EU AI Act en MKB: wat verandert er concreet voor jouw bedrijf in 2025?

EU AI Act en MKB: wat verandert er concreet voor jouw bedrijf in 2025?

De EU AI Act is de eerste brede Europese wet die het gebruik van kunstmatige intelligentie reguleert. Voor veel Nederlandse ondernemers klinkt dat abstract, maar de wet heeft directe gevolgen voor bedrijven die AI-tools inzetten, ook als je maar vijf medewerkers hebt. In dit artikel lees je wat de AI wet Nederland 2025 in de praktijk betekent voor jouw bedrijf, welke risicoclassificaties relevant zijn voor het MKB, en waar je nu al actie op moet ondernemen. Geen juridisch jargon, maar concrete uitleg die je kunt gebruiken.

Wat is de EU AI Act en waarom geldt hij ook voor jou?

De EU AI Act is op 1 augustus 2024 officieel in werking getreden. De wet wordt gefaseerd ingevoerd, met de eerste verplichtingen die al in 2025 van kracht worden. Het doel is om AI-systemen te reguleren op basis van het risico dat ze vormen voor mensen. Hoe hoger het risico, hoe strenger de eisen.

Veel ondernemers denken dat deze wet alleen geldt voor grote techbedrijven die AI bouwen. Dat klopt niet. De wet maakt onderscheid tussen aanbieders, die AI-systemen ontwikkelen, en gebruikers, die AI-systemen inzetten in hun bedrijfsprocessen. Als jij als MKB-ondernemer een AI-tool gebruikt om klantgesprekken te analyseren, sollicitanten te beoordelen of creditwaardigheid in te schatten, val je onder de definitie van gebruiker en heb je verplichtingen.

Voor AI regelgeving MKB geldt dus: het maakt niet uit of je zelf AI bouwt of kant-en-klare tools zoals GPT-4o, Claude of Gemini gebruikt. Zodra je die tools inzet voor doeleinden die onder de wet vallen, ben je medeverantwoordelijk voor naleving.

De risicoclassificatie: waar valt jouw gebruik onder?

De EU AI Act verdeelt AI-toepassingen in vier categorieën. Voor het MKB zijn er drie categorieën relevant.

Onaanvaardbaar risico betekent een volledig verbod. Denk aan sociale scoringsystemen of AI die mensen manipuleert via onderbewuste technieken. Dit raakt het reguliere MKB nauwelijks.

Hoog risico is de categorie die voor veel ondernemers wél relevant is. Toepassingen die hieronder vallen zijn onder andere: AI die wordt ingezet bij werving en selectie, bij het beoordelen van kredietwaardigheid, bij toegang tot onderwijs of beroepsopleidingen, en bij het beheer van kritieke infrastructuur. Concreet: gebruik je een AI-tool om cv's te screenen of om klanten automatisch te accepteren of af te wijzen voor een dienst, dan val je in de hoog-risico categorie. Dat brengt verplichtingen mee op het gebied van documentatie, menselijk toezicht en transparantie.

Beperkt risico geldt voor toepassingen zoals chatbots en AI-gegenereerde content. Hier is de voornaamste verplichting transparantie: gebruikers moeten weten dat ze met een AI-systeem communiceren. Heb je een chatbot op je website, dan moet je dat duidelijk aangeven.

Minimaal risico omvat de meeste AI-toepassingen die het MKB dagelijks gebruikt, zoals spamfilters, AI-schrijftools of aanbevelingssystemen in e-commerce. Hier gelden geen specifieke verplichtingen, al verwacht de wet wel dat je als ondernemer verantwoord handelt.

Hoe weet je in welke categorie jouw AI-gebruik valt?

De praktische vraag is: welke beslissingen neemt jouw AI-systeem, of ondersteunt het, die direct invloed hebben op mensen? Gaat het om toegang tot diensten, werk of financiering? Dan is de kans groot dat je in de hoog-risico categorie zit. Gebruik je AI puur voor interne efficiëntie, zoals het samenvatten van vergaderingen of het opstellen van offertes, dan val je waarschijnlijk in de minimaal-risico categorie.

Wat verandert er concreet in 2025?

De eerste harde deadline is februari 2025. Vanaf dat moment zijn de regels rond onaanvaardbare risico's van kracht. Dat betekent dat verboden toepassingen per direct gestopt moeten worden.

In augustus 2025 treden de verplichtingen in werking voor aanbieders van zogenoemde general-purpose AI-modellen, zoals de bedrijven achter GPT-4o, Claude en Gemini. Dit raakt jou als gebruiker indirect: de tools die jij inkoopt moeten aan bepaalde transparantie-eisen voldoen, en leveranciers zijn verplicht documentatie te leveren over de mogelijkheden en beperkingen van hun modellen.

De hoog-risico verplichtingen worden volledig van kracht in augustus 2026, maar de voorbereiding begint nu. Als je AI-tools inzet voor werving, kredietbeoordeling of vergelijkbare processen, is het verstandig om nu al te inventariseren welke systemen je gebruikt en hoe beslissingen worden genomen.

Voor de AI wet Nederland 2025 geldt bovendien dat de Autoriteit Persoonsgegevens een rol speelt naast de nog aan te wijzen nationale toezichthouder voor de AI Act. Privacy en AI-compliance overlappen elkaar sterk, zeker als je werkt met persoonsgegevens van klanten of medewerkers.

Wat moet je als MKB-ondernemer nu doen?

EU AI Act uitleg is nuttig, maar actie is nuttiger. Er zijn drie concrete stappen die je als ondernemer van een bedrijf met 5 tot 50 medewerkers nu kunt zetten.

De eerste stap is een inventarisatie van alle AI-tools die je bedrijf gebruikt. Dat gaat verder dan de voor de hand liggende tools. Denk aan de AI-functies in je CRM, je HR-software, je klantenserviceplatform of je boekhoudsoftware. Veel software bevat tegenwoordig ingebouwde AI-functionaliteit die je misschien niet bewust als "AI" beschouwt.

De tweede stap is het bepalen van het risiconiveau per toepassing. Vraag jezelf af: neemt dit systeem of ondersteunt het beslissingen die mensen direct raken? En: worden er persoonsgegevens verwerkt? Als het antwoord op beide vragen ja is, neem je die toepassing mee in je compliance-aanpak.

De derde stap is het vastleggen van menselijk toezicht. Voor hoog-risico toepassingen is dit wettelijk verplicht, maar het is sowieso verstandig om te documenteren wie in jouw organisatie verantwoordelijk is voor de uitkomsten van AI-ondersteunde beslissingen. Een AI-tool die een sollicitant afwijst of een klant weigert, ontslaat jou als ondernemer niet van de verantwoordelijkheid voor die beslissing.

Wat als je AI-diensten levert aan klanten?

Als jij als dienstverlener AI-toepassingen bouwt of configureert voor klanten, bijvoorbeeld als marketingbureau dat AI-workflows inricht via n8n, of als softwarebedrijf dat een chatbot levert, dan ben je in de ogen van de wet mogelijk een aanbieder. Dat brengt zwaardere verplichtingen mee dan wanneer je alleen gebruiker bent. Denk aan technische documentatie, conformiteitsbeoordelingen en registratieplichten. Het is verstandig om dit juridisch te laten toetsen als je actief AI-oplossingen aan derden levert.

AI compliance MKB Nederland: voorbereiding loont

De EU AI Act is geen papieren tijger. De boetes voor overtredingen kunnen oplopen tot 35 miljoen euro of 7 procent van de wereldwijde jaaromzet, afhankelijk van de ernst van de overtreding. Voor het MKB zijn de absolute bedragen lager, maar de reputatieschade bij een incident is dat niet.

Het goede nieuws is dat de meeste MKB-bedrijven die AI inzetten voor interne efficiëntie, zoals het automatiseren van offertes, het samenvatten van documenten of het versnellen van klantenservice, weinig te vrezen hebben zolang ze transparant handelen en persoonsgegevens correct verwerken. De wet is primair gericht op toepassingen met echte risico's voor mensen, niet op het ontmoedigen van AI-gebruik in het algemeen.

Wie nu begint met een eerlijke inventarisatie van zijn AI-gebruik, staat straks sterk. Zowel richting klanten, die steeds vaker vragen naar AI-beleid, als richting toezichthouders.

Wil je weten hoe jouw bedrijf er nu voor staat op het gebied van AI-compliance, of wil je AI verantwoord inzetten zonder te verdrinken in regelgeving? Neem dan contact op via 5cagency.nl voor een gratis discovery call. We kijken samen naar jouw situatie en geven je een helder beeld van wat er moet gebeuren en wat er al goed gaat.