EU AI Act en het MKB: wat verandert er concreet voor jouw bedrijf in 2025 en 2026?

EU AI Act en het MKB: wat verandert er concreet voor jouw bedrijf in 2025 en 2026?

De EU AI Act is sinds augustus 2024 van kracht en rolt de komende jaren gefaseerd uit. Voor veel MKB-ondernemers klinkt dit als ver-van-mijn-bed regelgeving, maar dat is een misvatting. Als jij AI-tools gebruikt in je bedrijf, en dat doe je waarschijnlijk al, dan val je onder de scope van deze wet. Wat de EU AI Act MKB-bedrijven concreet oplegt, verschilt sterk per situatie. Dit artikel legt uit welke verplichtingen er voor jou gelden als gebruiker van AI, wanneer die ingaan, en wat je nu al moet regelen. Geen juridisch jargon, wel concrete stappen.

Wat is de EU AI Act eigenlijk?

De EU AI Act is de eerste brede Europese wet die AI-systemen reguleert op basis van risico. De gedachte is eenvoudig: hoe groter het risico dat een AI-systeem vormt voor mensen, hoe strenger de regels. De wet maakt onderscheid tussen vier risicocategorieën.

Systemen met een onaanvaardbaar risico zijn volledig verboden. Denk aan AI die mensen manipuleert zonder dat ze het weten, of systemen die sociale scores bijhouden zoals in bepaalde autoritaire regimes. Deze categorie raakt het MKB nauwelijks.

Hoog-risicosystemen zijn de categorie waar je als MKB-ondernemer wél alert op moet zijn. Laag-risico en minimaal-risicosystemen, zoals een chatbot op je website of een AI-tool die teksten schrijft, kennen veel lichtere verplichtingen.

Wanneer gaan de regels in voor het MKB?

De AI Act werkt met een gefaseerde invoering. De verboden op onaanvaardbare risico's zijn al ingegaan per februari 2025. De regels voor hoog-risicosystemen gelden volledig vanaf augustus 2026. Voor aanbieders van algemene AI-modellen, zoals de bedrijven achter GPT-4o of Claude, golden al eerder verplichtingen.

Als gebruiker van AI-tools, wat in de wet een "deployer" wordt genoemd, heb je in de meeste gevallen tot augustus 2026 om je zaken op orde te brengen. Maar wacht niet tot de laatste maand. Bedrijven die nu beginnen met een inventarisatie, staan straks sterk.

Wat is een hoog-risicosysteem en gebruik jij er een?

Dit is de vraag die voor de meeste MKB-ondernemers het meest relevant is. Een AI-systeem geldt als hoog-risico als het wordt ingezet in een van de aangewezen sectoren of toepassingen. Voorbeelden die voor het MKB relevant zijn:

• AI die meespeelt in sollicitatieprocedures, zoals het automatisch screenen of rangschikken van kandidaten
• AI die wordt gebruikt bij kredietbeoordeling of verzekeringen
• AI die toegang bepaalt tot essentiële diensten
• AI in veiligheidskritische omgevingen, zoals productieprocessen met fysieke risico's

Gebruik je GPT-4o via een tool om vacatureteksten te schrijven? Dat is waarschijnlijk geen hoog-risicotoepassing. Gebruik je diezelfde technologie om automatisch cv's te beoordelen en kandidaten te rangschikken? Dan zit je mogelijk wel in de hoog-risicocategorie. Het gaat dus niet om het model zelf, maar om de toepassing.

Wat als jij alleen een gebruiker bent van bestaande AI-tools?

De meeste MKB-bedrijven bouwen geen eigen AI-systemen. Ze gebruiken tools als ChatGPT, Claude, Gemini, of gespecialiseerde SaaS-producten die AI bevatten. Als deployer, dus als gebruiker van andermans AI, heb je minder verplichtingen dan de ontwikkelaar van het systeem. Maar je bent niet vrijgesteld.

Als deployer van een hoog-risicosysteem moet je onder andere zorgen dat je het systeem gebruikt zoals de aanbieder het bedoeld heeft, dat je medewerkers voldoende getraind zijn om ermee te werken, en dat je een basisregistratie bijhoudt van hoe en waar je het systeem inzet. Bovendien moet je menselijk toezicht borgen: een AI-beslissing die iemand benadeelt, mag niet volledig geautomatiseerd zijn zonder dat een mens het kan corrigeren.

Welke AI Act verplichtingen gelden er voor bijna iedereen?

Zelfs als je geen hoog-risicosystemen gebruikt, zijn er verplichtingen die breed gelden. De belangrijkste voor het MKB zijn de transparantievereisten en de AI-geletterdheidsplicht.

Transparantie richting klanten en gebruikers

Als je een chatbot inzet op je website die door klanten als een echte medewerker kan worden aangezien, moet je duidelijk maken dat ze met een AI-systeem communiceren. Dit geldt ook voor AI-gegenereerde content die mensen kan misleiden over de bron. Denk aan deepfakes of synthetische stemmen. Voor de meeste MKB-toepassingen is dit praktisch: zet een duidelijke melding bij je chatbot en je voldoet aan dit onderdeel.

AI-geletterdheid binnen je team

Dit is een verplichting die veel ondernemers nog niet op hun radar hebben. De AI Act verplicht organisaties om te zorgen dat medewerkers die met AI-systemen werken, voldoende kennis hebben over hoe die systemen werken, wat de beperkingen zijn en welke risico's er bestaan. Dit hoeft geen technische opleiding te zijn, maar het betekent wel dat je niet zomaar een tool kunt uitrollen zonder enige vorm van training of uitleg.

Praktisch gezien betekent dit: documenteer welke AI-tools je gebruikt, wie ermee werkt, en zorg voor een minimale instructie of beleid. Dat hoeft geen dik handboek te zijn, maar een eenvoudig intern document met spelregels en uitleg is al een goede basis.

Wat moet je nu al regelen?

De wet is er, de eerste deadlines zijn gepasseerd en de grote golf komt in 2026. Dit zijn de stappen die je als MKB-ondernemer nu kunt zetten.

Begin met een inventarisatie van alle AI-tools die je bedrijf gebruikt. Denk aan tools voor marketing, klantenservice, HR, financiën en operations. Noteer per tool wat het doet en wie het gebruikt.

Beoordeel vervolgens per tool of er sprake is van een hoog-risicotoepassing. Bij twijfel is het verstandig om juridisch advies in te winnen, maar in de meeste gevallen zul je snel zien dat standaard productiviteitstools zoals een AI-schrijfassistent of een automatische e-mailsortering buiten de hoog-risicocategorie vallen.

Stel daarna een eenvoudig AI-beleid op. Beschrijf welke tools zijn goedgekeurd, hoe medewerkers ze mogen gebruiken, en welke data er niet in mogen (denk aan persoonsgegevens van klanten of vertrouwelijke bedrijfsinformatie). Dit raakt ook aan de AVG, die gewoon blijft gelden naast de AI Act.

Zorg ten slotte voor basistraining. Geen dagcursus, maar een korte sessie waarin je uitlegt wat de tools doen, wat ze niet kunnen en wat de spelregels zijn. Leg dit vast, zodat je kunt aantonen dat je aan de AI-geletterdheidsplicht voldoet.

AI regelgeving Nederland: wie handhaaft dit?

De toezichthouder in Nederland is nog niet definitief ingericht, maar de contouren zijn duidelijk. De Autoriteit Persoonsgegevens speelt een coördinerende rol in het algoritme- en AI-toezicht, samen met de Rijksinspectie Digitale Infrastructuur (RDI). Verwacht geen inval bij de eerste de beste chatbot: het toezicht richt zich in eerste instantie op verboden praktijken en hoog-risicosystemen. Toch zijn de boetes serieus, tot 35 miljoen euro of 7 procent van de wereldwijde omzet voor de zwaarste overtredingen.

Voor het MKB is de boodschap simpel: paniek is nergens voor nodig, voorbereiding wel. Wie nu zijn AI-tools inventariseert, een kort beleid opstelt en het team meeneemt, voldoet straks zonder stress aan de regels. Wil je weten hoe jouw huidige AI-gebruik scoort en waar de aandachtspunten zitten? Plan een gratis discovery call, dan lopen we het samen na.