10 Min Read
Inleiding
Augustus 2026. Een operationeel manager bij een 3PL krijgt een appje van zijn directie: "Voldoen wij eigenlijk aan die EU AI Act?" Hij weet niet welke AI-tools zijn team gebruikt. Hij weet niet onder welke categorie de route-optimalisatie in zijn TMS valt. Hij weet niet wat AI-geletterdheid in de praktijk betekent.
De deadline is over 100 dagen.
Dat is het scenario dat zich op dit moment afspeelt bij vrijwel elk logistiek en e-commerce bedrijf in Nederland en België. De EU AI Act voor logistiek en e-commerce is geen verre toekomst meer. Hij komt eraan. En de meeste teams hebben nog geen idee wat er precies van hen wordt verwacht.
Goed nieuws: het is minder werk dan je denkt. Slecht nieuws: het is wél werk. In deze gids zetten we exact uiteen wat je vóór 2 augustus 2026 geregeld moet hebben, welke verplichtingen voor iedereen gelden, en hoe je in vijf stappen klaar bent.
Wat is de EU AI Act in 60 seconden?
De EU AI Act is de eerste brede AI-wetgeving ter wereld. Hij deelt AI-systemen op in vier risicocategorieën — verboden, hoog-risico, beperkt risico en minimaal risico — en koppelt aan elke categorie een set verplichtingen.
De wet is op 1 augustus 2024 in werking getreden, maar de verplichtingen worden gefaseerd ingevoerd:
2 februari 2025 — Verboden AI-praktijken + AI-geletterdheid (artikel 4) zijn al van kracht
2 augustus 2025 — Governance-regels + General Purpose AI
2 augustus 2026 — Hoog-risico AI uit Annex III ← deze deadline
2 augustus 2027 — Hoog-risico AI als safety component van producten
Voor de meeste operationele teams is 2 augustus 2026 de deadline die telt. En die is dichterbij dan je denkt.
Waarom logistiek en e-commerce extra moeten opletten
In logistiek en e-commerce gebruik je waarschijnlijk al AI zonder dat je het zo noemt. Een paar voorbeelden uit de praktijk:
Route-optimalisatie in je TMS
Vraagvoorspelling in je WMS of ERP
Fraudedetectie bij betalingen
Chatbots voor klantenservice
Voorraadaanbevelingen op basis van historische data
Picklist-volgorde-optimalisatie
Retouren-classificatie
Productaanbevelingen in je webshop
Sommige van deze use cases zijn beperkt risico, sommige zijn hoog-risico, en de meeste vallen in een grijs gebied. Het verschil zit niet in wat het systeem is, maar in waarvoor je het inzet.
Een chatbot is geen risico-categorie. Wat de chatbot doet wél. Een chatbot die klanten helpt vinden welke maat ze nodig hebben? Minimaal risico. Een chatbot die warehouse-medewerkers werft of beoordeelt? Hoog-risico.
De vier risicocategorieën voor jouw operatie
1. Verboden AI (sinds februari 2025)
Social scoring, manipulatieve technieken bij kwetsbare groepen, real-time biometrische identificatie in publieke ruimtes. Geen normaal logistiek of e-commerce gebruik valt hier onder. Skip.
2. Hoog-risico AI (vanaf augustus 2026)
Dit is de categorie waar je écht over moet nadenken. Annex III noemt onder andere:
AI bij werving, beoordeling of ontslag van personeel
AI bij toegang tot essentiële diensten
AI in kritieke infrastructuur
Voor logistiek en e-commerce raakt dit waarschijnlijk:
AI-tools die personeel monitoren of beoordelen (picking-prestaties met scoring, urenregistratie met automatische evaluatie)
AI in de sollicitatie-flow (CV-screening voor warehouse-medewerkers of customer service)
AI voor kredietbeoordeling van zakelijke klanten (B2B-platforms met automatische limieten)
Heb je iets in deze categorieën? Dan komen er serieuze verplichtingen op je af: technische documentatie, risicobeoordeling, menselijk toezicht, logging, data-governance. Geen ramp, wel werk.
3. Beperkt risico
Transparantieverplichtingen. De gebruiker moet weten dat hij met AI te maken heeft.
Chatbots → moet duidelijk zijn dat het AI is
AI-gegenereerde content → moet als zodanig herkenbaar zijn
Deepfakes → moeten gelabeld worden
4. Minimaal risico
Het overgrote deel van AI in operations. Voorraadvoorspelling, route-optimalisatie, anomaliedetectie in transactiedata, AI-dashboards: vrijwel geen extra verplichtingen vanuit de AI Act zelf.
De goede boodschap: 80-90% van je AI-tools valt onder minimaal risico. De minder goede: drie verplichtingen gelden voor iedereen.
De drie verplichtingen die voor iedereen gelden
1. AI-geletterdheid (artikel 4) — al verplicht sinds februari 2025
Iedereen die met AI-systemen werkt of erover beslist, moet de basis begrijpen. Concreet moet je kunnen aantonen dat:
Medewerkers weten welke AI-tools ze gebruiken
Ze de risico's begrijpen (hallucinaties, bias, datalekken)
Ze weten wanneer een AI-antwoord wel of niet betrouwbaar is
Een training van twee uur per rol is voldoende. Maar je moet wél documenteren wie wanneer wat heeft gehad. Geen handtekeningenlijst van tien jaar oud — een actuele registratie.
2. Inventarisatie van AI-systemen
Voor de risicobeoordeling moet je weten welke AI-systemen er in je organisatie draaien. Dat klinkt simpel, maar in de praktijk is dit waar de meeste bedrijven vastlopen.
Het probleem heet Shadow AI. Als je team ChatGPT, Claude, Perplexity en zes andere tools onder de radar gebruikt, kun je geen complete inventaris maken. Dat is meteen je eerste taak.
3. Transparantie
Klanten en medewerkers moeten weten wanneer ze met AI te maken hebben. Concreet:
Chatbot op je website? Disclaimer of duidelijke AI-aanduiding
AI-gegenereerde productbeschrijvingen? Vermelden
AI-aanbevelingen in customer service? Medewerker moet weten dat het AI-advies is, niet een menselijke check
5 stappen om vóór augustus 2026 klaar te zijn
Stap 1: Maak een AI-systeem-inventaris (week 1)
Ga langs alle afdelingen en vraag: welke tools met AI worden er gebruikt? Vergeet niet:
Embedded AI in bestaande software (TMS, WMS, ERP, je e-mailclient)
Stand-alone AI-tools (ChatGPT, Claude, Perplexity, Copilot)
AI-features in marketing tools (Klaviyo, HubSpot, Mailchimp)
AI in productiviteitssoftware (Microsoft 365, Google Workspace)
Per tool registreer je: doel, datatype, leverancier, EU-hosting (ja/nee), gebruikersgroep.
Stap 2: Classificeer elk systeem (week 2)
Bepaal voor elk systeem welke risicocategorie van toepassing is. De meeste vallen onder minimaal risico. Wees streng op hoog-risico: scoring van personeel, sollicitanten-screening of kredietbeoordeling vallen er bijna altijd onder.
Twijfel? Dan classificeer je veiligheidshalve als hoog-risico en doe je de risicobeoordeling. Beter te streng dan een boete.
Stap 3: Plan AI-geletterdheidstraining (maand 1)
Maak een korte training (2 uur, één sessie) per rol. Drie onderdelen:
Hoe werken de AI-tools die wij gebruiken? (geen LLM-jargon)
Wat zijn de risico's? (hallucinaties, bias, datalekken)
Wat doe je bij twijfel? (escalatieroute, contactpersoon)
Documenteer aanwezigheid. Dit is je belangrijkste bewijs richting eventuele controle.
Stap 4: Sluit Shadow AI af (maand 1-2)
Een AI-inventaris is alleen geldig als je hem actueel houdt. Dat lukt niet als medewerkers buiten je zicht om tools gebruiken. Twee opties:
Hard verbod → werkt niet (onderzoek van Cyberhaven laat zien dat gebruik enkel verschuift naar persoonlijke devices)
Faciliteer een veilig alternatief → werkt wel
Een veilige AI-omgeving die binnen je bedrijfsdata werkt, zoals een AI Company Assistant, lost compliance en snelheid tegelijk op. Geen copy-paste-gedrag, geen data naar publieke modellen, wél tempo voor je team.
Stap 5: Documenteer en review (vanaf maand 2)
Maak één eenvoudig document waarin staat:
Welke AI-systemen we hebben
Welke risicocategorie
Wie verantwoordelijk is
Wanneer de laatste training was
Geen 47-pagina compliance-document. Wel een levend document dat actueel blijft. Review elke 6 maanden.
Wat dit oplevert (en wat het kost als je het niet doet)
Bedrijven die de AI Act tijdig oppakken, ervaren drie effecten:
Snellere AI-adoptie. Paradoxaal maar waar: heldere kaders maken meer dingen mogelijk in plaats van minder.
Minder Shadow AI-risico. Automatisch effect van een goede inventaris en een veilig alternatief.
Aantoonbaar compliance. Geen "we doen ons best", maar daadwerkelijk bewijs.
Wat het kost om het niet te doen:
Boetes tot €35 miljoen of 7% van wereldwijde jaaromzet (afhankelijk van overtreding)
Reputatieschade als een datalek via een Shadow AI-tool publiek wordt
Sales-blokkades: enterprise-klanten gaan AI-compliance bij hun leveranciers controleren — vooral in B2B-logistiek
Wat je deze week kunt doen
Begin niet met een groot project. Begin met drie kleine stappen:
Stuur één e-mail rond: "Welke AI-tools gebruik je voor werk?" Verwacht een lijst die langer is dan je denkt.
Plan een uur met je IT-verantwoordelijke om bestaande software door te lopen op embedded AI.
Begin met één veilige AI-omgeving waarin het werk dat je team nu in ChatGPT doet, beheerst kan.
De deadline is 2 augustus 2026. Bedrijven die in mei beginnen, zijn in juli klaar. Bedrijven die in juli beginnen, halen het niet.
FAQ
Geldt de EU AI Act ook voor bedrijven buiten de EU?
Ja. Als je AI-systemen gebruikt waarvan de output in de EU gebruikt wordt, val je onder de wet. Een Amerikaans bedrijf met klanten in Nederland moet ook compliance hebben.
Wat als ik denk dat ik geen AI gebruik?
Vrijwel onmogelijk in 2026. AI zit ingebouwd in Outlook, Gmail, je CRM, je TMS en zelfs in spelling-checkers. Inventariseer voordat je concludeert dat je niets hebt.
Wat is het verschil tussen de AI Act en de AVG (GDPR)?
GDPR gaat over persoonsgegevens. De AI Act gaat over AI-systemen. Beide kunnen tegelijk van toepassing zijn. Een AI-systeem dat klantgegevens verwerkt valt onder beide regimes.
Moet een AI Company Assistant ook compliance-gecheckt worden?
Ja, net als elk ander AI-systeem. Het verschil: een serieuze leverancier (EU-hosted, GDPR-proof, audit trail, Role Level Security) maakt jouw compliance eenvoudiger. Een tool zonder die kenmerken maakt het juist moeilijker.
Wat als ik de deadline van 2 augustus 2026 mis?
Boetes lopen van 1,5% (administratieve overtredingen) tot 7% van wereldwijde jaaromzet (verboden praktijken). De eerste maanden ligt de handhaving naar verwachting bij grote bedrijven en duidelijk hoog-risico use cases. MKB krijgt waarschijnlijk eerst een waarschuwing — maar daar reken je niet op.
Hoe vaak moet ik mijn AI-inventaris updaten?
Minimaal halfjaarlijks. Bij invoering van een nieuwe AI-tool: direct.
Conclusie
De EU AI Act is geen reden om AI te vertragen. Het is een reden om AI volwassen in te zetten. Drie verplichtingen — inventaris, AI-geletterdheid, transparantie — die je met een goed weekend voorbereiding kunt opzetten en in een paar weken kunt operationaliseren.
De grootste fout die we bedrijven zien maken: wachten tot juni en dan in paniek raken. De op één na grootste: een 50-pagina compliance-document maken dat niemand leest of bijhoudt.
Begin klein. Begin nu. En zorg dat je AI-stack het je makkelijk maakt om compliant te blijven, in plaats van moeilijker.
Wil je weten of jouw AI-stack klaar is voor augustus 2026? In een demo van 30 minuten kijken we mee naar je huidige tools, mappen we de drie verplichtingen op jouw situatie en laten we zien hoe Swoep dit voor je team in één veilige omgeving oplost.
Plan een demo van 30 minuten →
Subscribe op onze nieuwsbrief
Sign up to get the most recent blog articles in your email every week.
Similar Topic
