Slechts 7 procent van de Nederlandse ondernemers is goed op de hoogte van de EU AI Act, bleek uit recent KVK-onderzoek. Dat is een probleem, want vanaf augustus 2026 gelden de belangrijkste verplichtingen, en de boetes kunnen oplopen tot 35 miljoen euro of 7 procent van de wereldwijde jaaromzet. Voor een Nederlandse MKB-ondernemer is dat gewoon: einde bedrijf.

De goede kans: de meeste MKB-bedrijven hoeven geen dure compliance-afdeling op te tuigen. Je hebt een AI-beleid nodig, een lijstje met tools die je gebruikt, en een paar afspraken over hoe je medewerkers ermee omgaan. In dit artikel lees je precies wat de AI Act wél en níet van jou verwacht, wat er al verboden is, wat er in 2026 verandert, en waar je deze maand mee kunt beginnen.

In het kort

  • De AI Act is sinds augustus 2024 van kracht en treedt gefaseerd in werking tot augustus 2027.
  • Sinds 2 februari 2025: bepaalde AI-toepassingen zijn verboden én al jouw medewerkers moeten AI-geletterd zijn.
  • Vanaf 2 augustus 2026: algemene verplichtingen voor bedrijven die AI inkopen en gebruiken (dat is vrijwel elk MKB).
  • Als MKB-ondernemer ben je meestal gebruiksverantwoordelijke, geen ontwikkelaar, en gelden lichtere eisen.
  • Boetes tot 35 mln euro of 7% wereldwijde omzet. Begin deze maand met een inventarisatie en een AI-beleid.

Wat is de AI Act eigenlijk?

De AI Act, officieel de Europese AI-verordening, is de eerste wet ter wereld die specifiek het ontwikkelen, verkopen en gebruiken van AI-systemen reguleert. De wet is in augustus 2024 officieel aangenomen en wordt gefaseerd ingevoerd tussen 2025 en 2027.

Belangrijk: de AI Act geldt direct in Nederland. Er komt geen aparte Nederlandse variant. Wat Brussel opschrijft, geldt hier vanaf de genoemde datum. In Nederland houden de Autoriteit Persoonsgegevens en de Autoriteit Consument & Markt (ACM) toezicht op naleving.

De kern van de wet: AI-systemen worden ingedeeld in vier risicocategorieën, en hoe hoger het risico, hoe zwaarder de eisen. De meeste MKB-toepassingen, een AI-chatbot op je website, een tool die offertes opstelt, een AI die reviews samenvat, vallen in de categorie beperkt risico of zelfs laag risico. De zware verplichtingen (audits, technische dossiers, menselijke controlesystemen) gelden vooral voor hoog risico: AI in de zorg, bij werving, bij kredietverlening of in kritieke infrastructuur.

Voor de gemiddelde MKB'er die AI inzet voor marketing of klantcontact via een AI marketing bureau als STUDIOLEE, ligt de lat dus een stuk lager. Maar die lat is er wél.

De tijdlijn: wat geldt wanneer?

De AI Act wordt niet in één keer ingevoerd. Dit zijn de vier fases die voor jou als MKB-ondernemer relevant zijn:

Datum Wat gaat er in? Wie raakt het?
2 feb 2025Verbod op onacceptabele AI + AI-geletterdheidsplichtIedereen die AI inzet of medewerkers AI laat gebruiken
2 aug 2025Regels voor General-Purpose AI (GPAI) modellenLeveranciers van grote AI-modellen (OpenAI, Mistral, etc.)
2 aug 2026Verplichtingen voor hoog-risico AI + transparantieplichtBedrijven die AI ontwikkelen én gebruiken
2 aug 2027Volledige handhaving, ook bestaande hoog-risico systemenAlle bedrijven

De belangrijkste datum voor jou is eigenlijk 2 februari 2025, die is al verstreken. Dat betekent dat een aantal verplichtingen nu al geldt. Daarover zo meer.

AI Act checklist met pen en koffie op Nederlands houten bureau

Welke rol heeft jouw bedrijf? (en waarom dit alles bepaalt)

De AI Act maakt onderscheid tussen drie rollen. Welke rol jij speelt, bepaalt 90 procent van wat je moet doen:

  • Aanbieder (provider): je ontwikkelt zelf een AI-systeem en zet het op de markt. Zware verplichtingen, technische dossiers, CE-markering, conformiteitsbeoordelingen. Dit ben je alleen als je echt zelf een AI-product bouwt.
  • Gebruiksverantwoordelijke (deployer): je gebruikt AI-tools van een leverancier in je bedrijfsvoering. ChatGPT voor klantenservice-mails? AI-offertegenerator van een SaaS-aanbieder? Een chatbot op je website? Dan ben jij deployer. Dit is de rol van vrijwel elk MKB.
  • Distributeur of importeur: je verkoopt AI-systemen door zonder er zelf wezenlijk aan te sleutelen. Beperkte rol, meestal niet van toepassing op MKB.

Als gebruiksverantwoordelijke heb je het stukken makkelijker. Je hoeft geen technische audits te doen, geen modelcode aan te leveren, geen algoritmes te laten certificeren. Wat je wél moet doen: weten welke tools je gebruikt, of ze AVG-proof zijn, of de leverancier zelf aan de AI Act voldoet, en dat je medewerkers weten hoe ze met de tools moeten omgaan.

AI-geletterdheid: de verplichting die iedereen over het hoofd ziet

Artikel 4 van de AI Act verplicht elke organisatie die AI inzet om ervoor te zorgen dat medewerkers die ermee werken AI-geletterd zijn. Deze verplichting is al sinds 2 februari 2025 van kracht. Dat betekent: als jij vandaag een medewerker ChatGPT laat gebruiken zonder dat die medewerker basiskennis heeft over wat AI wel en niet kan, voldoe je al niet.

AI-geletterd zijn is geen examen of certificaat. Het betekent dat je medewerker begrijpt:

  • Wat de AI-tool doet en wat zijn beperkingen zijn (denk: hallucinaties, vooringenomenheid, verouderde data).
  • Welke gegevens je wel en niet in de tool mag invoeren (geen persoonsgegevens van klanten, geen bedrijfsgeheimen, geen medische data).
  • Dat een AI-antwoord altijd gecontroleerd moet worden voor het naar buiten gaat.
  • Hoe je signaleert wanneer AI fout zit.

In de praktijk: een korte interne training van 30-60 minuten, een kort AI-beleidsdocument met duidelijke afspraken, en een lijst met goedgekeurde tools. Klaar. Leg vast wie de training heeft gehad en wanneer. Dat is je bewijs.

De vier risiconiveaus, met concrete MKB-voorbeelden

Om te snappen welke eisen voor jouw AI-toepassing gelden, moet je weten in welke risicocategorie die valt:

  1. Onacceptabel risico (verboden sinds feb 2025): social scoring, emotieherkenning op de werkvloer, ongevraagde biometrische categorisatie, deepfakes zonder label. Als MKB'er kom je hier zelden mee in aanraking.
  2. Hoog risico: AI die solliciatiefiltering doet, AI in medische diagnose, kredietbeoordeling, examenbeoordeling, kritieke infrastructuur. Voor de meeste MKB'ers niet relevant, tenzij je een HR-tool gebruikt die automatisch CV's filtert. Dan vallen die tools in deze categorie, en moet je leverancier aantoonbaar voldoen.
  3. Beperkt risico (transparantieplicht): chatbots, AI-gegenereerde content, AI-stemassistenten. Hier val je onder als je een AI-chatbot op je website hebt of een AI-telefonist inzet. Eis: de klant moet weten dat hij met AI praat, niet met een mens.
  4. Minimaal risico: spamfilters, AI-recommendations, automatische vertalingen. Geen specifieke verplichtingen, gewoon gezond verstand.

De meeste marketing- en klantcontact-AI van een MKB-bedrijf valt in categorie 3: beperkt risico. Dat is prima werkbaar. Je voegt een regel toe aan je chatbot ("Je praat met een AI-assistent van [Bedrijf]"), labelt AI-gegenereerde content waar relevant, en daarmee is de transparantieplicht afgehandeld.

Wat moet je deze maand regelen? Een 4-stappen actieplan

Concreet: dit kun je in een middag organiseren als je het handig aanpakt.

  1. Inventariseer alle AI-tools die je gebruikt. ChatGPT, Copilot, Claude, een chatbot-leverancier, je e-mailautomatisering, je CRM-AI-functies, offertegenerators. Maak een lijstje met: tool, doel, welke data erin gaat, wie gebruikt het. Je zult verrast zijn hoeveel AI je eigenlijk al inzet.
  2. Check per tool of de leverancier AVG- en AI Act-conform is. Grote leveranciers (OpenAI, Microsoft, Google) publiceren compliance-documenten. Kleinere tools: vraag het expliciet op. Geen antwoord = rode vlag.
  3. Schrijf een AI-beleid van één pagina. Geen juridische tekst, gewoon afspraken: welke tools mogen medewerkers gebruiken, welke data mag erin, wie controleert AI-output, en wat niet mag (persoonsgegevens, klantinformatie, bedrijfsgeheimen in publieke tools). Neem het op in het personeelshandboek.
  4. Organiseer een korte AI-training. 45 minuten is genoeg. Leg uit wat hallucinaties zijn, welke afspraken er gelden, en waar men moet opletten. Documenteer wie erbij was. Dit is je bewijs voor de AI-geletterdheidsplicht.

Als je je AI-gebruik goed centraliseert in één omgeving, wordt dit een stuk makkelijker. Ons STUDIOLEE platform houdt automatisch bij welke AI-systemen voor jouw bedrijf worden ingezet, welke data ze verwerken en met welke leveranciers we werken. Dat hele compliance-overzicht krijg je dus kant-en-klaar.

Boetes en risico's: hoe erg is het echt?

De cijfers klinken dramatisch, 35 miljoen euro of 7 procent van de wereldwijde jaaromzet, maar de realiteit voor MKB is genuanceerder. De hoogste boetes gelden voor de zwaarste overtredingen: het inzetten van verboden AI-systemen, of het opzettelijk negeren van hoog-risico-eisen. Voor een MKB'er met een AI-chatbot is de praktische kans op een torenhoge boete klein.

Wat wél een reëel risico is:

  • Handhavingsacties na een klacht: een klant die een geautomatiseerde afwijzing kreeg zonder te weten dat AI erbij betrokken was, kan een melding maken. Dat leidt tot een onderzoek, niet direct een megaboete, maar wel tot tijdsdruk en verplichte maatregelen.
  • Contractuele problemen: steeds vaker eisen opdrachtgevers in B2B-contracten bewijs van AI-compliance. Zonder die papieren verlies je aanbestedingen.
  • AVG-samenloop: als je AI-tool persoonsgegevens onzorgvuldig verwerkt, krijg je niet alleen met de AI Act te maken maar ook met de AVG. Die boetes kunnen wél snel in de tonnen lopen.

Kortom: het gaat niet om het vermijden van een onwaarschijnlijke 35-miljoen-boete. Het gaat om aantoonbaar in control zijn, voor je klanten, je opdrachtgevers, en je eigen gemoedsrust.

AI Act combineren met AVG: geen dubbel werk

Goed nieuws: 70 tot 80 procent van je AI Act-huiswerk overlapt met AVG-verplichtingen die je al hebt of moet hebben. Het verwerkingsregister dat je voor de AVG bijhoudt, kun je uitbreiden met een AI-kolom. De DPIA (Data Protection Impact Assessment) die je doet voor risicovolle gegevensverwerking, dekt vaak ook de risicoanalyse voor AI. Je privacybeleid kun je uitbreiden met een AI-paragraaf.

De praktische aanpak: zie AI Act-compliance als een verlengstuk van AVG-compliance. Geen apart traject, geen dubbele documentatie. Als je dit slim automatiseert met workflow-automatisering, houdt je systeem automatisch bij welke AI-tools persoonsgegevens verwerken en wanneer reviews nodig zijn.

Veelgestelde vragen over de AI Act voor MKB

Geldt de AI Act ook voor ZZP'ers?

Ja. De wet maakt geen onderscheid naar bedrijfsgrootte als je AI inzet in je dienstverlening. Gebruik je ChatGPT om teksten voor klanten te schrijven? Dan val je onder de transparantie- en AI-geletterdheidsverplichtingen. De AI Act kent wel een paar MKB-uitzonderingen, vooral rond administratieve last voor hoog-risico-AI, maar de kernregels gelden voor iedereen.

Moet ik mijn AI-tools laten certificeren?

Nee, tenzij je zelf een hoog-risico AI-systeem ontwikkelt. Als je een tool gebruikt, is de leverancier verantwoordelijk voor de certificering. Jij moet alleen kunnen aantonen dat je de tool verantwoord inzet: AVG-proof, transparant naar gebruikers, en met gekwalificeerde medewerkers.

Wat als ik niks doe?

Dan loop je vanaf 2 augustus 2026 een reëel risico. De eerste handhaving zal vooral naar duidelijke overtreders gaan (verboden AI, hoog-risico zonder controle). Maar na een klacht kan ook een MKB-bedrijf onderzocht worden. En steeds meer zakelijke klanten vragen in hun offerte-procedure om een AI-beleid en compliance-verklaring. Wie dat niet heeft, valt af.

Hoeveel tijd kost compliance?

Voor een gemiddeld MKB met 5-20 medewerkers die AI lichtvoetig inzetten: 4 tot 8 uur eenmalig om het beleid en de inventarisatie op te zetten. Daarna 1 tot 2 uur per kwartaal om het bij te houden. Als je AI-gebruik via één platform of agency loopt, krijg je dat overzicht vaak kosteloos erbij.

Conclusie: begin klein, documenteer alles

De AI Act klinkt intimiderend, maar is voor de gemiddelde MKB-ondernemer goed te doen. De meeste verplichtingen passen op een A4'tje: weet welke AI je inzet, controleer je leveranciers, wees transparant naar je klanten, en zorg dat je team basiskennis heeft. De grootste fout die je nu kunt maken, is niks doen en hopen dat het wel goed komt. De Autoriteit Persoonsgegevens scant actief op overtredingen, en handhaving versnelt in 2026.

Begin deze week met stap 1: de inventarisatie. Wie gebruikt welke AI-tool waarvoor? Die lijst alleen al geeft je 40 procent van het werk cadeau. De rest bouw je in een paar uur op. Nog makkelijker als je je AI-marketing en -automatisering centraal laat beheren, dan krijg je de documentatie en compliance-ondersteuning er gewoon bij. Bekijk wat een managed AI-service kost en vergelijk dat met de tijd die compliance je anders gaat kosten.

Wil je weten waar je nu staat? Start een gratis AI-scan, we brengen je huidige AI-inzet in kaart en laten zien waar je direct compliant wordt. Meer weten over de grotere AI-shifts die dit jaar spelen? Lees ook 3 AI-trends die MKB-bedrijven in 2026 niet mogen missen.

Klaar om te groeien?

Ontdek hoe STUDIOLEE jouw bedrijf kan transformeren.

Start gratis

Gerelateerde artikelen