EU AI Act-checklist. Zes fasen tot augustus 2026.

Notarissen, kantoormanagers en partners die hun kantoor in zes maanden EU AI Act-conform willen krijgen, vinden hier een stapsgewijze voorbereiding op de deadline van 2 augustus 2026. Iedere fase beschrijft de concrete acties, de tijdsbesteding, de eigenaar binnen het kantoor en de primaire bron die geldt. Toegespitst op het notariaat, met verwijzingen naar het KNB AI-afwegingskader, BFT-toezicht en Wet op het notarisambt waar dat relevant is.

Geschreven door Wouter Porton · Bijgewerkt 13 mei 2026 · Leestijd 9 minuten

Laatst geverifieerd: 13 mei 2026
Zes fasen van EU AI Act-compliance tot 2 augustus 2026 Horizontale tijdlijn met zes genummerde nodes. Fasen 1 tot 5 lopen tot de deadline; fase 6 (Monitoring) is doorlopend daarna. 1 Inventaris 4-8u Q1-Q2 2026 2 Classificatie 2-4u/sys Q1-Q2 2026 3 Documentatie 1-2 dgn Q2 2026 4 Communicatie 1 dag Q2-Q3 2026 5 Go-live 2 aug 2026 deadline 6 Audit doorlopend Q3 2026+
De zes fasen tot 2 augustus 2026 in volgorde. Fasen 1 tot 5 zijn projectmatig (5-7 dagen werk); fase 6 is doorlopend onderhoud daarna.

Waarom deze checklist

De EU AI Act (Verordening 2024/1689) is sinds 2 februari 2025 deels van kracht. Op 2 augustus 2026 treden de verplichtingen voor hoog-risico AI-systemen volledig in werking, samen met de nationale toezichtsstructuren. Voor de meeste Nederlandse kantoren ligt het werk niet in zware compliance-projecten, maar in zes overzichtelijke fasen die elk een paar dagen vragen.

Deze pagina geeft die zes fasen, met per fase een concrete actielijst en tijdsinschatting. Geen vervanging voor juridisch advies, wel een werkbaar startpunt. Voor notaris-specifieke verplichtingen verwijzen we naar EU AI Act voor notarissen, met KNB AI-afwegingskader, AMLR-overgang en Wna artikel 22.

Fase 1, AI-inventaris (4-8 uur)

Wanneer: Q1-Q2 2026 · Eigenaar: Partner of compliance-officer · Tijd: 4-8 uur eenmalig

Lijst alle AI-toepassingen die uw kantoor gebruikt, formeel aangeschafte tools én informeel gebruik. Veel kantoren onderschatten deze fase omdat AI inmiddels in zoveel software is verwerkt dat het niet meer als AI voelt.

Concrete acties

  • Inventariseer formele AI-tools: ATS, CV-screeners, factuurherkenning, mailtriage, dossier-AI, contractanalyse
  • Inventariseer ingebakken AI in standaard kantoorsoftware: Outlook/Gmail smart-reply, Word Copilot, Excel-formules-AI, agenda-suggesties, anti-spam
  • Inventariseer informeel gebruik: ChatGPT, Claude, Gemini, Microsoft Copilot op persoonlijke accounts of werk-laptops
  • Per tool: leverancier, model, doel, sinds wanneer in gebruik, welke data het verwerkt, hoeveel medewerkers het gebruiken

Resultaat

Een spreadsheet met 8-15 regels (typisch voor MKB-kantoor) of 20-50 regels (grotere kantoren). Dit is uw baseline voor alle volgende fasen.

Fase 2, Risico-classificatie (2-4 uur per systeem)

Wanneer: Q1-Q2 2026 · Eigenaar: Compliance-officer + juridisch adviseur · Tijd: 2-4 uur per uniek AI-systeem

Bepaal voor elke AI-toepassing in welke EU AI Act-categorie deze valt. Lees onze uitleg van risico-categorieën voor de definities.

Beslisboom per systeem

  1. Is het een AI-systeem volgens artikel 3 AI Act? Zo nee, geen AI Act-verplichtingen (wel AVG). Zo ja, ga verder.
  2. Valt het onder verboden praktijken (artikel 5)? Zoals sociale-credit-systemen, manipulatie via subliminale technieken, ongerichte gezichtsherkenning. Zo ja: niet gebruiken. Zo nee, ga verder.
  3. Valt het onder Annex III? Voor het notariaat zelden van toepassing. Annex III dekt o.a. werving-AI (4(a)), kredietbeoordeling (5(b)), biometrie (1), rechtshandhaving (6), komt soms voor bij cliëntbedrijven (UBO-screening), niet bij de notaris zelf. Zo ja: hoog-risico, strikte verplichtingen.
  4. Heeft het een transparantie-verplichting? Chatbots, AI-gegenereerde content, deepfakes, beperkt risico, transparantie verplicht (artikel 50).
  5. Anders: minimaal risico, geen AI Act-verplichtingen.

Resultaat

Inventaris met kolom "AI Act-categorie" ingevuld. Voor de meeste notariskantoren: 1-3 systemen in beperkt risico (mail-triage, document-extractie, KvK-koppeling), 0 in hoog risico bij de notariële kerntaken, rest minimaal.

Fase 3, Documentatie en oversight inrichten (1-2 dagen)

Wanneer: Q2 2026 · Eigenaar: Compliance-officer + IT · Tijd: 1-2 dagen totaal

Per AI-systeem in beperkt of hoog risico:

Concrete acties

  • Leveranciers-documentatie verzamelen, gebruiksaanwijzing, technische specificatie, EU declaration of conformity (voor hoog-risico AI), bias-audit-rapport
  • Menselijke-oversight-procedure vastleggen, wie reviewt welke AI-output, hoeveel mag automatisch, wanneer is "rubber-stamping" een risico?
  • Log-mechanisme activeren, voor hoog-risico AI minimaal 6 maanden, voor beperkt risico aanbevolen voor tuchtdoeleinden. Voor het notariaat geldt de 20-jaar bewaarplicht voor akten en bijbehorende dossierstukken conform de Wet op het notarisambt
  • AI-geletterdheidsprogramma, sinds 2 februari 2025 verplicht. Documenteer welke medewerkers welke training hebben gevolgd. PE-uren tellen voor KNB
  • Beleid voor schaduwgebruik, formaliseer welke publieke AI-tools mogen, welke niet, met anonimiserings-vereiste vóór invoer

Fase 4, Cliënt-communicatie en DPAs (1 dag)

Wanneer: Q2-Q3 2026 · Eigenaar: Compliance-officer + secretariaat · Tijd: 1 dag totaal

Concrete acties

  • DPA's controleren, voor elke AI-leverancier moet er een verwerkersovereenkomst zijn (AVG artikel 28). Geen DPA = blokkerende issue
  • Sub-verwerker-tabel publiceren, welke partijen verwerken cliëntdata namens u? Tabel maken en publiceren in privacybeleid of DPA-bijlage (zie VastPilot's eigen DPA)
  • Cliënt-mededeling, vermelding in algemene voorwaarden, intake-formulier of opdrachtbevestiging dat AI is gebruikt. Voor notarissen: KNB-afwegingskader Deel 1 beveelt aan dat cliënten worden geïnformeerd vóór AI-inzet bij hun dossier
  • Mail-handtekening of footer, overweeg om mail-handtekeningen aan te passen met "Deze e-mail kan door AI zijn opgesteld; verstuurd na menselijke goedkeuring."
  • Klacht- en bezwaarprocedure, verplicht voor hoog-risico AI: de betrokkene moet uitleg krijgen en menselijke herziening kunnen aanvragen (artikel 86 AI Act)

Fase 5, Compliance live op 2 augustus 2026

Wanneer: Juli-augustus 2026 · Eigenaar: Compliance-officer · Tijd: 1 dag controle

Een week vóór de deadline: eindcontrole op alle fasen.

Checklist voor go-live

  • AI-inventaris up-to-date (geen nieuwe leveranciers vergeten?)
  • Elke AI-toepassing heeft een vastgestelde risico-classificatie
  • Voor hoog-risico AI: leveranciers-bewijs van conformity assessment + EU-database-registratie
  • Logs zijn actief; eerste log-records aanwezig en exporteerbaar
  • Menselijke-oversight-procedure is gedocumenteerd en gecommuniceerd intern
  • AI-geletterdheid: alle relevante medewerkers hebben training gevolgd; PE-uren in personeels-dossier
  • Cliënt-mededeling staat in werking (algemene voorwaarden, intake)
  • DPAs zijn ondertekend en in archief
  • Klacht- en bezwaarprocedure is publiek beschikbaar

Fase 6, Monitoring en jaarlijkse audit (doorlopend)

Wanneer: 2026-2028+ · Eigenaar: Compliance-officer · Tijd: 1-2 uur per kwartaal + 1 dag jaarlijks

Doorlopende routine

  • Kwartaal-review, nieuwe AI-leveranciers? Updates aan bestaande systemen? Wijzigingen in risico-classificatie?
  • Bias-audit voor hoog-risico AI, minimaal jaarlijks indien van toepassing. Voor het notariaat zelden direct relevant (notariële kerntaken vallen onder beperkt risico), maar wel bij UBO-screening of geautomatiseerde Wwft/AMLR-classificatie
  • Logs reviewen, steekproef-controles op kwaliteit. Werkt het oversight-proces nog?
  • PE-uren documenteren, de KNB verwacht dat AI-deskundigheid wordt onderhouden via permanente educatie
  • Toezichthouder-publicaties volgen, AP RAN (halfjaarlijks), KNB AI-afwegingskader Deel 2 (verwacht), BFT-toezichtsbrieven, AMLA-richtsnoeren (na 10 juli 2027)
  • Wetswijzigingen anticiperen, 10 juli 2027: Wwft vervalt, AMLR (Verordening 2024/1624) volledig van kracht met direct AMLA-toezicht voor het notariaat. Augustus 2027: laatste AI Act-tranche met evaluatie

Templates die u nodig hebt

Voor de zes fasen is dit het minimumarsenaal:

  • AI-inventaris-spreadsheet, kolommen: tool-naam, leverancier, doel, sinds wanneer, data-verwerking, aantal gebruikers, risico-categorie (in te vullen in fase 2)
  • Risico-classificatie-formulier, per AI-systeem: beslisboom-uitkomst, motivering, datum, ondertekenaar
  • Oversight-procedure, per AI-categorie: wie reviewt wat, mandaat, escalatie-pad
  • DPA-checklist, controleren of leveranciers-DPA voldoet aan AVG art 28: doel, duur, sub-verwerkers, beveiliging, recht-op-vergetelheid
  • Cliënt-mededeling-tekstblok, herbruikbaar voor algemene voorwaarden, intake, mail-footer
  • Klacht- en bezwaarprocedure, formulier of e-mail-adres waar betrokkenen menselijke herziening kunnen aanvragen

VastPilot levert deze templates standaard bij onboarding. Voor compliance-officers die zelf willen beginnen: bovenstaande lijst dekt de absolute minimum-set.

Realistisch tijdpad

Voor een typisch MKB-kantoor zonder bestaand AI-compliance-werk:

  • Q1 2026 (jan-mrt), Fase 1 + 2 (AI-inventaris + risico-classificatie). 2-3 dagen werk.
  • Q2 2026 (apr-jun), Fase 3 + 4 (documentatie + cliënt-communicatie). 3-4 dagen werk.
  • Juli 2026, Buffermaand voor leveranciers-vertraging, juridisch advies, last-minute issues.
  • 2 augustus 2026, Fase 5: go-live.
  • Q3 2026+, Fase 6: routine.

Totale tijdsbesteding voor het volledige traject: 5-7 dagen verspreid over 6 maanden.

Verder lezen op deze site:
· Wat VastPilot voor notariskantoren doet
· EU AI Act voor notarissen
· Woordenboek AI-compliance, 24 termen uitgelegd
· Lokale AI versus cloud-AI, infrastructuur-keuze

Eerste stap

Loopt u vast in fase 1 of 2?

Een vrijblijvend gesprek van 20 minuten waarin we uw AI-inventaris doorlopen en helpen met de risico-classificatie. Geen verkooppitch, wel een eerlijk overzicht waar uw kantoor staat richting 2 augustus 2026.

Plan een gesprek

Of stuur een e-mail naar verkoop@vastpilot.nl