1. [Home](/) /
2. [Blog](/blogs) /
3. AI Act 2026: wat de wet betekent voor je website en CMS
 
  A.I. · Compliance · MCP / AI-integraties · 15 May 2026 

# AI Act 2026: wat de wet betekent voor je website en CMS

Heb je een chatbot op je site of publiceer je content met AI-hulp? Dan krijg je met de AI-verordening (AI Act) te maken. De transparantieregels gelden vanaf augustus 2026; hoog-risico AI kreeg na de Digital Omnibus-deal uitstel tot 2027.

 

  ## De AI-verordening in het kort

 

Heb je een chatbot, een AI-zoekfunctie of publiceer je content met AI-hulp? Dan val je onder de [AI-verordening](https://eur-lex.europa.eu/eli/reg/2024/1689/oj) — in de volksmond de **AI Act** (Verordening (EU) 2024/1689). De wet wordt gefaseerd ingevoerd, en die fasering veranderde in mei 2026. Dit moet je weten:

- **Transparantie eerst**: vanaf **2 augustus 2026** moeten chatbots zich kenbaar maken en moet AI-content gelabeld worden (Art. 50). Dit is de eerstvolgende harde deadline.
- **Hoog-risico uitgesteld**: via de Digital Omnibus on AI (voorlopig akkoord 7 mei 2026) schuift hoog-risico AI door naar 2 december 2027 (Annex III) en 2 augustus 2028 (AI ingebed in producten).
- **Al van kracht**: verboden AI-praktijken sinds februari 2025, regels voor general-purpose AI (GPAI) sinds augustus 2025.
- **Boetes**: tot €35 miljoen of 7% van de wereldwijde jaaromzet.
- **Wat nu telt**: gebruik de extra tijd voor hoog-risico om je AI-register en governance op orde te krijgen.

Hieronder lees je waar de wet jouw website en CMS precies raakt, plus een concrete roadmap. VDMi adviseert organisaties hierover en bouwde zelf een AI-integratie waarin elke actie wordt gelogd en menselijk goedgekeurd. Lees ook [NIS2, AI Act & WCAG 2.2: waarom overheden in 2026 één platform nodig hebben](/blog/drie-wetten-vraag-kan-uw-digitale-fundament-het).



 

 



 

 

 

 

 

 





 ## Wat doet de AI-verordening? De risico-piramide in vogelvlucht

 

De AI-verordening regelt AI-systemen volgens een **risico-gebaseerde piramide**. Hoe hoger het risico voor grondrechten, veiligheid of gezondheid, hoe strenger de regels.

- **Verboden praktijken** (sinds 2 februari 2025): social scoring door overheden, manipulatieve AI die kwetsbare groepen uitbuit, ongerichte gezichtsbeelden scrapen voor herkenningsdatabases.
- **Hoog-risico systemen**: AI in kritieke infrastructuur, onderwijs, werving, kredietbeoordeling, rechtshandhaving en migratie. Vereist conformiteitsbeoordeling, CE-markering, registratie in de EU-database en doorlopend risk management. De toepassing is gefaseerd: na het Digital Omnibus-akkoord gelden de Annex III-verplichtingen vanaf 2 december 2027 en die voor AI ingebed in producten vanaf 2 augustus 2028.
- **Beperkt-risico (transparantieverplichting)**: chatbots, deepfakes en AI-gegenereerde content. Gebruikers moeten weten dat ze met AI of AI-output te maken hebben (Art. 50). Deze verplichtingen gelden vanaf 2 augustus 2026.
- **Minimaal risico**: spamfilters, AI in games. Geen specifieke verplichtingen, alleen vrijwillige gedragscodes.

Daar bovenop staat een aparte laag: **general-purpose AI-modellen** (GPAI) zoals OpenAI GPT-4, Anthropic Claude en Google Gemini hebben sinds 2 augustus 2025 hun eigen verplichtingen — zowel voor de leverancier van het model als voor jou als afnemer. Meer context bij de [Europese Commissie](https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai).



 

 



 

 

 

 

 

 





 ## Tijdlijn: van inwerkingtreding tot volledige toepassing

 

De AI-verordening kent een gefaseerde invoering. De wet trad in werking in augustus 2024, maar de meeste verplichtingen worden pas later afdwingbaar. In 2026 is de tijdlijn bovendien aangepast: met de **Digital Omnibus on AI** (door de Europese Commissie voorgesteld op 19 november 2025, voorlopig akkoord van Raad en Parlement op 7 mei 2026) zijn de hoog-risico-deadlines naar achteren geschoven. Dat akkoord is nog *voorlopig* — het moet formeel worden bekrachtigd, al wordt een versnelde procedure verwacht. De zes mijlpalen die ertoe doen:



 

 



 

 

 



    2024 Augustus ### AI Act treedt in werking

Verordening (EU) 2024/1689 wordt formeel van kracht. Er gelden nog geen concrete verplichtingen — de teller voor de gefaseerde invoering begint te lopen.

 

 

   2025 Februari ### Verboden AI-praktijken

Verboden praktijken (Art. 5) en de AI-geletterdheidsplicht (Art. 4) worden afdwingbaar. Social scoring en manipulatieve AI zijn vanaf nu verboden.

 

 

   2025 Augustus ### Regels voor GPAI

Verplichtingen voor general-purpose AI-modellen, de AI-governancestructuur en de sanctiebepalingen gaan in.

 

 

   2026 Augustus ### Transparantieplicht — eerstvolgende deadline

Transparantieverplichtingen voor chatbots, AI-gegenereerde content en deepfakes (Art. 50). Dit is de eerstvolgende harde deadline waar elke website mee te maken krijgt.

 

 

   2027 December ### Hoog-risico Annex III

Verplichtingen voor hoog-risico AI-systemen uit Annex III (biometrie, werving, onderwijs, kredietbeoordeling, kritieke infrastructuur). Uitgesteld via de Digital Omnibus.

 

 

   2028 Augustus ### Hoog-risico AI in producten

Verplichtingen voor hoog-risico AI ingebed in gereguleerde producten (Annex I), zoals medische apparatuur en machines.

 

 

 

 

 

Voor websites is **2 augustus 2026** de eerstvolgende harde deadline: dat is het moment waarop de transparantie-verplichtingen volledig handhaafbaar worden. Zie de officiële [verordeningstekst op EUR-Lex](https://eur-lex.europa.eu/eli/reg/2024/1689/oj) en de actuele [tijdlijn van de Europese Commissie](https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai).



 

 

 

 

 





 ## Waar raakt de AI Act je website? Vijf concrete use cases

 

Veel organisaties denken dat de AI-verordening “niet voor hen geldt” omdat ze geen AI “bouwen”. Maar zodra een website AI inzet — ook via een externe API of een SaaS-product — ben je **downstream-gebruiker** (de partij die het AI-systeem toepast, niet maakt) en raken de regels jou. Vijf veelvoorkomende situaties:

1. **Chatbots en virtuele assistenten**. Vrijwel altijd een transparantieverplichting: de bezoeker moet weten dat hij of zij met een AI-systeem communiceert. Verstop dit niet in algemene voorwaarden — plaats het zichtbaar in de chat-UI.
2. **Aanbevelingssystemen en personalisatie**. Productaanbevelingen of dynamische content op basis van gebruikersgedrag vallen meestal onder beperkt risico. Wordt het systeem ingezet om *significante beslissingen* over personen te nemen (bijvoorbeeld bij verzekerings- of kredietbeoordeling), dan kantelt het naar hoog-risico.
3. **AI-gegenereerde content**. Teksten, afbeeldingen, video en audio die door AI zijn gemaakt of substantieel zijn gewijzigd, moeten zichtbaar als zodanig worden gelabeld (Art. 50, lid 4). Watermerken in metadata zijn onvoldoende — het label moet leesbaar zijn voor de bezoeker.
4. **Profilering en lead-scoring**. AI die bezoekers classificeert op koopintentie of risico kan onder hoog-risico vallen als de beslissing rechtsgevolg heeft of een vergelijkbaar wezenlijke impact heeft.
5. **Biometrische features**. Gezichtsdetectie in cookie-walls, A/B-tests met emotie-herkenning of leeftijdsverificatie via camera vallen onder strenge verplichtingen — vaak zelfs onder de verboden praktijken.

Loop je platform langs deze vijf scenario’s. Twijfel je per situatie? VDMi biedt een [technische AI-scan](/diensten) die concreet aanwijst welke verplichting waar geldt.



 

 



 

 

 

 

 

 





 ## GPAI-verplichtingen die nu al gelden

 

**General-purpose AI** (GPAI) verwijst naar foundation-modellen zoals Anthropic Claude, OpenAI GPT-4, Google Gemini en Meta Llama. Sinds 2 augustus 2025 gelden specifieke regels (Hoofdstuk V van de Verordening).

**Wat de aanbieders van het model doen**: model-cards publiceren, een usage policy onderhouden, copyright-beleid documenteren en bij modellen met systemisch risico extra red-teaming (gecontroleerd aanvallen van het model om zwakke plekken bloot te leggen) en incident-reporting. Antropics [usage policy](https://www.anthropic.com/legal/aup) is daar een voorbeeld van.

**Wat jij als downstream-afnemer moet documenteren**:

- Welk model gebruik je (versie + leverancier)?
- Voor welk doel en met welke prompts?
- Welke data stuur je naar het model? Hoe wordt dat beveiligd?
- Heb je een Data Processing Agreement (DPA) met de leverancier?
- Welke fallback heb je als het model faalt of wordt teruggetrokken?

Dit klinkt formeel, maar is in de praktijk een AI-register van 1–2 pagina’s per use case. Zonder dit register kun je een AVG-toets niet onderbouwen — en de Nederlandse toezichthouders vragen er expliciet naar bij handhaving. Voor open-source alternatieven zie ook onze blog [waarom we voor open source kiezen](/blog/open-source-drupal-europese-soevereiniteit).



 

 



 

 

 

 

 

 





 ## Wanneer is jouw CMS-AI hoog-risico? Uitgesteld, maar niet afgesteld

 

De **hoog-risico-categorie** in [Annex III](https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX:32024R1689) van de Verordening is breder dan veel mensen denken. AI-systemen vallen erin als ze worden ingezet voor onder andere:

- Toegang tot onderwijs en beoordeling van studenten
- Werving, selectie en HR-beslissingen (denk: cv-filtering, geautomatiseerde sollicitatie-scoring)
- Kredietbeoordeling en toegang tot essentiële privé-diensten
- Rechtshandhaving en migratie
- Beheer van kritieke infrastructuur (energie, transport, water)

**De deadline is verschoven.** Oorspronkelijk zouden de hoog-risico-verplichtingen op 2 augustus 2026 ingaan. Omdat geharmoniseerde normen en de aanwijzing van toezichthouders vertraging opliepen, stelde de Europese Commissie in november 2025 de Digital Omnibus on AI voor. Sinds het voorlopige akkoord van 7 mei 2026 geldt: Annex III-systemen krijgen tot **2 december 2027**, AI ingebed in gereguleerde producten tot **2 augustus 2028**. Het akkoord moet nog formeel worden aangenomen.

Een Drupal-CMS dat slechts content beheert is meestal *niet* hoog-risico. Maar de combinatie van een CMS met een AI-feature uit Annex III — bijvoorbeeld een sollicitatie-portaal met AI-scoring of een burgerportaal met geautomatiseerde uitkeringstoekenning — plaatst je wél in deze categorie.

**Wat de wet vereist voor hoog-risico systemen** (Art. 8–15):

1. Risk-management-systeem (continu, gedocumenteerd)
2. Datasets-kwaliteit (training, validatie, test — representativiteit en biasbeperking)
3. Technische documentatie en logging
4. Transparantie naar gebruikers van het systeem
5. Menselijk toezicht (“human oversight”) — een persoon moet kunnen ingrijpen
6. Nauwkeurigheid, robuustheid en cybersecurity
7. Conformiteitsbeoordeling (een formele toets of het systeem aan alle eisen voldoet) + CE-markering + registratie in de EU-database

Uitstel is geen reden om te wachten: de inventarisatie en documentatie kosten maanden. Voor het Nederlandse handhavingskader publiceert de [Rijksinspectie Digitale Infrastructuur](https://www.rdi.nl/onderwerpen/kunstmatige-intelligentie/ai-verordening) actuele richtlijnen.



 

 



 

 

 

 

 

 





 ## Transparantieverplichtingen — de eerstvolgende harde deadline

 

Artikel 50 van de AI-verordening regelt de **transparantieverplichtingen** voor systemen met beperkt risico. Anders dan de hoog-risico-verplichtingen zijn deze *niet* uitgesteld: ze worden vanaf **2 augustus 2026** handhaafbaar. Daarmee is dit de eerstvolgende AI Act-deadline waar elke website mee te maken krijgt. Wat moet er zichtbaar zijn?

- **Chatbot-disclaimer**. Bezoekers moeten direct weten dat ze met AI praten. Bijvoorbeeld: “Je chat met een AI-assistent. Voor menselijke ondersteuning kies *medewerker*.” Plaats dit zichtbaar bij de openingsbubble, niet alleen in voorwaarden.
- **AI-gegenereerde content labelen**. Teksten, illustraties en video’s die volledig of substantieel door AI zijn gemaakt moeten gemarkeerd worden. Een korte byline (“Concept geschreven met AI, geredigeerd door redactie”) volstaat — mits zichtbaar bij de content.
- **Synthetische media (deepfakes)**. Audio, video of beeld dat een echte persoon imiteert, moet expliciet als synthetisch worden gelabeld.
- **Emotie-herkenning en biometrische categorisatie**. Als je dergelijke systemen inzet, moet je de betrokkene daarover informeren vóórdat de verwerking begint.

Praktisch betekent dit: een bewerkbare disclaimer in je CMS, een redactionele workflow voor AI-content (“wie gaat akkoord met deze publicatie?”) en duidelijke UI-componenten in je templates. Drupal’s [Content Moderation](https://www.drupal.org/docs/8/core/modules/content-moderation) in combinatie met Layout Builder maakt deze workflows direct beschikbaar.



 

 



 

 

 

 

 

 





 ## Checklist: tien vragen voor je AI-inventarisatie

    1. Welke AI-features draaien op je website?         Inventariseer alle AI-componenten: chatbots, zoekverbetering, content-generatie, personalisatie, vertaalmodules, formulier-validatie, beeldherkenning. Vergeet third-party widgets en SaaS-tools niet (HubSpot AI, Salesforce Einstein, Microsoft Copilot).

 

 



   2. Welke GPAI-modellen gebruik je en hoe?         Per feature: welke API of model (Claude, GPT-4, Gemini, Llama), welke versie, welke prompts. Documenteer hoe de output verwerkt wordt en wie ervoor verantwoordelijk is.

 

 



   3. Verwerken die AI-systemen persoonsgegevens?         Welke data gaat naar het model? Categorieën persoonsgegevens, doel, bewaartermijn. Hier raakt de AI Act direct aan de AVG — documenteer beide compliance-stromen in samenhang.

 

 



   4. Heb je een Data Processing Agreement (DPA)?         Voor elke externe AI-leverancier: een DPA waarin staat hoe data wordt verwerkt, opgeslagen en eventueel hergebruikt voor training. Bij grote leveranciers (Anthropic, OpenAI, Google) zijn standaard-DPA’s beschikbaar.

 

 



   5. Is er menselijke review op AI-output?         Wordt AI-content gepubliceerd zonder review? Wordt een AI-beslissing geaccepteerd zonder menselijke check? Voor hoog-risico verplicht (Art. 14), voor beperkt risico sterk aangeraden.

 

 



   6. Wordt AI-content gelabeld?         Plaats je een zichtbaar label bij door AI gemaakte of substantieel bewerkte teksten, beelden of media? Watermerken in metadata alleen volstaat niet — het label moet zichtbaar zijn voor de bezoeker. Vanaf 2 augustus 2026 is dit verplicht.

 

 



   7. Heb je een AI-incident-procedure?         Wat als de chatbot iets onjuists zegt of een klant onterecht afwijst? Een schriftelijke procedure voor melding, escalatie en herstel, inclusief log-retentie.

 

 



   8. Wie is je AI-verantwoordelijke?         Een aanwijsbare functionaris (vaak de DPO of CISO) die overzicht heeft over alle AI-toepassingen en aanspreekpunt is voor de toezichthouder.

 

 



   9. Heb je een AI-register?         Een centraal overzicht (vergelijkbaar met een AVG-register van verwerkingsactiviteiten) waarin alle AI-systemen, hun risico-classificatie en hun verantwoordelijke staan.

 

 



   10. Hoe log je AI-beslissingen?         Logging van inputs, prompts, outputs en menselijke ingrepen. Voor hoog-risico verplicht; voor beperkt risico aanbevolen voor traceerbaarheid. Houd minimaal 6 maanden bewaartermijn aan.

 

 



 

  

 

 

 





 ## Casestudy: AI-redactie via MCP in Drupal

 

VDMi gebruikt zelf agentic AI in de redactionele flow van vdmi.nl. We bouwden een eigen Drupal-module die het [Model Context Protocol](https://modelcontextprotocol.io/) (MCP) implementeert: een AI-agent zoals Claude kan via een geauthenticeerde MCP-server direct blog-content en paragraphs aanmaken. De blog die je nu leest is ermee gebouwd.

Belangrijk voor AI Act-compliance is hoe we de risico’s beheersen. Drie principes uit onze implementatie laten zich één-op-één vertalen naar de wettelijke vereisten:

- **Menselijke goedkeuring per publicatie**. Elk MCP-gemaakt artikel komt automatisch op de status *pending\_review*. Geen redacteur die op publiceren klikt, geen live content. Dat is letterlijk de “human oversight” uit Artikel 14.
- **Volledige audit-trail**. Iedere AI-actie wordt geregistreerd in een audit-log met tijdstempel, identiteit van de aanroeper, tool-naam en payload. Bij elke revisie staat een logregel die vermeldt dat de wijziging via MCP tot stand kwam. Volledig traceerbaar voor handhaving.
- **Granulariteit in rechten**. Aparte rollen bepalen of een AI-consumer alleen mag lezen, mag schrijven of mag verwijderen. Een schrijvende agent kan dus niet zomaar content wissen — het principe van minimale rechten, technisch afgedwongen.

Daar bovenop draait een limiet op het aantal acties per consumer, zodat één malfunctionerend script geen tsunami aan content veroorzaakt. Het patroon is generiek: menselijke controle, traceerbaarheid en afgebakende toegang. Wil je zoiets in jouw platform inrichten? Plan een [verkennend gesprek](/contact).



 

 



 

 

 

 

 

 





 ## Boetes en handhaving — wie controleert en wat kost een overtreding?

 

De AI-verordening kent stevige boetes, gestructureerd in drie niveaus (Art. 99 van de Verordening).

OvertredingMaximale boeteVerboden AI-praktijken (Art. 5)€35 miljoen of 7% wereldwijde jaaromzet (hoogste)Niet-naleving andere verplichtingen, incl. hoog-risico en transparantie (Art. 50)€15 miljoen of 3% wereldwijde jaaromzetOnjuiste of misleidende informatie aan de toezichthouder€7,5 miljoen of 1% wereldwijde jaaromzetVoor mkb en start-ups geldt steeds het láágste van het bedrag of het percentage — maar nul wordt het niet.

**Nederlandse toezichthouders**: het kabinet maakte op 20 april 2026 de toezichtstructuur concreet (zie het [nieuwsbericht van de Rijksoverheid](https://www.rijksoverheid.nl/actueel/nieuws/2026/04/20/kabinet-zet-stap-met-toezicht-op-europese-ai-regels)):

- De [Rijksinspectie Digitale Infrastructuur](https://www.rdi.nl/onderwerpen/kunstmatige-intelligentie/ai-verordening) (RDI) is het nationale aanspreekpunt (Single Point of Contact) en coördinerend toezichthouder.
- De Autoriteit Persoonsgegevens (AP) coördineert het toezicht op grondrechten en op AI-systemen die persoonsgegevens verwerken — de overlap met AVG-handhaving is groot.
- Nederland koos een hybride model met circa tien sectorale markttoezichthouders (zoals DNB, AFM en de NZa), elk verantwoordelijk binnen het eigen domein.

De toezichthouders opereren al onder de bestaande Verordening — wachten op de finale Nederlandse uitvoeringswet is dus niet handig.



 

 



 

 

 

 

 

 





 

 

Stappen 1–2 van de roadmap

### 1. Inventariseer & classificeer

Maak een centraal AI-register: per systeem doel, model, data-stromen en verantwoordelijke. Classificeer vervolgens elk systeem (verboden, hoog, beperkt, minimaal). Dit is geen eenmalige actie — herzie elk kwartaal.

 

  

 

 

Stappen 3–4 van de roadmap

### 2. Documenteer & implementeer

Stel een DPIA (gegevensbeschermingstoets) en — voor hoog-risico — een FRIA (grondrechtentoets) op. Implementeer transparantie-UI, redactionele workflows, menselijke controle en logging.

 

  

 

 

Stappen 5–6 van de roadmap

### 3. Test & monitor

Voer periodieke bias-audits en red-teaming uit. Richt een incident-procedure in. Monitor model-drift (het langzaam verslechteren van de output) en gebruikersklachten. Plan jaarlijkse her-beoordeling van de risico-classificatie.

 

  

 

 

 





 ## Drupal-specifiek: welke modules en patronen helpen

 

Drupal’s open-source ecosysteem biedt veel bouwblokken voor AI Act-compliance. Een paar concrete tips:

- [**AI module (Drupal.org)**](https://www.drupal.org/project/ai) — abstracte laag waarmee je makkelijk wisselt tussen providers (OpenAI, Anthropic, lokale modellen). Voorkomt vendor lock-in en maakt audit-logging eenvoudiger.
- [**Content Moderation + Workflows**](https://www.drupal.org/docs/8/core/modules/content-moderation) — ingebouwde menselijke controle voor AI-content. Combineer met een eigen status “AI-gegenereerd, wacht op review” zodat redactie altijd een tussenstap zet.
- [**Webform + AI-validatie**](https://www.drupal.org/project/webform) — formulieren met AI-checks (spam, hate-speech) waar het AI-element apart loggable is.
- **Custom audit-log + revisie-logregels** — voor elke AI-actie een spoor. Zie onze MCP-module hierboven; vergelijkbare patronen werken voor elke andere AI-provider.
- [**EU Cookie Compliance**](https://www.drupal.org/project/eu_cookie_compliance) — in combinatie met AI-disclosure-componenten: één centrale plek voor consent en informatie over AI-verwerking.

Een Drupal-platform geeft je vergeleken met SaaS-CMS’en één groot voordeel: je behoudt controle over data en kunt audit-logging volledig zelf inrichten. We schreven daar eerder over in [waarom open source en Europese soevereiniteit nu samenkomen](/blog/waarom-we-bij-vdmi-open-source-kiezen-en-waarom-dat-nu-europees-relevant "Waarom we bij VDMi voor open source kiezen — en waarom dat nu Europees relevant is") en [hoe veilig Drupal écht is](/blog/hoe-veilig-is-drupal-security-team-2026).



 

 



 

 

 

 

 

 





 

 De eerstvolgende deadline is augustus 2026## Plan een AI Act-scan voor je platform

 

<p>In een sessie van twee uur brengen we je AI-features in kaart, classificeren we ze tegen de AI-verordening en leveren we een concrete roadmap met prioriteiten. Vrijblijvend en zonder verkoopdruk — het rapport is van jou, ook als je daarna zelf verder gaat.</p>

 [ Plan een AI Act-scan     ](/contact) 

 

 

 

 

 

 





 ## Veelgestelde vragen

    Klopt het dat de AI Act-deadline is uitgesteld?         Deels. Met de Digital Omnibus on AI (voorlopig akkoord van 7 mei 2026) schuiven de verplichtingen voor hoog-risico AI op: Annex III-systemen naar 2 december 2027, AI ingebed in producten naar 2 augustus 2028. De transparantieverplichtingen onder Artikel 50 zijn níet uitgesteld en gelden vanaf 2 augustus 2026. Het akkoord moet bovendien nog formeel worden aangenomen.

 

 



   Geldt de AI-verordening ook voor mijn kleine bedrijfswebsite?         Ja, zodra je een AI-functie inzet (chatbot, AI-content, AI-aanbevelingen) gelden minstens de transparantieverplichtingen. Voor mkb gelden wel verlichte boetebedragen en een proportionele invulling van de eisen, maar nul-verplichtingen bestaan niet.

 

 



   Is een chatbot altijd een hoog-risico systeem?         Nee, een standaard klantenservice-chatbot is beperkt-risico: alleen een transparantielabel is verplicht. Hoog-risico wordt het als de bot zelfstandig beslissingen neemt over toegang tot essentiële diensten (verzekering, krediet) of op andere terreinen uit Annex III.

 

 



   Wat als ik ChatGPT gebruik om blogs te schrijven?         Plaats een zichtbaar label bij AI-gegenereerde content (“Concept met AI, geredigeerd door redactie”). Documenteer welk model je gebruikt en met welk doel in je AI-register. Bewaar ruwe AI-output minimaal 6 maanden voor traceerbaarheid.

 

 



   Moet ik AI-gegenereerde productafbeeldingen labelen?         Ja, beelden die volledig of substantieel door AI zijn gemaakt vallen onder de label-verplichting in Art. 50. Een tekst-overlay of caption bij de afbeelding (“AI-illustratie”) volstaat — onzichtbare metadata-watermerken alleen niet.

 

 



   Hoe verhoudt de AI Act zich tot de AVG?         Ze vullen elkaar aan. De AVG regelt verwerking van persoonsgegevens; de AI-verordening regelt het AI-systeem zelf (ongeacht of het persoonsgegevens gebruikt). Zodra een AI-systeem persoonsgegevens verwerkt, gelden beide — de Autoriteit Persoonsgegevens kijkt vaak naar beide tegelijk.

 

 



   Wat is een GPAI en wanneer raakt mij dat?         Een General-Purpose AI-model is een grootschalig getraind foundation-model zoals GPT-4, Claude of Gemini. Zodra jouw site die via een API aanroept, ben je downstream-gebruiker en moet je je gebruik documenteren — ook al lever je het model niet zelf.

 

 



   Welke documentatie moet ik nu al bijhouden?         Minimaal: een AI-register met per use case het doel, model, dataverkeer en verantwoordelijke. Voor hoog-risico bovendien: een DPIA (gegevensbeschermingstoets), risk-management-plan, FRIA (grondrechtentoets), technische documentatie en conformiteitsbeoordeling — met EU-database-registratie tegen de tijd dat de hoog-risico-verplichtingen ingaan (Annex III: 2 december 2027).

 

 



   Wie controleert in Nederland?         De RDI is nationaal aanspreekpunt en coördinerend toezichthouder, de Autoriteit Persoonsgegevens coördineert het toezicht op grondrechten en data, en circa tien sectorale toezichthouders (DNB, AFM, NZa en andere) zijn binnen hun domein verantwoordelijk. Het kabinet maakte deze structuur op 20 april 2026 bekend.

 

 



 

  

 

 

 





## Lees meer

 

  [ ![Waarom we bij VDMi voor open source kiezen — en waarom dat nu Europees relevant is](/sites/default/files/2026-05/ChatGPT%20Image%208%20mei%202026%2C%2013_18_11.png) Compliance Drupal Privacy 

 

### Waarom we bij VDMi voor open source kiezen — en waarom dat nu Europees relevant is

Europa geeft jaarlijks 265 miljard euro uit aan Amerikaanse cloud- en softwarediensten. Dat is geen abstract probleem — dat is jouw budget, jouw klantdata en jouw vrijheid om morgen iets anders te kiezen. Wij bouwen al jaren op Linux, Drupal en open-source-stacks. Hier leggen we uit waarom dat geen technische bijzaak is, maar een strategische keuze die nu Europees urgent is geworden.

  Lees meer     

 ](https://vdmi.nl/blog/waarom-we-bij-vdmi-open-source-kiezen-en-waarom-dat-nu-europees-relevant)  [ ![Drie wetten, één vraag: kan uw digitale fundament het aan?](/sites/default/files/2026-05/ChatGPT%20Image%201%20mei%202026%2C%2009_39_13.png) Toegankelijkheid Compliance 

 

### Drie wetten, één vraag: kan uw digitale fundament het aan?

Vanaf 2026 gelden NIS2, de AI Act en WCAG 2.2 gelijktijdig. Dit artikel laat zien waarom losse tools voor elk kader breken, en hoe één Drupal-platform de drie eisen in één audit-trail afdekt.

  Lees meer     

 ](https://vdmi.nl/blog/drie-wetten-vraag-kan-uw-digitale-fundament-het)  [ ![Hoe veilig is Drupal écht? Het Security Team, het disclosure-proces en wat jij nog moet regelen](/sites/default/files/2026-04/ChatGPT%20Image%2017%20apr%202026%2C%2010_46_05.png) Drupal Compliance 

 

### Hoe veilig is Drupal écht? Het Security Team, het disclosure-proces en wat jij nog moet regelen

Drupal heeft een officieel Security Team, vaste patch-woensdagen en secure-by-default. Lees hoe het werkt en welke 7 dingen je nog zelf moet regelen.

  Lees meer     

 ](https://vdmi.nl/blog/hoe-veilig-is-drupal-security-team-2026)