Acht van Zevenentwintig
Acht. Dat is het aantal EU-lidstaten dat een centraal contactpunt heeft aangewezen voor de handhaving van de AI-verordening. Van zevenentwintig. De deadline daarvoor was 2 augustus 2025. Zeven maanden geleden.
Geen boetes. Geen inbreukprocedures. Geen publieke verklaringen van bezorgdheid van de Commissie. Negentien lidstaten hebben een wettelijk bindende deadline zeven maanden overschreden en er is niets gebeurd. De verordening die boetes tot 7% van de wereldwijde omzet zal opleggen aan bedrijven die niet voldoen, heeft geen gevolgen gehad voor de regeringen die het handhavingsapparaat niet hebben opgebouwd.
Dit is geen disfunctie. Dit is hoe EU-regulering zich daadwerkelijk uitrolt over zevenentwintig soevereine implementaties. En als je een bedrijf runt dat grensoverschrijdend opereert in de EU, is het begrijpen van dit patroon belangrijker dan het begrijpen van welk artikel van de AI-verordening dan ook.
De Deadline Die Niemand Haalde
Artikel 70 van de EU AI-verordening vereiste dat elke lidstaat nationale bevoegde autoriteiten aanwees — minimaal een aanmeldende autoriteit en een markttoezichtautoriteit — en deze aanwijzingen voor 2 augustus 2025 aan de Commissie meldde. Hetzelfde artikel vereiste dat lidstaten een centraal contactpunt aanwezen: een autoriteit die dient als coordinatiehub voor alle AI-verordening-handhaving binnen dat land.
Het centraal contactpunt is geen bureaucratische formaliteit. Het is het adres waar klachten binnenkomen, waar grensoverschrijdende handhaving wordt gecoordineerd, waar het Europees AI-comite communiceert met nationale autoriteiten. Zonder dit is de handhavingsketen op nationaal niveau verbroken. Een verordening zonder handhaver is een suggestie.
Per maart 2026, volgens de briefing van de Onderzoeksdienst van het Europees Parlement gepubliceerd op 18 maart 2026, hebben acht lidstaten hun centraal contactpunt aangewezen. De briefing is specifiek. Het getal is acht. De noemer is zevenentwintig. De kloof is negentien.
De Acht
De acht lidstaten die handhavingsautoriteiten hebben aangewezen delen een patroon. Ze zijn niet de rijkste. Ze zijn niet de grootste. Het zijn degenen die vroeg een institutioneel besluit namen en het uitvoerden.
Finland ging als eerste. Op 22 december 2025 keurde de President van de Republiek de wetswijzigingen goed die tien bestaande markttoezichtautoriteiten hun AI-verordening-mandaten gaven. Traficom — het Finse Agentschap voor Transport en Communicatie — werd het centraal contactpunt. De handhavingsbevoegdheden werden op 1 januari 2026 geactiveerd. Finland heeft geen nieuw AI-agentschap opgericht. Het activeerde bestaande toezichthouders met nieuwe mandaten. Lichte operaties. Geen nieuwe bureaucratie. De Finse aanpak is een model van wat Artikel 70 bedoelde: gebruik de institutionele infrastructuur die je al hebt.
Duitsland wees de Bundesnetzagentur — het Federaal Netwerkagentschap — aan als centraal contactpunt. Het Duitse model is noodzakelijkerwijs complex: een federaal systeem met sectorspecifieke markttoezichtautoriteiten in zestien Lander. De Bundesnetzagentur richtte ook een coordinatiecentrum (KoKIVO) op ter ondersteuning van andere bevoegde autoriteiten. Het systeem is zwaar. Maar het bestaat. Het is aangewezen, gemeld en operationeel.
Spanje was vroeg. Het Spaanse Agentschap voor Toezicht op Kunstmatige Intelligentie (AESIA) werd opgericht bij Koninklijk Besluit 729/2023 — voordat de AI-verordening in het Publicatieblad was verschenen. AESIA is operationeel sinds juni 2024. De Spaanse regelgevende sandbox, beheerd door AESIA, heeft twee cycli afgerond en twaalf AI-projecten geselecteerd voor de derde. Spanje bouwde de handhavingsinfrastructuur voordat de verordening het vereiste.
Denemarken nam zijn nationale implementatiewet aan in mei 2025 en wees zijn autoriteiten aan voor de augustusdeadline. De Deense aanpak weerspiegelt het Finse pragmatisme: bestaande regelgevende instanties, nieuwe mandaten, minimale nieuwe infrastructuur.
Italie wees meerdere markttoezichtautoriteiten aan met sectorspecifieke bevoegdheden. Het Italiaanse model verdeelt de handhaving over bestaande sectorale toezichthouders — een patroon dat de bestaande regelgevende architectuur van Italie weerspiegelt in plaats van parallelle AI-specifieke infrastructuur op te bouwen.
De overige drie van de acht hebben hun centrale contactpunten aangewezen via uiteenlopende institutionele arrangementen. De rode draad is niet het gekozen model. Het is dat er een model is gekozen, wettelijk vastgelegd en aan de Commissie gemeld binnen het wettelijke tijdsbestek — of dicht erbij.
De Negentien
De negentien die geen handhavingsautoriteiten hebben aangewezen zijn geen homogene groep. Sommige hebben lopende wetsvoorstellen. Sommige hebben autoriteiten informeel geidentificeerd maar de formele aanwijzing niet voltooid. Sommige zijn niet begonnen.
De briefing van het Europees Parlement onderscheidt drie categorieen onder de achterblijvende lidstaten: die met ontwerp-wetgeving in parlementaire behandeling, die met geidentificeerde maar niet formeel aangewezen autoriteiten, en die zonder zichtbare voortgang. De verdeling is grofweg gelijkmatig over de drie categorieen.
De redenen voor vertraging zijn structureel, niet toevallig. Verschillende patronen keren terug.
Institutionele territoriumgevechten. In meerdere lidstaten stagneerde het aanwijzingsproces doordat bestaande toezichthouders — gegevensbeschermingsautoriteiten, telecommunicatietoezichthouders, consumentenbeschermingsagentschappen, sectorale toezichthouders — streden om het AI-verordening-mandaat. Het toepassingsgebied van de AI-verordening kruist elk bestaand regelgevend domein. Beslissen welke autoriteit de AI-verordening-handhaving “krijgt” is een politiek besluit vermomd als administratief besluit. In landen met sterke institutionele grenzen kost dat besluit tijd. In sommige is het niet genomen.
Wetgevende knelpunten. Sommige lidstaten vereisen primaire wetgeving om nieuwe bevoegde autoriteiten aan te wijzen of bestaande mandaten uit te breiden. Parlementaire agenda’s, coalitieonderhandelingen en wetgevende prioriteiten hebben de implementatie van de AI-verordening naar achteren geschoven. De verordening is rechtstreeks toepasselijk — ze vereist geen nationale omzetting — maar de aanwijzing van handhavingsautoriteiten vereist wel nationale wetgevende actie. Het onderscheid doet ertoe.
Toewijzing van middelen. Een handhavingsautoriteit aanwijzen zonder deze te financieren is erger dan er geen aan te wijzen. Meerdere lidstaten hebben de aanwijzing uitgesteld terwijl ze budgetten, personeelsbezetting en technische capaciteiten bepaalden. Artikel 70(8) vereist dat lidstaten ervoor zorgen dat bevoegde autoriteiten beschikken over “adequate financiele en menselijke middelen” alsook technische expertise. Een aanwijzing zonder middelen is een aanwijzing op papier — en de Commissie heeft gesignaleerd dat ze de adequaatheid van middelen zal beoordelen, niet alleen de aanwijzingsstatus.
Politieke deprioritisering. In sommige lidstaten is de implementatie van de AI-verordening simpelweg geen politieke prioriteit. Energiebeleid, migratie, begrotingsconsolidatie, verkiezingen — de concurrentie om politieke aandacht is hevig. Een verordening die pas in augustus 2026 volledig van kracht wordt, is makkelijk uit te stellen als de politieke agenda vol is. De berekening verandert wanneer de handhaving begint. Tegen die tijd kan de implementatiekloof structureel zijn.
Wat de Kloof Betekent voor Bedrijven
Voor een mkb-bedrijf dat grensoverschrijdend opereert in de EU, creert de handhavingsgereedheidskloof een specifieke set condities die operationeel begrepen moeten worden, niet abstract.
De handhaving zal ongelijkmatig zijn. Wanneer de hoog-risico-bepalingen van de AI-verordening van kracht worden op 2 augustus 2026 — of december 2027 als de Digitale Omnibus wordt aangenomen — zullen bedrijven die in Finland opereren te maken krijgen met een handhaver die al maanden of jaren operationeel is. Bedrijven die opereren in een lidstaat die geen autoriteit heeft aangewezen, zullen een regelgevend vacuum tegenkomen. Hetzelfde AI-systeem, op dezelfde manier ingezet, zal in twee verschillende handhavingsrealiteiten bestaan afhankelijk van de lidstaat.
Dit is niet hypothetisch. Het is de geleefde werkelijkheid van elke EU-verordening. De AVG trad in werking op 25 mei 2018. In 2020 varieerde de handhaving met een factor vijftig tussen de meest en minst actieve gegevensbeschermingsautoriteiten. De Ierse DPC verwerkte Facebook-klachten vier jaar lang voordat het zijn eerste significante boete uitvaardigde. De Franse CNIL beboette Google met 50 miljoen euro binnen zeven maanden. De verordening was identiek. De handhaving niet.
De AI-verordening zal hetzelfde patroon volgen. De verordening is uniform. De handhaving zal gefragmenteerd zijn. De fragmentatie volgt, grofweg, dezelfde lijnen: Scandinavische en West-Europese autoriteiten zullen eerder en harder handhaven. Zuid- en Oost-Europese autoriteiten zullen langer nodig hebben om handhavingscapaciteit op te bouwen. Het patroon is geen verrassing. Het is een structureel kenmerk van hoe zevenentwintig soevereine rechtssystemen een enkel regelgevend kader implementeren.
Regelgevende arbitrage is een val. De verleiding is om te optimaliseren voor de zwakste handhaver: je AI-systeem inzetten vanuit een lidstaat die geen autoriteit heeft aangewezen, opereren op markten waar de handhaving traag is, en de gereedheidskloof behandelen als een compliance-vakantie.
Dit is de verkeerde conclusie om drie redenen.
Ten eerste het Brussel-effect. De EU AI-verordening is van toepassing op elk AI-systeem dat op de EU-markt wordt gebracht of waarvan de output in de EU wordt gebruikt — ongeacht waar de aanbieder gevestigd is. Een bedrijf dat opereert vanuit een niet-handhavende lidstaat blijft blootgesteld aan handhaving van elke lidstaat waar zijn systeem wordt gebruikt. De markttoezichtautoriteit in Finland kan een AI-systeem onderzoeken dat is ingezet door een bedrijf gevestigd in een lidstaat zonder handhaver als dat systeem Finse gebruikers raakt.
Ten tweede haalt handhaving in. De handhavingskloof van de AVG is gedicht. Niet gelijkmatig, niet snel, maar gedicht. De lidstaten die jaren nodig hadden om handhavingscapaciteit op te bouwen, hebben die uiteindelijk opgebouwd. De boetes, toen ze kwamen, hadden retroactief effect: overtredingen die plaatsvonden tijdens de periode van lage handhaving werden onderzocht en bestraft nadat de capaciteit was opgebouwd. De compliance-vakantie heeft een vervaldatum. Je weet alleen niet wanneer.
Ten derde de reputatiedimensie. Voor een mkb-bedrijf dat zakelijke klanten in heel Europa bedient, zal de vraag “voldoe je aan de AI-verordening?” van klanten komen voordat het van toezichthouders komt. Een Duitse fabrikant die AI-leveranciers evalueert, zal de compliance-houding als inkoopcriterium beoordelen. De handhavingskloof in de thuislidstaat van de leverancier is irrelevant voor het due diligence-proces van de klant. De klant geeft om de verordening, niet om de handhavingsgeografie.
De Digitale Omnibus-Complicatie
De handhavingsgereedheidskloof heeft politieke druk gecreeerd om de compliance-deadline uit te stellen. Op 19 november 2025 publiceerde de Europese Commissie de Digitale Omnibus — een wetgevingsvoorstel dat onder andere de toepassingsdatum voor hoog-risico AI-systeemvereisten zou uitstellen.
Het voorstel is snel gegaan. Op 13 maart 2026 nam de Raad zijn standpunt in: vaste toepassingsdata van 2 december 2027 voor zelfstandige hoog-risico AI-systemen en 2 augustus 2028 voor in producten geintegreerde hoog-risico AI-systemen. Op 18 maart 2026 namen de IMCO- en LIBE-commissies van het Europees Parlement hun gezamenlijk verslag aan — 101 stemmen voor, 9 tegen, 8 onthoudingen — met dezelfde datum van december 2027 voor Bijlage III hoog-risicosystemen en augustus 2028 voor Bijlage I-systemen.
De standpunten van Parlement en Raad zijn afgestemd op de kernvraag: uitstel. Triloogonderhandelingen volgen. Als de Digitale Omnibus wordt aangenomen, verschuift de deadline van 2 augustus 2026 voor de hoog-risico-bepalingen naar december 2027.
Maar — en dit is het cruciale punt dat de meeste commentatoren missen — de Digitale Omnibus is niet aangenomen. Op de datum van vandaag, 17 maart 2026, blijft 2 augustus 2026 de wettelijke deadline. De bepalingen over verboden praktijken gelden sinds 2 februari 2025. De AI-geletterdheidsverplichting onder Artikel 4 geldt sinds 2 februari 2025. De GPAI-modelbepalingen gelden sinds 2 augustus 2025. En de verplichting om nationale bevoegde autoriteiten aan te wijzen — de verplichting waaraan slechts acht lidstaten hebben voldaan — geldt sinds 2 augustus 2025.
Plannen voor het uitstel is rationeel. Rekenen op het uitstel is roekeloos. De Digitale Omnibus moet de triloog doorlopen, in het Publicatieblad worden gepubliceerd en in werking treden. Tot dat gebeurt, is 2 augustus 2026 de wet. Een bedrijf dat compliance-voorbereiding uitstelt omdat het uitstel “waarschijnlijk” zal worden aangenomen, plaatst een weddenschap. De kansen kunnen het uitstel bevoordelen. Maar het nadeel van ongelijk hebben is operationeel: de haast om te voldoen aan een deadline waarvan iedereen aannam dat die zou verschuiven maar dat niet deed.
De Sandbox-Kloof
Artikel 57 van de AI-verordening vereiste dat elke lidstaat ten minste een regelgevende AI-sandbox instelde, operationeel voor 2 augustus 2026. De sandbox-vereiste volgt de handhavingsautoriteitenkloof: de landen die vroeg autoriteiten aanwezen zijn dezelfde landen met operationele of bijna operationele sandboxes. De landen zonder handhavingsautoriteiten hebben over het algemeen ook geen sandboxes.
De Spaanse sandbox draait sinds 2022. De Finse regelgevende ondersteuningsinfrastructuur is operationeel. De Duitse Bundesnetzagentur lanceerde zijn AI Service Desk. Nederland heeft een sandbox-voorstel in coordinatie tussen de Autoriteit Consument en Markt en de Autoriteit Persoonsgegevens.
Voor de rest is de sandbox-deadline 2 augustus 2026 — dezelfde dag dat de bepalingen waar ze bedrijven op moeten voorbereiden van kracht worden. Een sandbox die opent op de dag van handhaving is een sandbox die te laat arriveert om zijn doel te dienen. De regelgevende sandbox was ontworpen als pre-handhavingsmechanisme: een plek waar bedrijven AI-systemen ontwikkelen onder regelgevend toezicht voordat de volledige compliance-vereisten gelden. De sandbox openen op de handhavingsdag is als het trainingscomplex bouwen op wedstrijddag.
De sandbox-kloof verergert de handhavingskloof. Lidstaten zonder handhavingsautoriteiten missen ook de institutionele infrastructuur om sandboxes te bedienen. De bevoegde autoriteit die de sandbox beheert is dezelfde bevoegde autoriteit die de verordening handhaaft. Als de autoriteit niet bestaat, bestaat de sandbox ook niet.
Voor een mkb-bedrijf in een lidstaat zonder handhavingsautoriteit en zonder sandbox is de praktische realiteit: je bereidt je voor op een verordening zonder enige institutionele ondersteuning van je nationale overheid. Geen begeleiding van een nationale bevoegde autoriteit. Geen sandbox om je compliance-architectuur te testen. Geen centraal contactpunt om vragen te beantwoorden. Je bent alleen met de tekst van de verordening en welke commerciele adviesdiensten je je kunt veroorloven.
Dit is niet aanvaardbaar. Maar het is de werkelijke stand van zaken. Het artikel verandert niet omdat de implementatie laat is. De compliance-vereiste wordt niet zachter omdat de overheid haar eigen deadline miste.
Wat een Bedrijf Moet Doen
De handhavingsgereedheidskloof verandert niet de compliance-vereiste. Het verandert de compliance-strategie.
Bouwen voor de strengste handhaver. Als je op Europese markten opereert, moet je compliance-architectuur voldoen aan de standaard van de meest capabele, meest actieve handhavingsautoriteit. Vandaag betekent dat Finland, Spanje en Duitsland. Een systeem dat in Finland compliant is, is overal compliant. Een systeem dat alleen compliant is in een lidstaat zonder handhaver is een systeem dat zal falen bij zijn eerste grensoverschrijdende regelgevende ontmoeting.
Niet wachten op je nationale autoriteit. Als je lidstaat geen handhavingsautoriteit heeft aangewezen, wacht niet. De verordening geldt ongeacht. De technische vereisten — risicomanagement onder Artikel 9, datagovernance onder Artikel 10, technische documentatie onder Artikel 11, logging onder Artikel 12, menselijk toezicht onder Artikel 14 — zijn gedefinieerd in de verordening zelf. Ze zijn niet afhankelijk van nationale begeleiding. Nationale begeleiding helpt. Het is geen voorwaarde.
Beschikbare sandboxes grensoverschrijdend gebruiken. Artikel 57 staat lidstaten toe gezamenlijk sandboxes in te stellen. Meerdere sandbox-programma’s accepteren aanvragen van bedrijven gevestigd in andere lidstaten. De AESIA-sandbox van Spanje heeft met name aanvragen verwerkt van niet-Spaanse EU-bedrijven. Als je lidstaat geen sandbox biedt, solliciteer bij een die dat wel doet. De compliance-documentatie geproduceerd in een Spaanse sandbox heeft waarde tegenover een Duitse toezichthouder.
De Digitale Omnibus monitoren. Het triloogproces zal bepalen of 2 augustus 2026 of 2 december 2027 de operatieve datum is voor de hoog-risico-bepalingen. Volg de wetgevende voortgang. Bereid je voor op augustus. Pas aan als december wordt bevestigd. Neem niets aan.
Je compliance-inspanning nu documenteren. Ongeacht de handhavingsdatum heeft de daad van voorbereiding — risicobeoordelingen uitvoeren, datagovernance documenteren, technische documentatie opbouwen — waarde zelfs als de deadline verschuift. De documentatie zelf is een asset. Het toont compliance-inspanning te goeder trouw. In een handhavingslandschap waar toezichthouders beperkte middelen hebben en onderzoeken moeten prioriteren, is een bedrijf met gedocumenteerde compliance-architectuur een lagere handhavingsprioriteit dan een bedrijf zonder iets.
Het Patroon
De EU AI-verordening zal dezelfde implementatieboog volgen als elke grote EU-verordening voor haar. De verordening wordt gepubliceerd. De deadline verstrijkt. Sommige lidstaten zijn klaar. De meeste niet. De handhaving begint ongelijkmatig. De kloof sluit zich over twee tot vijf jaar. De bedrijven die zich voorbereidden op de verordening zoals geschreven — niet op de verordening zoals gehandhaafd — zijn compliant wanneer de handhaving arriveert. De bedrijven die optimaliseerden voor de kloof zijn blootgesteld wanneer die zich sluit.
De AVG volgde deze boog. De Richtlijn Betalingsdiensten volgde deze boog. De Verordening Medische Hulpmiddelen volgde deze boog. Elke keer verraste het patroon bedrijven die aannamen dat de implementatiekloof een permanent kenmerk was in plaats van een tijdelijk.
Acht van zevenentwintig. Het getal is een momentopname van een regelgevend systeem midden in zijn uitrol. Het systeem is niet kapot. Het is traag, ongelijkmatig en voorspelbaar. De verordening zal gehandhaafd worden. De enige vraag is wanneer — en of jouw bedrijf klaar zal zijn voordat de handhaver dat is.
De countdown stopte niet omdat negentien regeringen laat waren. Dat doet hij nooit.