De structuur van de AI Act in 2026

De AI Act is de eerste uitgebreide horizontale regulering van kunstmatige intelligentie ter wereld. De risicogelaagde architectuur is de sleutel om te begrijpen welke verplichtingen van toepassing zijn op welke systemen.

De risicocategorieën

De verordening sorteert AI-systemen in vier categorieën op basis van het risico dat ze vormen:

• Verboden systemen — praktijken die ronduit verboden zijn, waaronder manipulatieve subliminale technieken, uitbuiting van kwetsbaarheden, sociale scoring door overheidsinstanties, en bepaalde vormen van biometrische categorisering en emotieherkenning
• Systemen met een hoog risico — systemen die worden gebruikt in gespecificeerde context met hoge inzet, onderworpen aan het grootste deel van de inhoudelijke verplichtingen van de verordening, waaronder risicobeheer, gegevensbeheer, transparantie, menselijk toezicht en nauwkeurigheidsvereisten
• Systemen met beperkt risico — systemen met specifieke transparantieverplichtingen, waaronder de meeste door AI aangedreven contentaanbevelingssystemen en chatbots die rechtstreeks met gebruikers interacteren
• Systemen met minimaal risico — al het andere, alleen onderworpen aan algemene vrijwillige gedragscodes

Waar reclame en aanbevelingssystemen zich bevinden

De meeste advertentiegerichte AI — doelgroepscoring, programmatische biedingsoptimalisatie, contentaanbevelingssystemen, personalisatie-engines — bevindt zich in de categorie met beperkt risico in plaats van de categorie met hoog risico. Dit klinkt als een opluchting, maar de categorie met beperkt risico brengt nog steeds betekenisvolle transparantieverplichtingen met zich mee, en verschillende randgevallen drijven specifieke systemen naar hogere categorieën. Cruciaal is dat de regels over verboden praktijken advertentiesystemen kunnen bereiken als ze het gebied van manipulatie of uitbuiting binnentreden, en de EDPB heeft de bereidheid aangegeven om deze bepalingen ruim te interpreteren.

De fasering

De kalender van 2026 is belangrijk: de verplichtingen voor nieuwe systemen met een hoog risico worden in augustus 2026 van kracht, de verplichtingen voor hoogrisicosystemen die al op de markt zijn, worden in 2027 van kracht, en de verplichtingen voor aanbieders van AI voor algemene doeleinden zijn al van kracht. Uitgevers en adverteerders zouden hun AI-inventaris tegen deze kalender moeten uitzetten om te weten welke verplichtingen wanneer van toepassing zijn.

Hoe de AI Act bovenop de GDPR wordt gestapeld

De AI Act vervangt de GDPR niet. Hij komt erbovenop. Een systeem dat persoonsgegevens verwerkt om door AI aangedreven output te produceren, moet aan beide regimes voldoen, en de verplichtingen zijn additief in plaats van alternatief.

De GDPR-laag

De GDPR blijft de rechtmatigheid van de verwerking van persoonsgegevens reguleren. Toestemming voor advertentieprofilering, rechtsgrondslag voor meting, het cluster van rechten van betrokkenen, de verplichtingen voor grensoverschrijdende doorgifte — dit alles blijft ongewijzigd van toepassing.

De AI Act-laag

Bovenop de GDPR voegt de AI Act verplichtingen toe die specifiek betrekking hebben op het AI-systeem zelf: hoe het werd getraind, welke gegevens in de training zijn gegaan, hoe de output wordt gedocumenteerd, welke toezichtsmechanismen bestaan, welke transparantie de gebruiker ontvangt. Deze verplichtingen hechten zich aan het AI-systeem, ongeacht of de onderliggende gegevensverwerking gebaseerd is op toestemming, contract of een andere rechtsgrondslag.

De praktische implicatie

Een uitgever die een contentaanbevelingssysteem op persoonsgegevens draait, heeft zowel een geldige GDPR-rechtsgrondslag voor de gegevensverwerking nodig als een conforme transparantieverklaring onder de AI Act. Geen van beide alleen volstaat. Het compliance-oppervlak is nu werkelijk tweedimensionaal, en de documentatieketen moet beide assen dekken.

Verboden praktijken en reclame

De lijst met verboden praktijken van de verordening is kort maar veelomvattend, en verschillende vermeldingen hebben implicaties voor advertentieontwerp.

Manipulatieve technieken

De verordening verbiedt AI-systemen die subliminale technieken, manipulatieve praktijken inzetten of kwetsbaarheden van specifieke groepen uitbuiten op manieren die waarschijnlijk aanzienlijke schade veroorzaken. Het meeste advertentieontwerp nadert deze grens niet — maar reclame die met behulp van AI-gedreven profilering gericht is op geïdentificeerde kwetsbaarheden (financiële nood, psychische gezondheidstoestanden, verslavingspatronen) zou deze kunnen overschrijden. De EDPB heeft dit aangegeven in vroege richtsnoeren.

Biometrische categorisering

De verordening verbiedt biometrische categorisering die gevoelige kenmerken afleidt zoals ras, politieke opvatting, vakbondslidmaatschap, religieuze overtuiging, seksueel leven of seksuele geaardheid. Doelgroepsegmenten opgebouwd uit biometrische gegevens die deze kenmerken afleiden, bevinden zich nu in verboden gebied.

Emotieherkenning in specifieke contexten

Emotieherkenning is verboden in werkplek- en onderwijscontexten. Use cases voor emotieherkenning in reclame buiten deze contexten kunnen nog steeds toelaatbaar zijn, maar worden onder verhoogde toetsing geplaatst.

Transparantieverplichtingen voor beperkt risico

Hier ligt het grootste deel van het compliance-werk van uitgevers en adverteerders onder de AI Act in 2026.

De verklaring voor aanbevelingssystemen

Contentaanbevelingssystemen die personaliseren wat gebruikers zien — of dat nu op de homepage van een uitgever is, in een in-app feed of in een programmatische advertentieplaatsing — vallen onder de categorie met beperkt risico. Gebruikers moeten worden geïnformeerd dat ze interacteren met een AI-systeem, en het systeem moet zo zijn ontworpen dat de AI-aard van de interactie duidelijk is.

De chatbotverklaring

Elk AI-systeem dat in gespreksvorm rechtstreeks met gebruikers interacteert, moet zijn AI-aard bekendmaken. Uitgevers en adverteerders die AI-chatinterfaces exploiteren — voor klantenondersteuning, contentontdekking of welk ander doel dan ook — moeten aan deze basislijn voldoen.

De verklaring voor synthetische content

Door AI gegenereerde afbeeldingen, audio, video en tekstcontent moeten als zodanig worden gemarkeerd. Uitgevers die door AI gegenereerde visuele elementen of tekst gebruiken in redactionele content, reclamecreativiteit of productbeelden moeten de markeringsverplichtingen toepassen. De implementatierichtsnoeren voor 2026 hebben de technische specificaties voor markering verduidelijkt, waaronder watermerkstandaarden voor visuele content.

Het gecombineerde toestemmingsoppervlak in 2026

De CMP en de privacyverklaring moeten nu werk verrichten voor beide regimes. De uitgever-CMP van 2026 ziet er aanzienlijk uitgebreider uit dan zijn voorganger uit 2024.

Granulaire toestemmingsdoeleinden

De CMP toont toestemmingsdoeleinden die onderscheid maken tussen algemene reclame, profilering voor reclame, geautomatiseerde besluitvorming en personalisatie via aanbevelingssystemen. Elk wordt toegewezen aan een specifieke grens van de AI Act en de GDPR, en elk vereist zijn eigen bevestigende toestemming.

AI-systeemverklaringen

De privacyverklaring of een begeleidend AI-openbaarmakingsdocument beschrijft de gebruikte AI-systemen, hun doeleinden, de categorieën invoergegevens, de brede logica van de output en de aanwezige mechanismen voor menselijk toezicht. Dit is meer dan de GDPR Artikel 22-verklaring over geautomatiseerde besluitvorming — het is een vollediger AI-transparantieverhaal.

Het recht van bezwaar

Het GDPR-recht om bezwaar te maken tegen profilering blijft van toepassing, en de AI Act voegt verdere gebruikersrechten toe rond AI-gedreven personalisatie door aanbevelingssystemen. Gebruikers kunnen zich afmelden voor personalisatie door aanbevelingssystemen zonder de toegang tot de onderliggende dienst te verliezen, en de afmelding moet minstens zo eenvoudig zijn als de aanmelding.

Operationele patronen die werken in 2026

Uitgevers en adverteerders die volwassen programma's voor 2026 draaien, convergeren naar enkele operationele patronen.

De AI-inventaris

Houd een live inventaris bij van elk AI-systeem dat in gebruik is in de stack van de uitgever of adverteerder: het systeem, de risicocategorie onder de verordening, de persoonsgegevens die het verwerkt, de rechtsgrondslag onder de GDPR, de transparantieverklaringen die erop zijn toegepast en het menselijk toezicht dat aanwezig is. Dit is het fundamentele compliance-artefact en is wat toezichthouders als eerste zullen willen zien.

De gecombineerde privacyverklaring

Eén gecombineerde privacy- en AI-transparantieverklaring — Portugees, Duits, Frans, of welke taal ook passend is voor het publiek — die zowel de GDPR- als de AI Act-verplichtingen in een coherent verhaal behandelt. Proberen twee afzonderlijke verklaringen te onderhouden nodigt uit tot tegenstrijdigheden en verwarring bij de lezer.

De AI-leveranciersaudit

Voor elke reclame- of analyseleverancier die namens de uitgever door AI aangedreven output verwerkt, moet het contract de toewijzing van verplichtingen onder de AI Act, toegang tot technische documentatie en incidentmeldingen behandelen. Standaard verwerkersovereenkomsten uit 2023 gaan niet in op de AI Act en moeten worden ververst.

Boetes en handhavingshouding

De AI Act introduceert een gelaagd boeteregime met administratieve boetes die de maxima van de GDPR kunnen overschrijden.

De boetecategorieën

• Tot EUR 35 miljoen of 7 procent van de wereldwijde jaaromzet voor schendingen van verboden praktijken
• Tot EUR 15 miljoen of 3 procent voor de meeste andere inhoudelijke schendingen
• Tot EUR 7,5 miljoen of 1 procent voor het verstrekken van onjuiste informatie

De handhavingsarchitectuur

Elke lidstaat wijst nationale bevoegde autoriteiten aan voor de handhaving van de AI Act, en het Europese AI-bureau coördineert het toezicht op AI-modellen voor algemene doeleinden. Handhaving tegen uitgevers en adverteerders zal voornamelijk via de nationale autoriteiten verlopen, vaak in nauwe coördinatie met de bestaande gegevensbeschermingsautoriteiten. De eerste significante handhavingsacties onder de AI Act worden verwacht in de loop van 2026, naarmate de verplichtingen voor hoog risico volledig van kracht worden.

Auditchecklist voor AI-gedreven reclame in 2026

• Live inventaris van elk AI-systeem in de stack met risicocategorie-classificatie
• GDPR-rechtsgrondslag gedocumenteerd voor elk AI-systeem dat persoonsgegevens verwerkt
• AI Act-transparantieverklaringen toegepast op elk systeem met beperkt risico, inclusief personalisatie door aanbevelingssystemen en chatbots
• Markering van synthetische content toegepast op door AI gegenereerde creatie, afbeeldingen, audio en video
• Gecombineerde privacy- en AI-transparantieverklaring in de relevante lokale taal
• CMP toont profilering, geautomatiseerde besluitvorming en personalisatie door aanbevelingssystemen als afzonderlijk toestembare doeleinden
• Doelgroepsegmenten worden beoordeeld aan de hand van de lijst van verboden biometrische categorisering
• Leverancierscontracten bijgewerkt om de toewijzing van verplichtingen onder de AI Act te behandelen
• Mechanismen voor menselijk toezicht gedocumenteerd voor elk systeem dat de grens van hoog risico nadert
• Workflow voor rechten van betrokkenen en gebruikersrechten onder de AI Act kan reageren op afmeldings-, uitleg- en menselijke-beoordelingsverzoeken binnen de toepasselijke reactietermijnen

Het vooruitzicht voor 2026

De AI Act vervangt de GDPR niet — hij stapelt zich erbovenop, en het gecombineerde oppervlak is betekenisvol uitgebreider dan elk regime afzonderlijk. Voor uitgevers en adverteerders die AI-gedreven personalisatie, profilering, aanbevelingssystemen of generatieve content exploiteren, is 2026 het jaar waarin de compliance-architectuur moet rijpen voorbij een zuivere GDPR-houding. Degenen die de AI Act als een toekomstige zorg behandelen, zullen ontdekken dat de toekomst sneller komt dan verwacht, met nationale autoriteiten die hun eerste handhavingsacties uitvoeren in de loop van 2026 en in 2027. Degenen die vanaf het begin gecombineerde compliance opbouwen, zullen ontdekken dat de architectuur zich terugbetaalt: de transparantieverplichtingen van de AI Act, goed geïmplementeerd, versterken ook het verhaal van GDPR-toestemming en vertrouwen, en de operationele discipline van het bijhouden van een live AI-inventaris blijkt nuttig te zijn ruim voorbij de wettelijke naleving.