AI Literacy

Implementatie van de EU AI Act versnelt via standaarden

11 min leestijd
Engelse versie niet beschikbaar

Hoe de versnelling van Europese AI-standaarden compliance concreet en uitvoerbaar maakt

Belangrijke beslissing: In oktober 2025 hebben CEN en CENELEC een versneld traject ingezet voor AI-standaarden. De sleutelstandaarden worden nu verwacht in het vierde kwartaal van 2026, precies wanneer de hoogrisico-eisen van de AI Act van kracht worden.

Wat er is besloten en waarom dit ertoe doet

De EU AI Act krijgt in hoog tempo een technisch fundament. Niet alleen omdat de wet in werking is, maar vooral omdat CEN en CENELEC in oktober uitzonderlijke maatregelen hebben genomen om de kernstandaarden sneller op te leveren.

Tijdens een gezamenlijke vergadering van de technische besturen van CEN en CENELEC op 14 tot en met 16 oktober 2025 is gekozen voor een versneld traject. Als een ontwerp na de publieke Enquiry positief wordt beoordeeld, kan het direct worden gepubliceerd zonder aparte Formal Vote. Daarnaast komt er een compacte redactiegroep die zes achterlopende ontwerpen afrondt voordat ze teruggaan naar de werkgroepen voor commentaar.

Belangrijke mijlpaal

In dezelfde aankondiging wordt genoemd dat prEN 18286 Quality Management Systems richting Enquiry gaat, als belangrijk onderdeel van het latere conformiteitsbeoordelingsstelsel. Deze kwaliteitssysteemnorm vormt de brug tussen juridische vereisten en technische implementatie.

Doel is om de sleutelstandaarden in het vierde kwartaal van 2026 beschikbaar te hebben. Dit staat niet op zichzelf. In september 2025 circuleerde binnen de Raad van de EU een overzicht met de tijdlijn, waarin staat dat na een nieuwe standaardisatie-opdracht in het tweede kwartaal van 2025 de oplevering van de eerste set normen is geprojecteerd voor het derde of vierde kwartaal van 2026.

Voor organisaties is dit belangrijk om twee redenen. Ten eerste geeft de AI Act een juridische veronderstelling van conformiteit wanneer je voldoet aan geharmoniseerde normen die in het Publicatieblad zijn opgenomen. Dit betekent dat je kunt aantonen dat je aan de wettelijke eisen voldoet door te verwijzen naar deze normen. Ten tweede sturen de aanstaande Europese normen expliciet op bescherming van gezondheid, veiligheid en grondrechten, en vragen zij om aantoonbare menselijk toezicht en toetsbare uitkomsten, niet alleen om nette procedures op papier.

De bouwstenen van het nieuwe normstelsel

De Europese normalisatieorganisaties bouwen aan een set die één op één aanhaakt op de wettelijke vereisten. Het trustworthiness raamwerk vormt een overkoepelend kader voor betrouwbare AI-systemen dat de basis legt voor alle andere normen. Voor AI-risicobeheer komen er specifieke methoden voor het identificeren, evalueren en mitigeren van AI-specifieke risico's. Het kwaliteitssysteem prEN 18286 voor AI Act-doeleinden borgt governance en processen. Daarnaast verschijnen technische specificaties voor datasets, bias, cybersecurity, computer vision en andere technische aspecten.

Belangrijk om te begrijpen is de rol van prEN 18286 als kwaliteitssysteemnorm die de brug slaat tussen juridisch en technisch. Waar een managementsysteem de governance en processen borgt, brengen aanvullende normen de technische diepte, zoals datakwaliteit, logging, robuustheid en reproduceerbaarheid van metingen.

De combinatie van een managementsysteem plus technische specificaties is precies wat in productregelgeving vaker werkt. De aankondiging van CEN en CENELEC onderstreept dit door prEN 18286 als vroege mijlpaal te benoemen.

Hoe dit zich verhoudt tot ISO/IEC 42001

ISO/IEC 42001 is de internationale standaard voor een AI Management System. Deze beschrijft hoe je beleid, rollen, processen en verbetercycli rondom AI inricht. Dat is waardevol, omdat veel AI Act-eisen niet alleen technisch zijn maar juist organisatorisch.

Belangrijke nuance: ISO 42001 is geen vervanger van Europese hEN's. Pas wanneer CEN en CENELEC een EN of geharmoniseerde versie publiceren en deze in het Publicatieblad wordt vermeld, ontstaat de EU-veronderstelling van conformiteit.

Wie ISO/IEC 42001 implementeert, zet een raamwerk neer waarbinnen dataset-governance, menselijke controle, modelonderhoud en leveranciersbeheer consistent landen. Het is vooral een verstandige voorinvestering waarmee je governance en werkafspraken volwassen maakt, die later naadloos kan aansluiten op de Europese geharmoniseerde normen.

Wat betekent de versnelde route in de praktijk

De Enquiry-fase blijft openbaar en vraagt om feedback via nationale normalisatie-instituten. Door de versnelde route sla je na een positieve Enquiry de extra formele stemming over, waardoor de tijd tussen publieke consultatie en publicatie korter wordt.

Balans tussen snelheid en kwaliteit

CEN en CENELEC benadrukken dat inclusiviteit en consensus leidend blijven. De versnelling betekent dus niet dat er wordt gehaast ten koste van kwaliteit, maar dat inefficiënte procedurestappen worden geëlimineerd.

Voor jou als provider, integrator of grote afnemer betekent dit dat de teksten sneller gaan bewegen. De praktische consequentie is dat je ontwikkel- en documentatiekeuzes idealiter al spiegelt aan de ontwerpteksten die in consultatie gaan. Zo voorkom je later kostbare correcties.

Tussen wet en standaard: presumption of conformity

De AI Act werkt net als andere productkaders. Zodra een geharmoniseerde norm is aangewezen, geldt de veronderstelling dat je aan de betreffende wettelijke eisen voldoet, voor zover de norm dat dekt.

Het Joint Research Centre (JRC) licht dit helder toe, inclusief het accent dat Europese normen zwaarder leunen op de bescherming van grondrechten dan veel internationale documenten. Bij datagovernance-eisen gaat het niet alleen om technische datakwaliteit, maar ook om representativiteit en bias-mitigatie. Toetsbare menselijke controle vraagt om concrete eisen voor human oversight, niet alleen procedurele afspraken. Ook realistische tests zijn belangrijk, met name het belang van tests met natuurlijke personen wanneer dat nodig is.

Wie deze lijn begrijpt, zal in design reviews vroegtijdig aandacht vragen voor meetbare effectiviteit en niet uitsluitend voor procedurele volledigheid.

Tijdlijn en mijlpalen die je agenda bepalen

Belangrijke data voor 2025-2026

Q4 2025
Eerste tranche normen naar publieke consultatie (Enquiry)
Q3/Q4 2026
Oplevering eerste set geharmoniseerde normen
2026
Toepassing hoogrisico-eisen AI Act wordt van kracht

De versnelling bij CEN en CENELEC is dus niet los verkrijgbaar, maar onderdeel van een bredere planning waar de Europese Commissie, het AI Office en de normalisatiecommissies samen op sturen. Voor teams op de werkvloer betekent dit dat 2025 en 2026 jaren zijn van concreet maken, toetsen, aanpassen en documenteren.

Wat je nu al kunt doen zonder op het Publicatieblad te wachten

Werk met een dubbele kaart

Leg je huidige of geplande AI-systemen langs de AI Act en langs een managementsysteem op basis van ISO/IEC 42001. Gebruik 42001 om rollen, escalaties, training, leveranciers en verbetercycli te structureren. Koppel dat direct aan de wettelijke thema's zoals datagovernance en datakwaliteit, menselijke controle en human oversight, nauwkeurigheid en robuustheid, cybersecurity en logging, en transparantie en documentatie. Daarmee bouw je een ruggegraat die straks eenvoudig aan Europese normen is te koppelen.

Maak technische documentatie klikbaar en controleerbaar

De AI Act vraagt om reproduceerbare onderbouwing. Richt je repositories en documentatie zó in dat risicoanalyses gedocumenteerd zijn per use case en modelversie. Zorg dat testsets en resultaten representatief zijn met testuitkomsten en validatieverslagen. Maak beslisbomen helder waarin je laat zien hoe beslissingen tot stand komen. En documenteer je human-in-the-loop procedures voor menselijke tussenkomst en fallback. Denk aan een audit trail waarin je per modelversie ziet welke requirements zijn afgedekt, welke aannames gelden en hoe fallback en human-in-the-loop zijn ingericht.

Zet een meetraam voor performance en risico neer

Definieer per use case wat een fout is, hoe je fouten vindt en hoe je vastlegt wat je hebt verbeterd. Maak die meetset representatief voor de context van gebruik.

Belangrijke aandacht: Het Raadsoverzicht onderstreept dat er aparte normen komen voor datasets en bias. Als je die lijn nu al volgt, voorkom je later herwerk. Neem de verplichting om diepgaand naar bias en datakwaliteit te kijken serieus en plan tests die aansluiten op de doelgroep.

Bouw je post-market surveillance vooruit

Veel teams focussen op pre-market. De AI Act en de aanstaande normen vragen juist ook aandacht voor monitoring na ingebruikname, waarbij je continue observeert hoe het systeem presteert in productie. Definieer heldere criteria voor wat een incident is en wanneer escalatie nodig is. Zorg voor duidelijke rolverdeling tussen engineering, operations, legal en communicatie. En implementeer een proces voor snelle respons en systeemverbetering bij problemen.

Haak aan op de Enquiry

De consultaties lopen via nationale instituten. Zorg dat je vakmensen meelezen en praktijkfeedback leveren.

Waarom participeren belangrijk is

Juist casuïstiek uit jouw sector helpt om normen uitvoerbaar te maken, wat later bij audits tijd en discussie scheelt. Door nu input te leveren, beïnvloed je de uiteindelijke vorm van de normen en voorkom je onwerkbare eisen.

Illustratief scenario: AI in klantcontact

Stel je ontwikkelt een AI-module die klantvragen classificeert en doorstuurt. Juridisch klinkt dat niet per se als hoogrisico, maar dezelfde module kan ook claims of verzoeken met rechtsgevolgen beïnvloeden. In de praktijk begin je met het expliciet maken waarvoor de module wel en niet wordt gebruikt. Documenteer use cases, randvoorwaarden en exclusions helder.

Daarna beschrijf je de herkomst, kwaliteit en representativiteit van je trainingsdata in een datagovernanceplan. Leg vast hoe je drift detecteert en wat je doet bij afwijkingen. Vervolgens leg je menselijke controle vast in duidelijke beslisregels, inclusief stoppunten voor medewerkers en een fallbackproces wanneer het systeem onzeker is.

Meetbare doelen zijn cruciaal: Definieer meetbare doelen voor nauwkeurigheid en robuustheid, test die met realistische data en registreer wat je doet als de prestaties onder een drempel zakken. Richt monitoring in met incidentcategorieën, meldroutes en herstelacties. Zorg voor duidelijke escalatiepaden.

Wanneer straks de Europese normen voor datakwaliteit, risicobeheer en conformiteit verschijnen, sluit dit ontwerp naadloos aan en hoef je vooral te mappen in plaats van te hertekenen.

Veelgemaakte misverstanden weggenomen

Misverstand 1: "We wachten tot er geharmoniseerde normen zijn"

Realiteit: De richting is helder en de ontwerpteksten die naar Enquiry gaan, geven al voldoende houvast om je aanpak uit te lijnen. De versnelling bij CEN en CENELEC verkort de tijd tussen consultatie en publicatie. Wie nu aanhaakt, voorkomt later brandjes. De praktijk leert dat organisaties die vroeg beginnen met implementatie beter voorbereid zijn en minder stress ervaren wanneer normen definitief worden.

Misverstand 2: "ISO 42001 is genoeg"

Juiste perspectief

ISO 42001 als fundament: ISO 42001 maakt je governance volwassen, maar geeft op zichzelf geen Europese veronderstelling van conformiteit. Daarvoor heb je hEN's nodig die in het Publicatieblad zijn aangewezen. Zie ISO 42001 als een stevig skelet waar Europese normen straks de spieren en zenuwen aan geven. Het is een uitstekende basis, maar niet het eindpunt.

Misverstand 3: "Dit is alleen een IT-feestje"

Realiteit: De AI Act raakt juridische teams, compliance, inkoop, security, data science, operations en het management. De Raadspresentatie wijst expliciet op brede participatie en inclusiviteit in de normontwikkeling. Richt je eigen governance ook zo in, met gedeelde verantwoordelijkheid tussen verschillende afdelingen, periodieke kalibratie tussen technische en niet-technische stakeholders, en multidisciplinaire teams die juridische, ethische en technische perspectieven combineren.

Wat je in de komende maanden plant

Plan reviewblokken langs de Enquiry-kalender om ontwerpteksten te volgen. Maak een mapping tussen je huidige controls en de thema's uit Europese documenten. Reserveer tijd voor het aanscherpen van datakwaliteit, testmethoden en incidentprocessen. Borg dit in je AI Management System en koppel het aan releaseprocessen en leveranciersbeheer. Zo benut je de versnelling van het Europese normalisatieproces maximaal, zonder dat je kwaliteit of draagvlak opoffert.

Samengevat: van abstract naar concreet

Europa zet door op standaarden die de AI Act uitvoerbaar maken. Met de gekozen versnelling bij CEN en CENELEC, de aangekondigde kwaliteitssysteemnorm en de duidelijke tijdlijn uit Brussel is het speelveld niet langer mistig.

Strategische aanpak: Gebruik ISO/IEC 42001 om je huis op orde te krijgen. Haak aan op de publieke consultaties. Richt je documentatie, metingen en monitoring nu al in zoals je die straks toch moet bijhouden. Dan is de stap naar een Europees verifieerbare onderbouwing straks geen sprong maar een logische volgende stap.

Voor ontwikkelaars, inkopers, juristen en auditors betekent dit dat compliance steeds minder abstract wordt. De komende maanden zijn cruciaal om je voor te bereiden. Begin vandaag met het opzetten van je governance-structuur en technische documentatie, zodat je klaar bent wanneer de normen definitief worden gepubliceerd.

Bronnen en verdere verdieping