Stel: het is augustus 2026. De EU AI-verordening geldt dan volledig. En jij? Jij zit nog steeds te twijfelen of die nieuwe chatbot op je website wel mag.
▶Inhoudsopgave
Terwijl je concurrent al maanden compliant is en gerust verder groeit. Klinkt als een nachtmerrie?
Het hoeft er niet één te worden. Want hier het verrassende: je hebt geen advocatenkantoor nodig om aan de AI Act te voldoen.
Je hebt gewoon een plan nodig. En dat krijg je hier.
Eerst even: wat is de AI Act eigenlijk?
De Europese AI-verordening (AI Act) is de eerste wet ter wereld die kunstmatige intelligentie reguleert. Niet om innovatie te stoppen, maar om ervoor te zorgen dat AI-systemen veilig, transparant en eerlijk zijn.
Vanaf augustus 2026 gelden de belangrijkste verplichtingen voor bedrijven. En ja, dat geldt ook voor jouw MKB-bedrijf, ook al heb je maar vijf medewerkers en een kantoor boven de winkel.
De boetes? Die kunnen oplopen tot 35 miljoen euro of 7 procent van je wereldwijde jaaromzet. Voor een MKB-er is dat geen schrikbeeld.
Dat is gewoon: einde bedrijf. Maar laten we het positief bekijken.
Want de meeste MKB-bedrijven hoeven niet per se in paniek te raken. Je moet wel wát doen. En dat is best te overzien.
Waarom de meeste ondernemers te laat beginnen
Uit recent KVK-onderzoek blijkt dat slechts 7 procent van de Nederlandse ondernemers goed op de hoogte is van de AI Act. Zeven procent!
Dat betekent dat 93 provel van de MKB-sector eigenlijk nog niks heeft geregeld. En dat is zowel een risico als een kans. Want wie nu alvast aan de slag gaat, heeft straks een enorm voordeel op de concurrentie die in paniek zoekt naar een advocaat in januari 2027.
De 10 stappen: van onwetend naar compliant
Stap 1: Maak inventarisatie van al je AI-gebruik
Voordat je ook maar één stap zet, moet je weten waar je staat. Maak een lijst van alle tools, software en systemen die je bedrijf gebruikt waar AI in zit.
Denk niet alleen aan die flashy chatbot. Denk ook aan je e-mailmarketingtool, je boekhoudsoftware met slimme categorisatie, je HR-systeem dat sollicitaties scant, of die prijsvergelijker op je website. Veel bedrijven gebruiken meer AI dan ze denken.
Stap 2: Classificeer je AI-systemen op risiconiveau
De AI Act werkt met risicocategorieën. Er zijn vier niveaus: onaanvaardbaar risico (die mag gewoon niet), hoog risico (strenge regels), beperkt risico (transparantieplicht) en minimaal risico (vrij gebruik).
De meeste MKB-tools vallen in de categorie minimaal of beperkt risico. Maar check het. Want als je bijvoorbeeld AI gebruikt voor personeelsselectie of kredietbeoordeling, zit je al snel in de hoog-risico-categorie. En dan worden de regels een stuk strenger.
Stap 3: Schrijf een AI-beleid (ja, ook als je bedrijf klein is)
Je hebt een AI-beleid nodig. Klinkt groot, is het niet.
Het is gewoon een document van één of twee A4'tjes waarin staat: welke AI-tools gebruiken we, waarom gebruiken we ze, welke gegevens verwerken we, en wie is er verantwoordelijk.
Stap 4: Check je data
Geen juridisch jargon nodig. Gewoon helder en eerlijk. Bewaar het, en zorg dat je medewerkers ervan weten. AI draait om data.
En data valt onder de AVG. Dus als je AI-systemen trainen met klantgegevens of medewerkersinformatie, moet je kunnen aantonen dat je dat op een legale manier doet.
Stap 5: Zorg voor transparantie richting klanten
Vraag je tool-aanbieder eens: waar komt de trainingsdata vond? Worden persoonsgegevens verwerkt? Is er een verwerkersovereenkomst voor no-code tools? Deze vragen stellen kost je vijf minuten en kan je straks honderdduizenden euro's besparen.
Als je klanten interactie hebben met een AI-systeem, moeten ze dat weten. Dat is de transparantieplicht.
Stap 6: Betrek je medewerkers
Dus als je een chatbot heeft, zeg het. Als je AI gebruikt om aanbevelingen te doen op je website, vermeld het. Het hoeft niet in je gezicht te worden geprent.
Maar het moet duidelijk zijn. Een simpele regel: "Deze aanbeveling is gegenereerd met behulp van kunstmatige intelligentie" is vaak al voldoende.
Stap 7: Stel een governance-structuur op
AI-compliance is geen IT-kwestie. Het is een organisatievraagstuk. Zorg dat je team weet wat de AI Act betekent en hoe ze ermee om moeten gaan.
Dat kan met een korte uitleg tijdens de maandagochtendbespreking, een interne memo, of een workshop. Platforms zoals AI Compliance Hub bieden praktische tools en checklists specifiek voor MKB-bedrijven. Richt je no-code workflow GDPR-by-design in en gebruik ze.
Stap 8: Documenteer alles
Wie is er in jouw bedrijf verantwoordelijk voor AI-compliance? Bij een eenmanszaak ben dat jezelf.
Bij een bedrijf met twintig medewerkers is het verstandig om één aanspreekpunt aan te wijzen. Die persoon hoeft geen expert te zijn. Maar die moet wel weten welke tools er worden gebruikt, wanneer er iets verandert, en bij wie je terecht kunt met vragen. De AI Act vraagt om documentatie.
Stap 9: Blijf op de hoging van wijzigingen
Niet omdat de EU graag papierwerk ziet, maar omdat je moet kunnen aantonen dat je je best doet. Leg je automatiseringsprocessen vast, houd bij welke AI-systemen je gebruikt, wanneer je ze hebt geïmplementeerd, welke maatregelen je hebt genomen, en wanneer je het AI-beleid voor het laatst hebt geüpdatet.
Een simpel spreadsheetje is al een goed begin. De AI Act is niet statisch. In maart 2026 namen zowel de Europese Raad als het Europees Parlement hun onderhandelingsposities aan op het Digital Omnibus-voorstel, dat onder meer aanpassingen bevat op de AI Act.
Stap 10: Begin vandaag, niet morgen
Dat betekent dat de regels de komende maanden nog kunnen veranderen. Abonneer je op een betrouwbare nieuwsbrief, volg de Autoriteit Persoonsgegevens, of raadpleeg regelmatig sites zoals AI Compliance Hub om op de hoogte te blijven.
Dit is misschien wel de belangrijkste stap. Niet omdat alles vanaf morgen perfect moet zijn, maar omdat elke dag die je wacht, een dag is waarop je onnodig risico loopt. Je hoeft niet in één keer alles op orde te hebben.
Maar begin met stap 1. Maak die inventarisatie. Vandaag nog. Dan heb je al een fundament om op te bouwen.
Wat als je AI gebruikt die hoogrisico is?
Sommige MKB-bedrijven gebruiken AI-systemen die onder de hoogrisico-categorie vallen. Denk aan AI in werving en selectie, medische hulpmiddelen, of kredietscoring. Dan gelden strengere regels: risicomanagement, technische documentatie, menselijk toezicht, en conformiteitsbeoordelingen.
Als je denkt dat dit op jouw van toepassing is, is het verstandig om professioneel advies in te winnen.
Maar wees gerust: de meeste MKB-tools vallen niet in deze categorie.
De kans in de crisis
Hier zit ook een kant aan die niemand noemt. De AI Act dwingt je om na te denken over hoe je met technologie omgaat. En dat is eigenlijk heerlijk.
Want wie nu eenmaal die inventarisatie maakt, ontdekt vaak inefficiënties, dubbele abonnementen, en tools die eigenlijk niks toevoegen.
De AI Act is dus niet alleen een compliance-uitdaging. Het is een excuus om je digitale huis op orde te komen.
En dat is, ondanks alles, best een mooie kans. Dus: begin vandaag. Niet omdat je bang moet zijn, maar omdat je slim bent. En slimme ondernemers bereiden zich voor.
Veelgestelde vragen
Wat is de AI Act precies en waarom is het belangrijk voor mijn bedrijf?
De AI Act is de eerste wet ter wereld die kunstmatige intelligentie reguleert, met als doel om AI-systemen veilig, transparant en eerlijk te maken. Vanaf augustus 2026 gelden strenge regels, waaronder hoge boetes tot 35 miljoen euro of 7% van de jaaromzet. Zelfs kleine bedrijven moeten bewust zijn van deze regels en een plan maken om compliant te zijn.
Hoe weet ik of mijn bedrijf onder de AI Act valt en welke risicocategorie moet ik inschatten?
De AI Act verdeelt AI-systemen in risicocategorieën: onaanvaardbaar, hoog, beperkt en minimaal risico. De meeste MKB-tools vallen in de categorieën minimaal of beperkt risico, maar systemen die bijvoorbeeld worden gebruikt voor personeelsselectie of kredietbeoordeling vallen onder de hoog-risico categorie en vereisen strengere regels en transparantie.
Wat moet ik doen als mijn bedrijf AI gebruikt en ik niet zeker weet of ik aan de eisen van de AI Act voldoe?
Begin met een grondige inventarisatie van alle AI-tools en systemen die je bedrijf gebruikt. Maak vervolgens een risicoanalyse en schrijf een AI-beleid waarin je de principes en procedures beschrijft die je hanteert om te zorgen voor veiligheid, transparantie en eerlijkheid bij het gebruik van AI.
Waarom is het zo belangrijk om nu te beginnen met de voorbereidingen op de AI Act, in plaats van te wachten tot 2027?
Veel MKB-bedrijven zijn nog niet op de hoogte van de AI Act. Door nu te beginnen met de voorbereidingen, kun je een voorsprong nemen op concurrenten die in paniek zijn en nog op zoek zijn naar juridisch advies. Een proactieve aanpak zorgt voor meer rust en controle.
Wat zijn de mogelijke gevolgen als mijn bedrijf niet compliant is met de AI Act?
Niet-compliance met de AI Act kan leiden tot aanzienlijke boetes, variërend van 35 miljoen euro tot 7% van de wereldwijde jaaromzet. Bovendien kan het bedrijf schade lijden aan zijn reputatie en het vertrouwen van klanten verliezen. Het is dus cruciaal om proactief te handelen en te voldoen aan de regels.