iets misgaat.

De beste bescherming tegen boetes is daarom een organisatie die de wet begrijpt en er bewust naar handelt. Wij helpen organisaties om dat fundament te leggen met training en advies. Bekijk wat we kunnen betekenen voor organisaties en zet de eerste stap naar aantoonbare compliance.