EU AI Act: je chatbot moet vanaf 2 augustus 2026 een AI-melding tonen

Vanaf 2 augustus 2026 verplicht de EU AI Act dat bezoekers weten dat ze met een AI praten. Dit betekent artikel 50 voor mkb-sites, plus een praktische checklist om op tijd klaar te zijn.

Heb je een chatwidget, een AI-assistent of een bot op je website die met bezoekers praat? Dan heb je een deadline. Vanaf 2 augustus 2026 verplicht artikel 50 van de EU AI Act dat bezoekers duidelijk weten wanneer ze met een AI-systeem te maken hebben. Geen toestemming, geen popup. Gewoon een zichtbare melding op het moment dat het gesprek begint.

Klinkt klein, maar denk even mee hoeveel WordPress-sites de afgelopen twee jaar stilletjes een AI-chatwidget hebben aangezet. Tidio AI, Intercom Fin, de AI-assistent van HubSpot, Crisp met AI-replies, een ingebouwde ChatGPT-helper. Draait er een van die dingen op je site? Dan val je er bijna zeker onder.

TL;DR: Vanaf 2 augustus 2026 eist Verordening (EU) 2024/1689 dat AI-systemen die met mensen op je website praten duidelijk maken dat ze AI zijn. De verplichting ligt zowel bij de chatbot-leverancier als bij jou als gebruiker van het systeem. Boetes voor transparantieovertredingen zijn maximaal 15 miljoen euro of 3% van de wereldwijde jaaromzet, met evenredigheid voor mkb. Een cookiebanner dekt deze verplichting niet. De fix is meestal klein: een label in de chat-header en een duidelijke openingszin. AI-gegenereerde afbeeldingen op een gewone bedrijfssite vallen er meestal niet onder, behalve als het realistische deepfakes zijn.

Inhoudsopgave

Wat verandert er op 2 augustus 2026

De EU AI Act trad op 1 augustus 2024 in werking, maar de meeste verplichtingen zijn gefaseerd. De verboden praktijken gingen op 2 februari 2025 van kracht. Regels voor general-purpose AI-modellen volgden in augustus 2025. De algemene toepassingsdatum voor de rest van de wet, inclusief hoofdstuk IV over transparantie, is 2 augustus 2026. Dat is de datum waarop artikel 50 op jouw website van toepassing wordt.

Eén ding nog: de Commissie heeft in november 2025 een "Digital Omnibus on AI" gepubliceerd, en in april 2026 stemde het Europees Parlement in met uitstel van de verplichting voor machine-leesbare watermerking (artikel 50, lid 2) met drie maanden. De chatbot-melding van artikel 50, lid 1 valt niet onder dat uitstel. Plan je werk dus rond 2 augustus.

Wat artikel 50 precies eist

Artikel 50 bevat verschillende transparantieverplichtingen. De twee die voor een gewone mkb-website het meest spelen:

  • Artikel 50, lid 1: aanbieders van AI-systemen "die bedoeld zijn om rechtstreeks met natuurlijke personen te communiceren" moeten ervoor zorgen dat die personen weten dat ze met een AI praten. De uitzondering geldt als dit "duidelijk" is voor een redelijk oplettende gebruiker.
  • Artikel 50, lid 4: wie een AI-systeem inzet dat deepfakes maakt, moet duidelijk maken dat het beeld, de audio of de video kunstmatig is gegenereerd. Voor AI-gegenereerde tekst die "het publiek informeert over aangelegenheden van algemeen belang" geldt een vergelijkbare regel.

Artikel 50, lid 5 bepaalt het tijdstip: de informatie moet "uiterlijk op het moment van de eerste interactie of blootstelling" worden gegeven, op een "duidelijke en herkenbare manier". In de praktijk betekent dat: voordat de bezoeker zijn eerste vraag intypt, niet weggestopt in een privacyverklaring drie klikken verderop.

De aanbieder (de leverancier die de chatbot bouwt) draagt de ontwerpverplichting. Jij als gebruiker (deployer in de termen van de wet) hebt twee taken: de melding niet uitzetten en de bot niet zo configureren dat zijn AI-aard verborgen blijft.

Valt jouw chatbot onder de AI Act?

De wet hanteert een specifieke definitie van een "AI-systeem" in artikel 3, lid 1: een machinaal systeem dat "uit de input die het ontvangt afleidt hoe het outputs moet genereren". De Commissie publiceerde in juli 2025 richtsnoeren voor deze definitie en maakte de grens expliciet: regelgebaseerde systemen "op basis van regels die uitsluitend door natuurlijke personen zijn gedefinieerd om operaties automatisch uit te voeren" vallen erbuiten. Het vermogen om af te leiden is de doorslaggevende voorwaarde.

Voor een typische mkb-site komt het hier ongeveer op neer:

Type chat Onder de AI Act?
Pure beslisboom-FAQ ("Druk op 1 voor facturatie") Nee
LLM-aangedreven widget (Tidio AI, Intercom Fin, HubSpot AI) Ja
Crisp of Drift met AI-functies aan Ja
Ingebouwde ChatGPT of eigen OpenAI/Claude-widget Ja
Oudere NLP intent-classificatiebot Waarschijnlijk wel

Vermeldt je leverancier woorden als "AI", "GPT", "smart replies" of "intent detection"? Ga er dan vanuit dat het systeem onder de wet valt.

Reken niet op de uitzondering voor "duidelijke AI"

Artikel 50, lid 1 maakt een uitzondering wanneer het AI-karakter van het systeem "duidelijk is vanuit het oogpunt van een redelijk geïnformeerde, oplettende en omzichtige natuurlijke persoon". Aanlokkelijk om op te leunen, maar er is nog geen officiële uitleg van wat "duidelijk" precies is. Het AI Office heeft werkgroepen die uitleg aan het opstellen zijn, met publicatie verwacht in juni 2026. Dat is grofweg acht weken voordat de regel echt gaat tellen.

Tot die uitleg er ligt, is de veilige aanname: meld het toch maar. Een widget met de naam "AssistBot" zonder verdere AI-signalen is voor een normale gebruiker niet duidelijk een AI-systeem. Een zichtbaar label "AI-assistent" in de header van de chat, voordat de gebruiker iets typt, is de goedkoopste manier om aan de juiste kant van de regel te staan. Hoe de uitzondering uiteindelijk ook geïnterpreteerd wordt.

AI-gegenereerde afbeeldingen en de deepfake-regel

Artikel 50, lid 4 is de deepfake-bepaling. Het geldt voor wie systemen inzet die beeld, audio of video genereren of manipuleren "die een deepfake vormen". De trigger is realisme: de regel mikt op content die geloofwaardig kan worden aangezien voor een echte opname van echte mensen, plekken of gebeurtenissen.

Voor een gewone bedrijfssite die Midjourney- of DALL-E-illustraties bij blogposts plaatst, is dit minder spannend dan de koppen suggereren:

  • Een gestileerde AI-banner van een serverrack is geen deepfake. Geen zichtbaar label nodig onder artikel 50, lid 4.
  • Een AI-gegenereerde foto van een echte, herkenbare persoon die iets doet wat hij niet gedaan heeft, is wel een deepfake. Dat label je.
  • AI-geschreven redactionele content die "het publiek informeert over aangelegenheden van algemeen belang" moet worden gemeld, tenzij een mens het heeft beoordeeld en de redactionele verantwoordelijkheid draagt. Een blogpost over hosting die je met AI-hulp hebt opgesteld en zelf hebt geredigeerd is dus prima.

Overweging 134 van de verordening maakt bovendien een uitzondering voor duidelijk artistieke, satirische of fictieve werken, waar de melding discreter mag zijn.

De aparte verplichting voor machine-leesbare markering uit artikel 50, lid 2 (watermerken in metadata) ligt bij de leverancier van de tool, niet bij jou. OpenAI, Midjourney en Stability AI moeten die markers inbouwen.

En je cookiebanner dan?

Kort antwoord: die telt niet. Een cookiebanner bestaat om aan de AVG en de ePrivacy-richtlijn te voldoen, en die gaan over rechtmatige verwerking van persoonsgegevens. De AI Act-melding gaat over iets heel anders: de aard van het systeem waarmee je praat. En hij is gebaseerd op informatie geven, niet op toestemming vragen. De gebruiker kan er niet voor opteren of het weigeren.

Je hebt allebei nodig: een AVG-grondslag voor de gespreksdata die je chatbot verzamelt en een artikel 50-melding dat de gesprekspartner een AI is. Ze staan op verschillende plekken en beantwoorden verschillende vragen. Wil je de cookiebanner-kant nog eens nalopen? Mijn gids over cookie consent banners is een goed startpunt.

Boetes: niet het bedrag uit de krantenkoppen

Het veelgenoemde "35 miljoen euro of 7% van de wereldwijde omzet" haalt regelmatig de koppen, maar artikel 99 reserveert dat plafond uitsluitend voor de verboden AI-praktijken uit artikel 5. Overtredingen van artikel 50 zitten in een lagere categorie: maximaal 15 miljoen euro of 3% van de wereldwijde jaaromzet, afhankelijk van wat hoger is.

Voor mkb en startups schrijft artikel 99, lid 6 expliciet voor dat boetes evenredig moeten zijn. Het laagste van het percentage of het vaste bedrag geldt. Dat maakt de regel niet optioneel, maar de praktische blootstelling voor een bureau van vijf man is ook niet wat de krantenkop suggereert.

Handhaving in Nederland is een verhaal apart. De Autoriteit Persoonsgegevens en de RDI hebben gezamenlijk geadviseerd om het toezicht via een sector-plus-coördinatiemodel te organiseren met vijf Nederlandse autoriteiten, maar de definitieve aanwijzingswet wordt pas later in 2026 verwacht. Dat verandert niets aan de verplichting zelf. De wet geldt op 2 augustus, ook zonder formeel aangewezen toezichthouder.

Praktische compliance-checklist voor mkb

Heb je een WordPress- of marketingsite met een chatbot? Dan is dit de korte versie van wat je voor augustus geregeld wilt hebben.

  1. Bepaal of de bot een AI-systeem is. Check de productpagina van je leverancier. Staat er GPT, generatieve antwoorden, smart routing of intent detection? Ga uit van ja.
  2. Maak het AI-karakter zichtbaar bij het eerste contact. Zet de header van de chatwidget op "AI-assistent" of "Powered by AI". Voeg een eenregelige openingszin toe: "Hoi, ik ben een AI-assistent. Hoe kan ik je helpen?" Allebei is beter dan een van beide.
  3. Zet de standaardmelding van je leverancier niet uit. Heeft de SaaS-leverancier een toggle voor een AI-label? Laat hem aan staan. Het uitzetten van het ontwerp van de aanbieder is precies wat artikel 50 verbiedt.
  4. Loop je AI-gegenereerde afbeeldingen na. Gestileerde illustraties: geen label nodig. Realistische afbeeldingen van herkenbare mensen: zet er een zichtbare "AI-gegenereerd"-melding bij. Bij twijfel: labelen.
  5. Werk je privacyverklaring bij. Voeg een korte alinea toe waarin staat dat je site een AI-chatbot gebruikt, welke data hij verwerkt en op welke AVG-grondslag. Dit dekt de AVG-kant, los van de AI Act-melding.
  6. Houd de AI Office-richtsnoeren in juni 2026 in de gaten. De code of practice voor AI-gegenereerde content en de richtsnoeren bij artikel 50 worden allebei voor de augustusdeadline verwacht. Het wordt de eerste gezaghebbende uitleg van wat "duidelijk en herkenbaar" in de praktijk betekent.

Het is trouwens een goed moment om naar het bredere EU-compliance-plaatje te kijken. Heb je de European Accessibility Act-uitleg, het NIS2-artikel of het stuk over EU-datasoevereiniteit al doorgenomen? De AI Act past in dezelfde cluster. Een half uur over alle vier dekt het meeste waar een mkb-eigenaar in 2026 aan moet denken.

De kern

  • Artikel 50 van de EU AI Act geldt vanaf 2 augustus 2026. Heb je een AI-chatbot op je site? Dan val je eronder.
  • De melding moet duidelijk en zichtbaar zijn bij de eerste interactie. Een label in de chat-header en een eenregelige openingszin is meestal genoeg.
  • Beslisboombots zonder inferentie vallen erbuiten. Alles met een LLM of ML-laag valt erbinnen.
  • Reken niet op de "duidelijke AI"-uitzondering voordat het AI Office zijn uitleg in juni 2026 publiceert.
  • Een cookiebanner dekt de AI Act niet. Het is een aparte verplichting.
  • Boetes lopen tot 15 miljoen euro of 3% van de wereldwijde omzet, met evenredigheid voor mkb.

Fix of maatwerk nodig in WordPress?

Van foutoplossingen tot performance-verbeteringen: ik bouw precies wat nodig is—plugins, koppelingen of kleine aanpassingen zonder ballast.

Bekijk web development op maat

Gerelateerde artikelen

  1. European Accessibility Act: voldoet jouw website?

    De European Accessibility Act is van kracht sinds juni 2025. De ACM vond 61% van de grote Nederlandse webwinkels niet toegankelijk. Wat eist de wet, geldt het voor jou en hoe test je je site?

    1812 woorden
  2. Cookie consent banner: correct, gebruiksvriendelijk en AVG-proof

    Hoe maak je een cookie consent banner die voldoet aan de AVG en ePrivacy en toch gebruiksvriendelijk is? Lees tips over soorten cookies, wetgeving, juiste instellingen en veelgestelde vragen.

    7133 woorden
  3. Headless WordPress uitleg – wanneer wél rationeel en wanneer vooral onnodige complexiteit?

    Headless WordPress klinkt als de toekomst, maar wanneer is het echt rationeel? In dit artikel lees je wat headless precies is, wanneer het voordeel biedt en wanneer het vooral onnodige complexiteit toevoegt.

    5706 woorden