AI Governance in gereguleerde sectoren: wat de EU AI Act in 2026 echt vraagt

Veel organisaties hebben de afgelopen achttien maanden een AI-governance-document opgesteld. Weinig hebben het geoperationaliseerd. Het verschil wordt zichtbaar bij de eerste audit.

Wat verandert er in 2026 voor B2B-organisaties?

De EU AI Act is in augustus 2024 in werking getreden en wordt gefaseerd gehandhaafd. Per februari 2025 gelden verboden op specifieke praktijken zoals social scoring en untargeted scraping van faces. Per augustus 2025 zijn de verplichtingen voor general-purpose AI-modellen geactiveerd. Per augustus 2026 — drie maanden vanaf nu — wordt het volledige regime voor hoog-risico AI-systemen handhaafbaar.

Voor B2B-organisaties die AI inzetten in HR, krediet-besluitvorming, juridische besluitvorming of kritieke infrastructuur, betekent dit dat governance niet langer een belofte op een beleidspagina kan zijn. De toezichthouders gaan vragen om documentatie, audit trails en demonstreerbare risico-mitigatie.

Welke artefacten moet je operationeel hebben?

Vier categorieën, op volgorde van praktische prioriteit:

• AI-systeemregister. Een actueel overzicht van alle AI-systemen in gebruik, inclusief leverancier, doel, gevoeligheidsclassificatie en datastromen. Niet een spreadsheet die ooit ingevuld is, wel een levend register dat geüpdate wordt bij elke nieuwe implementatie.
• Risico-classificatie per systeem. Minimaal risico, beperkt risico, hoog risico, of onaanvaardbaar risico. De classificatie bepaalt de verplichtingen.
• Human-in-the-loop documentatie. Voor hoog-risico systemen: wie heeft welke beslissings-override, hoe wordt dat gelogd, en hoe wordt menselijk toezicht aantoonbaar uitgeoefend.
• Incident response procedure. Wat doe je als een AI-systeem een verkeerde beslissing neemt? Hoe wordt dat gemeld aan de toezichthouder binnen de termijnen die de AI Act voorschrijft?

Wat is de meest gemaakte fout?

De meest voorkomende fout is governance als juridische exercitie behandelen. Een advocaat schrijft een beleidsdocument, de organisatie tekent het af, het document leeft vervolgens in een Confluence-pagina die niemand opent. Wanneer een toezichthouder vraagt om bewijs van naleving, blijkt er geen audit trail te zijn.

De effectieve aanpak verankert governance in de tooling zelf. Elk AI-systeem logt input, output en menselijke override naar een centraal audit-systeem. Het AI-systeemregister wordt automatisch geüpdate bij elke nieuwe deployment. Risico-classificatie is een verplicht veld in het deployment-proces, niet een achteraf-document.

Praktische implicatie voor de komende drie maanden

Voor B2B-organisaties met operationele AI-toepassingen is augustus 2026 dichtbij. De pragmatische volgorde: eerst een inventarisatie van alle bestaande AI-systemen, tweede classificatie op risico, derde verbeterplan met deadline. Een gerichte aanpak kost zes tot tien weken voor een middelgrote organisatie. Wachten tot na de zomer is geen optie meer.