Je hebt een chatbot op je klantenservice. Of je gebruikt een HR-tool die cv’s automatisch screent. Misschien zelfs software die kredietrisico’s inschat of gepersonaliseerde aanbevelingen doet aan klanten. Vanaf 2025–2026 vallen deze systemen mogelijk onder de EU AI Act en de boetes beginnen bij €7,5 miljoen of 1,5% van je jaaromzet. EU AI Act compliance voor MKB is geen ver-van-mijn-bed-show meer.
Dit is geen alarmisme. Het is timing.
De wet is aangenomen, de implementatie loopt, en veel MKB-ondernemers lopen achter omdat ze denken: “dit geldt toch alleen voor Google en Meta.” Dat klopt niet. En in dit artikel leg ik je precies uit wat wél en niet voor jou geldt met concrete deadlines, een helder stappenplan, en de valkuilen die je collega-ondernemer al bijna in trapt. Je bent nog niet te laat. Maar je moet nu beginnen.
Wat is de EU AI Act eigenlijk? (De 3-minuten-versie)
Laat me het kort houden, want juridische documenten zijn er al genoeg.
De kern in één zin
De EU AI Act is de eerste AI-wet ter wereld die AI-systemen indeelt op risico en verplichtingen oplegt aan zowel de ontwikkelaars als de gebruikers van die systemen.
Waarom dit geen GDPR 2.0 is maar wel vergelijkbaar
Als je GDPR hebt overleefd (en wie niet?), herken je de structuur wel. Risicodenken, documentatieplicht, en flinke sancties als het misgaat. Maar er is een cruciaal verschil:
- GDPR gaat over hoe je met persoonsdata omgaat
- AI Act gaat over hoe AI-systemen beslissingen nemen
Je kunt perfect GDPR-compliant zijn en toch de mist ingaan met de AI Act. Denk aan een privacyvriendelijk CV-screeningsalgoritme dat onbewust discrimineert op woonplaats of geslacht. GDPR-proof, AI Act-probleem.
En dan nog iets wat veel ondernemers missen: ook als je geen AI ontwikkelt maar wél gebruikt, kun je verplichtingen hebben. Gebruik je de AI-module van Personio of HireVue? Dan ben jij als “deployer” mede verantwoordelijk voor compliance.
De tijdlijn die je moet onthouden
| Datum | Wat gaat er in |
|---|---|
| Augustus 2024 | Verboden AI-praktijken direct van kracht |
| Mid 2025 | Governance-structuren + hoog-risico regels |
| Augustus 2026 | Volledige naleving verplicht (handhaving start) |
| Augustus 2027 | CE-markering verplicht voor bepaalde systemen |
Conclusie voor jou: Augustus 2026 is de deadline. Dat klinkt ver, maar compliance opbouwen duurt 6 tot 12 maanden. Dus: nu beginnen.
Het risicomodel: Waar valt jouw AI onder?
Dit is het gedeelte waar het voor de meeste MKB’ers concreet wordt. De EU AI Act werkt met vier risicocategorieën. Ik loop ze door met herkenbare voorbeelden.
Onacceptabel risico: verboden per augustus 2024
Dit zijn systemen die de EU simpelweg verbiedt:
- Social scoring systemen (à la China)
- Real-time biometrische surveillance in openbare ruimtes (met beperkte uitzonderingen)
- Manipulatieve AI die gebruikers onderbewust beïnvloedt (dark patterns op steroïden)
Check voor MKB: Gebruik je dit? Stop onmiddellijk. De kans dat een doorsnee MKB-bedrijf hierop zit is klein, maar check het wel.
Uw AI-voorsprong begint met één gesprek
Wacht niet tot de concurrentie uw marktpositie overneemt met slimmere automatisering. Onze n8n-experts staan klaar om uw operationele kosten te halveren en uw schaalbaarheid te vergroten met een veilige, op maat gemaakte AI agent. Claim vandaag nog uw plek in de nieuwe digitale economie.
Hoog risico: strenge regels, veel werk
Hier zit de meeste pijn voor MKB. Hoog-risico AI omvat onder andere:
- HR en recruitment: CV-screening, sollicitatieranking, prestatiebeoordelingen
- Kredietbeoordeling: Automatische lening-approvals, risicoprofilering van klanten
- Toegangscontrole: Wie krijgt toegang tot je diensten of producten (denk: verzekeringen, leases)
- Klantinteractie met beslissingsbevoegdheid: Chatbots die juridisch bindende beslissingen nemen
Praktijkvoorbeeld: Een retailbedrijf met 83 medewerkers gebruikt een AI-tool voor personeelsplanning die automatisch shiftrooster maakt op basis van beschikbaarheid en prestatiescores. Dit systeem raakt werknemersrechten direct en valt daarmee waarschijnlijk onder hoog-risico AI. De ondernemer dacht dat het “gewoon een planningsapp” was.
De nuance die MKB bijna altijd mist: Als je een externe tool van een leverancier gebruikt die hoog-risico AI bevat, ben jij als deployer alsnog verantwoordelijk voor compliance-documentatie. Je kunt dit niet volledig bij je SaaS-leverancier neerleggen.
Beperkt risico: transparantieplicht
- Chatbots zonder beslissingsbevoegdheid
- AI-gegenereerde tekst of beelden
- Deepfake technologie
Regel: Je moet duidelijk maken dat de gebruiker met een AI praat. Dat is het. Eén disclaimer, een footer op je chatwidget. Relatief eenvoudig te regelen.
Minimaal risico: geen verplichtingen
- Spamfilters
- AI-aangedreven games
- Interne productiviteitstools zonder impact op rechten van derden
Zelfcheck: Welke AI gebruik jij?
Doorloop deze vragen eerlijk:
✓ Gebruik je AI voor personeelsselectie of -beoordeling?
✓ Gebruik je AI voor automatische kredietbesluiten?
✓ Bepaalt AI wie toegang krijgt tot jouw diensten?
✓ Gebruik je AI voor gezondheids- of veiligheidsmonitoring?
→ Ja op één of meer? Je hebt waarschijnlijk hoog-risico AI in gebruik.
✓ Gebruik je chatbots die klantvragen beantwoorden zonder beslissingsbevoegdheid?
→ Minimaal transparantieplicht van toepassing.
✓ Gebruik je AI alleen intern voor tekstverwerking, design of planning zonder impact op derden?
→ Waarschijnlijk minimaal of geen verplichtingen.
De praktische verplichtingen: Wat moet je concreet regelen?
Goed, je weet nu in welke categorie je valt. Nu het echte werk.
Als je hoog-risico AI gebruikt
Dit is waar veruit de meeste tijdsinvestering zit. Ik zet de stappen op een rij.
Stap 1: Risicobeoordelingsrapport opstellen
Voordat je een hoog-risico AI-systeem implementeert (of nu, als je er al een gebruikt), moet je documenteren welke grondrechten en veiligheidsrisico’s het systeem raakt.
Denk aan: een fintech die geautomatiseerde kredietscoring toepast, moet aantonen hoe het algoritme discriminatie voorkomt op basis van postcode, geslacht of etniciteit. Dat is niet optioneel dat is de wet.
Dit rapport moet je ook jaarlijks reviewen, niet één keer opstellen en dan vergeten.
Stap 2: Menselijk toezicht verplicht (“human oversight”)
De AI Act eist dat een mens altijd het finale besluit kan nemen of in ieder geval kan ingrijpen. “Fully automated loan rejection” is een directe rode vlag.
Praktisch voor MKB: je AI-systeem mag adviseren, aanbevelen, filteren. Maar de definitieve beslissing moet door een mens bekrachtigd worden. Zorg dat je dit ook procedureel vastlegt.
Stap 3: Technische documentatie en logboeken bijhouden
Dit is de boekhoudplicht voor AI. Je moet bewaren:
- Welke trainingsdata gebruikt is
- Hoe het model getraind is
- Uitkomsten van bias-testing
- Wijzigingslogboeken bij updates
Bewaartermijn: minimaal 10 jaar na deactivering van het systeem. Ja, 10 jaar.
Voor wie bewaar je dit? Primair voor de Autoriteit Persoonsgegevens (AP) en de RDI (Rijksdienst voor Digitale Infrastructuur), die in Nederland de toekomstige AI-toezichthouder wordt.
Uw AI-voorsprong begint met één gesprek
Wacht niet tot de concurrentie uw marktpositie overneemt met slimmere automatisering. Onze n8n-experts staan klaar om uw operationele kosten te halveren en uw schaalbaarheid te vergroten met een veilige, op maat gemaakte AI agent. Claim vandaag nog uw plek in de nieuwe digitale economie.
Stap 4: CE-markering (relevant vanaf 2027, maar nu al voorbereiden)
Als je externe AI-tools gebruikt: vraag je leverancier nú al om hun CE-certificaat-planning. Neem dit op in je vendor contracts. Als je zelf AI ontwikkelt, is conformiteitsbeoordeling verplicht.
Stap 5: Incidentenregister bijhouden
Stel dat je AI-systeem een verkeerde beslissing neemt die iemands rechten schaadt een afgewezen sollicitant op basis van bias, een foutieve kredietweigering. Dat telt als incident.
Bij ernstige incidenten geldt een meldplicht binnen 72 uur aan de toezichthouder. Net als bij datalekken onder GDPR.
Als je beperkt-risico AI gebruikt (bijv. chatbot)
Relatief simpel, maar verplicht:
- Vermeld duidelijk: “Je spreekt met een AI-assistent”
- Bij AI-gegenereerde content (tekst, beeld): benoem dat het AI is
- Praktisch: footer op je chatwidget, disclaimer bij AI-gegenereerde emails
Dit is letterlijk één dag werk. Doe het nu.
Als je SaaS met AI doorverkoopt aan klanten
Dan ben jij de “provider” in de ogen van de wet en de volledige conformiteitsplicht ligt bij jou. Extra verplichtingen: post-market monitoring, continue kwaliteitsbewaking van je systeem. Check ook je contractuele aansprakelijkheid als je white-label AI gebruikt.
De grootste valkuilen die MKB over het hoofd ziet
Ik zie dezelfde fouten steeds terugkomen. Hier zijn de vijf die ik het vaakst tegenkom.
Valkuil 1: “Wij gebruiken geen AI”
Bijna zeker onjuist. Microsoft 365 Copilot is AI. Geautomatiseerde CRM-scoring in HubSpot is AI. Salaristools met predictive scheduling zijn AI. Als het “smart,” “intelligent” of “automated” heet, check dan of het onder de AI Act valt. Maak een inventory van alle tools die geautomatiseerde beslissingen nemen.
Valkuil 2: “De leverancier regelt dit wel”
Nee. Jij bent deployer. De leverancier levert het systeem, maar de verantwoordelijkheid voor correct gebruik en compliance-documentatie ligt bij jou. Sluit een “AI Use Agreement” af met je leveranciers vergelijkbaar met een Data Processing Agreement onder GDPR. Vraag expliciet: wat is jullie AI Act compliance status? Wanneer is CE-markering gereed? Welke documentatie delen jullie met deployers?
Uw AI-voorsprong begint met één gesprek
Wacht niet tot de concurrentie uw marktpositie overneemt met slimmere automatisering. Onze n8n-experts staan klaar om uw operationele kosten te halveren en uw schaalbaarheid te vergroten met een veilige, op maat gemaakte AI agent. Claim vandaag nog uw plek in de nieuwe digitale economie.
Valkuil 3: GDPR compliance = AI Act compliance
Absoluut niet. GDPR kijkt naar hoe je data opslaat en verwerkt. AI Act kijkt naar hoe algoritmen beslissingen nemen. Een privacyvriendelijk CV-screeningsalgoritme dat onbewust discrimineert op basis van woonplaats GDPR-proof, AI Act-probleem. Ze overlappen, maar zijn niet hetzelfde.
Valkuil 4: Wachten tot augustus 2026
De handhaving start dan, maar compliance opbouwen duurt 6 tot 12 maanden. Als je in Q2 2026 begint, ben je te laat. Start uiterlijk nu – mei 2026 – met in ieder geval een AI-inventory.
Valkuil 5: Boetes onderschatten
Niet alleen overheidsboetes (tot €35 miljoen of 7% van wereldwijde omzet bij ernstige overtredingen). Ook civiele aansprakelijkheid: medewerkers en klanten kunnen schadeclaims indienen als een AI-beslissing hun rechten heeft geschonden. Dat risico is voor veel MKB’ers groter dan de boete van de toezichthouder.
Jouw stappenplan: Wat doe je deze maand, dit kwartaal, dit jaar
Laten we het concreet maken.
Deze maand (mei–juni 2026: je bent laat, maar nog niet te laat)
Week 1–2: AI Inventory
Maak een spreadsheet met alle systemen die geautomatiseerde beslissingen nemen. Kolommen: Systeemnaam | Leverancier | Functie | Risico-inschatting | Interne eigenaar.
Ga door je tool-stack heen: CRM, HR-software, klantenservice, financiële tools, planningssoftware. Alles dat “slim” is.
Week 3–4: Leveranciers contacteren
Stuur een email naar je SaaS-leveranciers met de volgende vragen:
- Valt jullie systeem onder hoog-risico AI per de EU AI Act?
- Wanneer is CE-markering gereed?
- Welke documentatie delen jullie met ons als deployer?
Als ze geen antwoord hebben, is dat op zichzelf al een risicosignaal.
Dit kwartaal (Q2–Q3 2026)
Maand 1: Gap analysis
Voor elk hoog-risico systeem: wat ontbreekt er aan compliance? Is er een risicobeoordeling gedaan? Is er menselijk toezicht geborgd? Worden logboeken bijgehouden?
Maand 2: Quick wins implementeren
- Chatbot transparantie disclaimer (één dag werk)
- Menselijke override-procedures documenteren
- Incident register opzetten (kan in een simpele spreadsheet of tool zoals Notion)
Maand 3: Prioriteren hoog-risico systemen
Gebruik een beslismatrix: impact × complexiteit. Begin met “hoge impact, lage complexiteit.” Dat zijn de systemen die het meeste risico vormen en het snelst te fixen zijn.
Dit jaar volledig
Q3 2026:
- Externe audit overwegen, zeker bij meer dan 50 medewerkers of in een gereguleerde sector (zorg, financiën)
- Intern bepalen: wie is eigenaar van AI-compliance? Dat kan een operations manager zijn, een compliance officer, of een aangewezen medewerker
- Kosten externe compliance check: reken op €2.500 tot €15.000 afhankelijk van complexiteit en aantal systemen
Q4 2026:
- Volledige documentatieset afgerond
- Vendor agreements geüpdatet
- Testrun van de incident response procedure gedaan
Doe-het-zelf of hulp inschakelen? En wat kost dat?
Drie scenario’s, drie adviezen.
Scenario A: Zelf doen Voor kleine bedrijven met minder dan drie hoog-risico systemen en minder dan 50 medewerkers. Je hebt nodig: 20 tot 40 uur interne tijd van een operations manager of compliance-verantwoordelijke, gratis EU-templates via het European AI Office, en €500 tot €2.000 voor een legal review van je vendor contracts.
Geschikt als je alleen gangbare tools gebruikt (Microsoft, Salesforce, Hubspot) die zelf ook compliance aan het opbouwen zijn, geen zelf-ontwikkelde AI hebt, en comfortabel bent met documentatiewerk.
Scenario B: Hybride aanpak Voor bedrijven met drie tot tien systemen, of in een gereguleerde sector (zorg, financiën). Aanpak: zelf inventory en gap analysis doen, externe partij inhuren voor risicobeoordeling en audit-voorbereiding. Kosten: €5.000 tot €20.000. Partners: gespecialiseerde legal tech firms of Big Four advisory.
Scenario C: Full-service Voor bedrijven met meer dan tien systemen, eigen AI-ontwikkeling, of meer dan 250 medewerkers en voor elk bedrijf dat zichzelf als AI-provider positioneert. Scope: end-to-end compliance programma met doorlopende monitoring. Kosten: €25.000 tot meer dan €100.000 per jaar. Dit is de categorie waar je ook verplicht een conformiteitsbeoordeling nodig hebt.
De vuistregel: als je zelf AI ontwikkelt voor anderen, is external support geen luxe maar noodzaak | AI Agent Laten Maken Neem Contact Op
Resources en hulpmiddelen
Je hoeft het wiel niet zelf uit te vinden. Gebruik deze bronnen:
Officiële bronnen:
- EU AI Act volledige tekst: EUR-Lex (zoek op “Regulation 2024/1689”)
- Nederlandse implementatie: Ministerie van EZK, Rijksdienst voor Digitale Infrastructuur (RDI)
- Templates risicobeoordeling: European AI Office compliance toolkit (beschikbaar via ai.ec.europa.eu)
Nederlandse toezichthouders:
- Autoriteit Persoonsgegevens (AP): voor GDPR-overlap vragen
- RDI: toekomstige primaire AI-toezichthouder volg hun updates actief
Praktische tools voor MKB:
- AI Inventory template (spreadsheet maak er zelf één of gebruik het EU-template)
- Vendor compliance vragenlijst (vraag je leverancier dit te invullen)
- Chatbot transparantie disclaimer-voorbeelden (eenvoudig te vinden via European AI Office)
Verder lezen:
- “EU AI Act voor Nederlandse ondernemers” via VNO-NCW
- MKB AI Compliance checklist via de Kamer van Koophandel
Uw AI-voorsprong begint met één gesprek
Wacht niet tot de concurrentie uw marktpositie overneemt met slimmere automatisering. Onze n8n-experts staan klaar om uw operationele kosten te halveren en uw schaalbaarheid te vergroten met een veilige, op maat gemaakte AI agent. Claim vandaag nog uw plek in de nieuwe digitale economie.
Samenvatting: De 5 dingen die je moet onthouden
De EU AI Act is complex, maar voor MKB komt het neer op vijf punten:
- Handhaving start augustus 2026: dit is geen toekomstmuziek meer
- Ook als gebruiker, niet alleen ontwikkelaar, heb je verplichtingen: deployers zijn verantwoordelijk
- Hoog-risico AI (HR, credit, toegangscontrole) vraagt de meeste aandacht: hier zitten de zwaarste eisen
- Start nú met een AI-inventory: compliance opbouwen duurt 6 tot 12 maanden
- Je leverancier is niet jouw compliance-paraplu: sluit expliciete AI Use Agreements af
Jouw directe acties:
✓ Maak deze week een overzicht van alle AI-tools die je gebruikt
✓ Identificeer welke systemen mogelijk hoog-risico zijn
✓ Stuur leveranciers een compliance-vragenlijst
✓ Plan een gap analysis voor Q3 2026
Je hoeft geen AI-expert te worden. Je moet alleen weten welke vragen je moet stellen en die heb je nu.
Veelgestelde vragen over EU AI Act Compliance voor MKB
Geldt de EU AI Act voor elk bedrijf dat AI gebruikt?
Ja, ook als je AI alleen als gebruiker (deployer) inzet en niet zelf ontwikkelt. De wet maakt onderscheid tussen providers (ontwikkelaars) en deployers (gebruikers), maar beide hebben verplichtingen afhankelijk van het risiconiveau van het systeem.
Wat is de deadline voor EU AI Act compliance?
Augustus 2026 is de datum waarop volledige naleving verplicht is en handhaving start. Sommige verboden (onacceptabel risico) zijn al van kracht sinds augustus 2024.
Hoe weet ik of mijn AI-systeem hoog-risico is?
Als het systeem betrokken is bij HR-beslissingen, kredietbeoordeling, toegangscontrole tot diensten, of gezondheids- en veiligheidsmonitoring, is de kans groot dat het hoog-risico valt. Check altijd de officiële lijst in Bijlage III van de AI Act.
Is mijn SaaS-leverancier verantwoordelijk voor compliance, of ik?
Beiden. De leverancier (provider) is verantwoordelijk voor het systeem zelf en CE-markering. Jij als deployer bent verantwoordelijk voor hoe je het systeem inzet, en voor het bijhouden van de vereiste documentatie en menselijk toezicht.
Wat zijn de boetes voor niet-naleving van de AI Act?
Afhankelijk van de overtreding: €7,5 miljoen of 1,5% van wereldwijde omzet voor lichtere overtredingen, oplopend tot €35 miljoen of 7% van omzet voor de zwaarste overtredingen (gebruik van verboden AI). Daarnaast ook civiele aansprakelijkheid.
Geldt de AI Act ook voor Belgische bedrijven?
Ja. De EU AI Act geldt voor alle bedrijven die AI-systemen aanbieden of gebruiken binnen de EU, ongeacht of het bedrijf in Nederland, België of buiten de EU gevestigd is zolang de impact van het systeem binnen de EU valt.
Mijn bedrijf heeft maar 12 medewerkers. Moet ik dit echt serieus nemen?
Ja, al verschilt de impact. Kleine bedrijven die geen hoog-risico AI gebruiken, hebben relatief weinig verplichtingen. Maar als je ook maar één hoog-risico systeem gebruikt – zoals een AI-gedreven HR-tool of kredietmodule – gelden de strenge regels volledig, ongeacht je bedrijfsgrootte.
Is GDPR-compliance voldoende om ook AI Act-compliant te zijn?
Nee. GDPR en de AI Act overlappen op sommige punten (zoals transparantie en documentatie), maar zijn fundamenteel anders. GDPR gaat over dataverwerking; de AI Act gaat over besluitvormingslogica. Je kunt het één hebben zonder het ander.
Wat is een “deployer” onder de EU AI Act?
Een deployer is elke natuurlijke of rechtspersoon die een AI-systeem inzet in een professionele context dus ook bedrijven die kant-en-klare AI-tools van een leverancier gebruiken. Je hoeft geen eigen AI te bouwen om deployer te zijn.
Hoe lang moet ik technische documentatie van AI-systemen bewaren?
Minimaal 10 jaar na het deactiveren van het systeem. Dit geldt voor hoog-risico AI en omvat trainingsdata-documentatie, bias-testresultaten, en wijzigingslogboeken.
Wat moet ik doen als mijn AI-systeem een ernstig incident veroorzaakt?
Je hebt een meldplicht bij de toezichthouder (in Nederland de RDI) binnen 72 uur na het ontdekken van een ernstig incident vergelijkbaar met de datalekprocedure onder GDPR. Stel nu al een intern incident register en response procedure in.
Kan ik als kleine ondernemer zelf compliant worden zonder externe hulp?
Ja, als je minder dan drie hoog-risico systemen gebruikt en geen zelf-ontwikkelde AI hebt. Reken op 20 tot 40 uur interne tijd en €500 tot €2.000 voor legal review. Gebruik gratis EU-templates als vertrekpunt.
Wat is het verschil tussen een AI-provider en een AI-deployer?
Een provider ontwikkelt en op de markt brengt het AI-systeem. Een deployer gebruikt het systeem in de eigen bedrijfsvoering. De meeste MKB-bedrijven zijn deployers. Bedrijven die zelf AI-software ontwikkelen en aan anderen verkopen, zijn providers met aanzienlijk zwaardere verplichtingen.
