EU AI Act voor het MKB: wat je moet weten en wat je nu moet doen

Het meeste wat je over de EU AI Act leest is geschreven voor multinationals. Lange juridische analyses, vol verwijzingen naar bijlagen en artikelen, met termen die alleen compliance-officers begrijpen. Voor een MKB-directeur die gewoon wil weten "moet ik hier wakker van liggen, en zo ja, wat moet ik dan doen?" is dat onbruikbaar.

Dit artikel is voor jou. Niet de jurist, niet de compliance-afdeling van een beursgenoteerde bank. Jij — met een bedrijf tussen de 10 en 250 medewerkers — die misschien al wat AI gebruikt of overweegt, en die nu hoort dat er regels komen waar je iets mee moet.

We leggen uit wat de wet is, wanneer wat in werking treedt, wat het concreet voor jouw bedrijf betekent en wat je vandaag al kunt regelen. Geen juridische taal. Wel concrete antwoorden.

Wat is de EU AI Act precies?

De EU AI Act is de eerste uitgebreide AI-wetgeving ter wereld. De Europese Unie heeft 'm op 13 maart 2024 aangenomen en op 1 augustus 2024 trad hij officieel in werking. Maar — en dit is belangrijk — de verschillende verplichtingen worden gefaseerd actief over een periode van drie jaar. Sommige regels gelden al sinds februari 2025. Andere pas in 2027.

De wet doet één centraal ding: hij verdeelt AI-systemen in risicocategorieën. Hoe groter het risico voor mensen en samenleving, hoe strenger de regels. Wat in jouw bedrijf onder welke categorie valt, bepaalt wat je moet doen — of juist niet hoeft te doen.

In tegenstelling tot bijvoorbeeld de AVG, die over data gaat, gaat de AI Act over systemen en toepassingen. Twee bedrijven kunnen exact dezelfde data gebruiken, maar als ze er totaal verschillende AI mee bouwen, kunnen ze totaal verschillende verplichtingen hebben. Dat onderscheid is fundamenteel om de wet te begrijpen.

De vier risicocategorieën

De Act onderscheidt vier niveaus van AI-risico. Het overgrote deel van wat een MKB-bedrijf doet zal in de onderste twee categorieën vallen, maar je moet weten wat boven je staat — anders zit je per ongeluk in een verkeerde categorie zonder het te weten.

Onaanvaardbaar risico — verboden

Sommige AI-toepassingen mag je gewoon niet meer gebruiken in de EU. Punt. Denk aan: social scoring zoals in China, AI die mensen onbewust manipuleert om hun gedrag te veranderen, real-time gezichtsherkenning in publieke ruimtes door de overheid (op een paar uitzonderingen na), en emotie-herkenning op de werkvloer of in het onderwijs.

Klinkt sciencefiction? Het is dichterbij dan je denkt. Een marketingbureau dat AI gebruikt om subliminale boodschappen in advertenties te verwerken zit ineens in dit verboden gebied. Een HR-tool die de stemming van werknemers volgt via webcam ook. Het is goed om je hier bewust van te zijn, zeker als je nieuwe tools overweegt.

Hoog risico — strenge eisen

Hier moet je als MKB-directeur écht opletten. Hoog-risico AI-systemen zijn niet verboden, maar je moet aan stevige eisen voldoen: risico-analyse, kwaliteitsbeheer, menselijk toezicht, technische documentatie, gegevensbeheer, transparantie en registratie in een EU-database.

Concrete voorbeelden die je MKB raken: AI-tools voor sollicitantenselectie of CV-screening, AI die wordt gebruikt voor kredietbeoordeling, AI-systemen die werknemers monitoren of beoordelen, AI in onderwijs en examinering, AI in kritieke infrastructuur. Als jij een uitzendbureau hebt en je gebruikt AI om kandidaten te scoren — hoog risico. Als je AI gebruikt om te beslissen wie wel of geen lening krijgt — hoog risico. Als je AI inzet om werknemersprestaties te beoordelen — hoog risico.

Veel bedrijven hebben dit type tools draaien zonder zich te realiseren dat ze in deze categorie vallen. Dat is de meest voorkomende blinde vlek in het MKB.

Beperkt risico — transparantieplicht

Hier valt het meeste in waar MKB-bedrijven mee bezig zijn: chatbots, deepfakes en AI-gegenereerde content. De regel is simpel: wees transparant. Een gebruiker moet weten dat hij met AI praat, niet met een mens. AI-gegenereerde beelden, video's of teksten moeten als zodanig herkenbaar zijn.

Heb je een klantenservice-chatbot? Die moet duidelijk maken dat het AI is. Maak je marketing-images met Midjourney of DALL-E? Die moeten gelabeld worden. Genereer je content met Claude of ChatGPT en publiceer je dat als artikel of social post? Dan ben je verplicht dat in bepaalde contexten te melden.

Minimaal risico — geen specifieke verplichtingen

Spamfilters, AI in videogames, eenvoudige aanbevelingsalgoritmen. Geen specifieke EU AI Act-verplichtingen — al blijven andere wetten zoals de AVG natuurlijk gewoon onverkort gelden.

De tijdlijn — wat geldt wanneer

De Act treedt gefaseerd in werking. Hier is de praktische tijdlijn waar je rekening mee moet houden.

2 februari 2025 (al actief). Twee dingen zijn al van kracht. Eén: de verboden praktijken — vanaf deze datum mag je die echt niet meer gebruiken, zonder enige overgangstermijn. Twee: artikel 4 over AI-geletterdheid. Dit verplicht álle bedrijven die AI inzetten ervoor te zorgen dat hun medewerkers voldoende kennis en vaardigheden hebben om AI verantwoord te gebruiken. Dit geldt voor jou. Nu. Hierover later meer.

2 augustus 2025 (al actief). General Purpose AI-modellen (zoals GPT-4, Claude, Gemini) krijgen specifieke verplichtingen voor hun aanbieders. Voor jou als afnemer betekent dit dat je leveranciers transparanter moeten zijn over hun modellen — onder andere over de data waarop ze getraind zijn.

2 augustus 2026. De grote: hoog-risico systemen uit Annex III (HR-AI, krediet-AI, onderwijs-AI, biometrie, etc.) moeten volledig compliant zijn. Als jij zo'n systeem inzet of laat bouwen, moet je vanaf deze datum kunnen aantonen dat alles op orde is.

2 augustus 2027. Hoog-risico AI in gereguleerde producten (medische apparatuur, voertuigen, machines) moet compliant zijn. Dit raakt vooral fabrikanten en hun leveranciers.

Voor het overgrote deel van het MKB is de meest relevante datum dus eigenlijk al verstreken: 2 februari 2025. De AI-geletterdheidsplicht geldt nu, en daar zit de eerste echte verplichting voor de meeste bedrijven.

Wat betekent dit concreet voor jouw MKB-bedrijf?

Grofweg zijn er drie scenario's en bij elke is jouw rol — en dus je verplichting — anders.

Scenario 1: Je gebruikt bestaande AI-tools. Denk aan Claude, ChatGPT, Microsoft Copilot, Notion AI of de AI-functies in je CRM. Dit is veruit het meest voorkomende scenario in het MKB. Je bent een "deployer" of "gebruiker" in de termen van de wet. Je verplichtingen zijn relatief licht, maar wel concreet: zorg dat je weet wat de tool doet, gebruik 'm volgens de instructies van de aanbieder, zorg voor menselijk toezicht op AI-uitkomsten waar relevant, en — heel belangrijk — zorg dat je team weet hoe ze er verantwoord mee omgaan.

Scenario 2: Je laat AI op maat bouwen voor je bedrijf. Hier wordt het serieuzer. Als je AI laat bouwen — bijvoorbeeld een tender-assistent, een klantenservice-bot of een document-analyse-systeem — heb je samen met je bouwer de verantwoordelijkheid om in kaart te brengen onder welke risicocategorie het systeem valt en daar de juiste maatregelen voor te treffen. Een goede partner regelt dit met je mee en bouwt compliance-by-design. Een slechte partner levert iets op en laat je er straks alleen voor staan als de toezichthouder belt.

Scenario 3: Je bouwt zelf AI en biedt het aan klanten aan. Dan ben je "provider" volgens de wet. De zwaarste verplichtingen liggen bij jou. Dit is voor de meeste MKB-bedrijven niet aan de orde, tenzij je een SaaS-bedrijf bent dat AI-functionaliteit verkoopt als product.

De boetes — hoeveel kan dit je kosten?

De EU heeft de boetes opzettelijk hoog gemaakt om de wet kracht bij te zetten.

Voor het gebruik van verboden AI-praktijken: tot €35 miljoen of 7% van je wereldwijde jaaromzet — de hoogste van de twee. Voor het niet naleven van andere verplichtingen (zoals die voor hoog-risico systemen): tot €15 miljoen of 3% van je wereldwijde jaaromzet. Voor het verstrekken van onjuiste informatie aan toezichthouders: tot €7,5 miljoen of 1%.

Voor MKB-bedrijven en startups geldt een verzachting: de Act bepaalt dat boetes voor deze groep in verhouding moeten staan tot de bedrijfsgrootte. Het is dus geen vrijbrief, maar je gaat niet als bakkerij met vijftien werknemers een boete van €35 miljoen krijgen. De toezichthouder kijkt naar redelijkheid.

In Nederland wordt de handhaving belegd bij meerdere instanties, waaronder de Autoriteit Persoonsgegevens en de Rijksinspectie Digitale Infrastructuur. Zij zijn nu al bezig met voorbereidingen op handhaving en gaan vanaf 2026 actief controleren.

Belangrijker dan de boete is overigens vaak het reputatieschade-risico. Een boete krijgt de pers. Klanten lezen het. Een MKB-bedrijf dat in het nieuws komt vanwege AI-misbruik kan jaren bezig zijn om het vertrouwen terug te winnen.

Wat moet je nu al doen?

Vijf concrete stappen die je deze maand al kunt zetten. Geen complexe compliance-trajecten, gewoon praktisch huiswerk.

Stap 1: Inventariseer waar AI in je bedrijf zit

Dit is fundamenteel en bijna niemand doet het. Maak een lijst van alle AI-tools die op dit moment binnen jouw bedrijf gebruikt worden. Vergeet de tools niet die je medewerkers zelfstandig hebben aangeschaft of waarvan ze gratis versies gebruiken — ChatGPT, Claude, Copilot, Notion AI, Canva AI. Vergeet ook embedded AI niet — denk aan AI-functies in Outlook, Teams, Salesforce, HubSpot of je CRM. Je zult schrikken hoeveel het er zijn als je echt gaat tellen.

Stap 2: Classificeer per tool het risiconiveau

Voor elke tool: wat doet hij, wie gebruikt hem, en in welke categorie valt hij? Het meeste zal in beperkt of minimaal risico vallen, maar de uitschieters moet je vinden. Vooral HR-tools en alles wat met klantselectie, kredietbeoordelingen of werknemersmonitoring te maken heeft, verdienen extra aandacht. Bij twijfel: noteer 'm en bespreek met een expert.

Stap 3: Regel de AI-geletterdheid van je team

Dit is nu al verplicht. Artikel 4 van de Act zegt: iedereen in je bedrijf die met AI werkt moet voldoende kennis en vaardigheid hebben om dat verantwoord te doen. Geen specifieke vorm voorgeschreven — wel een resultaatverplichting. Een algemene introductie volstaat niet als iemand AI dagelijks in klantcontact gebruikt. Een korte training waarin het team leert wat AI wel en niet kan, waar de privacy-grenzen liggen en hoe ze fouten herkennen, is meestal voldoende.

Stap 4: Documenteer wat je doet

Bij een eventuele controle moet je kunnen laten zien dat je nadenkt over AI-inzet en de risico's afweegt. Een simpel AI-register waarin je per tool noteert wat het doet, wie het gebruikt en welke risicocategorie het is, is een goede basis. Bij hoog-risico systemen wordt de documentatieplicht veel uitgebreider, met technische dossiers, risico-evaluaties en gebruikersinstructies — maar voor de meeste MKB-bedrijven volstaat een goed bijgehouden overzicht.

Stap 5: Maak iemand verantwoordelijk

Dit hoeft geen aparte functie te zijn met een eigen titel. Maar iemand in je bedrijf moet "de AI-persoon" zijn. Iemand die overzicht houdt, nieuwe tools beoordeelt voor ze aangeschaft worden en weet wie wat doet. In kleinere bedrijven kan dit de directeur zelf zijn, in grotere MKB-bedrijven is het vaak iemand uit operations, IT of HR die dit naast haar of zijn andere taken oppakt.

Hoe Artifec hierin past

We zien dit als een tweedelig probleem voor het MKB: kennis en uitvoering. De meeste ondernemers willen het goed doen, maar weten niet waar te beginnen. En als ze het wel weten, hebben ze er geen tijd voor. Dan blijft het liggen tot de eerste controlebrief op de mat valt — en dat is het slechtste moment om te beginnen.

Onze AI Bedrijfscan is precies wat veel bedrijven nu nodig hebben als startpunt. In twee weken brengen we in kaart welke AI er in je bedrijf gebruikt wordt, welke risico's er liggen, wat je verplichtingen zijn én welke kansen er liggen om AI slimmer in te zetten. Je krijgt een concreet rapport waar je morgen mee aan de slag kunt — geen abstract advies, maar een actielijst.

Voor de AI-geletterdheid die artikel 4 verplicht stelt, leveren we AI Trainingen op maat. Of dat nou een eendaagse Claude Masterclass is voor jou en je managementteam, of een driedaags Intercompany-programma voor een hele afdeling. We zorgen dat je team niet alleen weet hoe AI werkt, maar ook waar de grenzen liggen — juridisch én praktisch. Dat is precies wat de Act van je vraagt.

En als je AI laat bouwen of inkoopt: we adviseren op compliance-by-design. Dat klinkt zwaar, maar het is gewoon: vooraf nadenken over risico's, transparantie, menselijk toezicht en documentatie inbouwen in het systeem zelf. Veel goedkoper dan achteraf branden blussen, en je hebt er geen omkijken naar.

Tot slot

De EU AI Act is geen reden om in paniek te schieten, maar wel om serieus mee te nemen. De meeste MKB-bedrijven zullen ontdekken dat ze met een paar weken werk volledig compliant zijn. Maar dat werk moet wel gebeuren — het komt niet vanzelf goed.

Wij zien het zo: regelgeving dwingt structuur af. En structuur is precies wat de meeste MKB-bedrijven missen in hun AI-aanpak. De AI Act is dus eigenlijk een geschenk in verpakking — alleen weten de meeste mensen het nog niet. De bedrijven die er nu mee beginnen, zijn straks niet alleen in orde, maar hebben ook beter overzicht over hun AI-gebruik dan hun concurrenten. Dat is een voorsprong waar je iets aan hebt.

Wil je weten waar jouw bedrijf staat? Begin met de inventarisatie uit stap 1 — dat kost je een middag en levert direct inzicht op. Loop je vast, of wil je het serieuzer aanpakken? Plan een gesprek met ons. We helpen graag, en het eerste gesprek is altijd vrijblijvend.

Disclaimer: Dit artikel geeft een algemeen overzicht van de EU AI Act en is bedoeld om MKB-ondernemers wegwijs te maken. Het vormt geen juridisch advies en kan dat ook niet vervangen. Voor specifieke vragen over jouw situatie, jouw AI-systemen of compliance-trajecten raden we altijd aan om een gespecialiseerde advocaat of compliance-adviseur te raadplegen. De wettekst en bijbehorende richtlijnen kunnen wijzigen — controleer altijd de actuele bronnen via artificialintelligenceact.eu of de officiële EU-kanalen.