Niet voldoen aan AI Act of AVG kost je duur. Overzicht van boetes, toezicht, juridische risico’s en een pragmatisch stappenplan voor MKB-accountantskantoren.

Inleiding

Gebruik je AI in analyses, rapportages, klantacceptatie of HR? Dan val je onder de EU AI Act én de AVG. Niet-naleving kan leiden tot forse boetes, opschorting van systemen en reputatieschade. De AI Act is sinds 1 augustus 2024 van kracht; kernverplichtingen gelden gefaseerd. De Europese Commissie heeft in november 2025 aangekondigd bepaalde hoog-risico-eisen naar 2027 te verschuiven—maar de wet blijft leidend en boetes gelden zodra bepalingen van toepassing zijn. Zorg dus dat je nu al je governance, documentatie en processen op orde brengt. European Commission+1

Wat staat er op het spel?

Boetes onder de AI Act

  • Tot €35 miljoen of 7% van wereldwijde omzet bij verboden AI-praktijken.
  • Tot €15 miljoen of 3% bij o.a. transparantie- of risicobeheer-overtredingen.
  • Tot €7,5 miljoen of 1% bij misleidende of onjuiste informatie aan toezichthouders. whitecase.com+2holisticai.com+2
Let op: voor GPAI-aanbieders gelden aparte boetebevoegdheden tot 3% of €15 miljoen. ai-act-service-desk.ec.europa.eu

Boetes onder de AVG (GDPR)

  • Tot €20 miljoen of 4% van de wereldwijde jaaromzet voor zware schendingen (bijv. onrechtmatige verwerking, schending van rechten).
  • Tot €10 miljoen of 2% voor minder zware schendingen (bijv. tekortschieten in security of DPIA-plicht). gdpr-info.eu+1

Juridische en operationele gevolgen

  • Opschorting of verbod op gebruik van je AI-systeem.
  • Verplichte audits en aanvullende maatregelen door de toezichthouder. European Commission

Korte uitleg: conformiteitsbeoordeling (AI Act)

Voor veel Annex III-toepassingen mag je een interne conformiteitsbeoordeling doen op basis van Annex VI (zonder notified body). Je documenteert o.a. risicobeheer, datakwaliteit, human oversight, logging en post-market monitoring. artificialintelligenceact.eu+1

Waar gaat het vaak mis bij kantoren?

  • AI zonder classificatie: geen onderscheid tussen hoog-risico en ondersteunende tools.
  • Onduidelijk eigenaarschap: niemand beheert modellen, data en releases.
  • Gebrekkige datadocumentatie: herkomst, bias-checks en updates ontbreken.
  • Transparantie vergeten: cliënten en medewerkers weten niet dat AI is gebruikt.
  • Geen incidentproces: datalek/AI-incident niet tijdig gemeld.

Stappenplan: zo voorkom je boetes

1) Inventariseer en classificeer

  • Maak een AI-inventaris per use-case (rapportage-assistent, risico-signalering, klantacceptatie, HR).
  • Toets aan AI Act (hoog-risico ja/nee) en AVG-grondslagen.

2) Richt een risicobeheersysteem in (QMS)

  • Policies voor risico-identificatie, mitigatie en lifecycle-beheer.
  • KPI’s (nauwkeurigheid, bias, false positives) en post-market monitoring.

3) Datagovernance & privacy

  • Datalineage, dataminimalisatie, bewaartermijnen, DPIA waar nodig.
  • Dataset-kwaliteit (representativiteit, bias-metingen, update-cyclus).

4) Technische documentatie (levend dossier)

  • Doel, reikwijdte, model/logica op hoofdlijnen, evaluaties, limieten.
  • Human oversight-momenten en fallback-scenario’s.
  • Logging en audittrail (incl. prompts en overrides).

5) Transparantie & rechten van betrokkenen

  • Heldere gebruikersinformatie in rapportages en klantcommunicatie.
  • Procedures voor inzage, correctie, bezwaar en uitleg over AI-output (AVG).

6) Contracten & leveranciers

  • Leg AI-rollen vast (provider/deployer), support-verplichtingen, datagebruik.
  • Voor GPAI/third-party modellen: eisen t.a.v. evaluaties, logging en updates.

7) Testen, trainen, borgen

  • Periodieke bias- en performancetesten, four-eyes-review van gevoelige beslissingen.
  • AI-geletterdheid en werkinstructies voor medewerkers.

8) Incidentrespons & meldplichten

  • Duidelijke triage, meldtermijnen en escalatiepaden (AVG + AI Act).
  • Oefen met scenario’s (datalek, fout advies, onterechte risicoscore).

2025–2027: wat moet je nu doen?

  • Q4 2025–2026: inventaris, classificaties, QMS, documentatie en transparantie op orde brengen; contracten herzien.
  • Let op vertragingen: sommige hoog-risico-eisen gaan volgens Commissie-aankondiging later gelden (naar 2027), maar reken daar niet op voor je basis-compliance. Blijf plannen op “as-if 2026”, verfijn zodra definitieve teksten zijn vastgesteld. Reuters

Praktische voorbeelden (accountancy)

  • Klantacceptatie/risicoscore: hoog-risico-context → classificatie, interne beoordeling, registratie (indien vereist), oversight en uitgebreide logging.
  • AI-assistent voor rapportopzet: meestal geen hoog risico → focus op transparantie, dataminimalisatie, redactionele controle.
  • HR-screening: hoog-risico → bias-tests, menselijke besluitvorming, audittrail en (straks) registratie.

Quick checklist (print dit uit)

  • AI-inventaris + hoog-risico-toets per use-case
  • QMS/Risicobeheer + post-market monitoring
  • Datasets gedocumenteerd + bias-/kwaliteitsmetingen
  • Technische documentatie + oversight + fallback
  • Transparantie-tekst richting cliënt en in rapportages
  • Logging & audittrail actief en bewaarbeleid geregeld
  • Incidentproces (AVG + AI Act) getest
  • Contracten met leveranciers geüpdatet
  • Training AI-geletterdheid afgerond

Samenvatting

Boetes onder AI Act en AVG zijn fors en gaan samen met vergaande toezichtbevoegdheden. Door nu te classificeren, je QMS en documentatie op te bouwen, transparant te communiceren en incidenten te borgen, verlaag je risico’s en versterk je vertrouwen bij cliënten. AI4 Accountancy helpt je dit efficiënt te organiseren.

Plan een demo van het AI-First Platform voor accountancy.


AI Act boetes, AVG boetes, hoog-risico AI, conformiteitsbeoordeling, accountancy compliance, human oversight, datagovernance