N
    Nahayat
    Terug naar blogCompliance · AI Act

    EU AI Act stappenplan voor MKB — wat regel je vóór 2 augustus 2026

    Robin Damen18 mei 202611 min leestijd

    Kort antwoord

    Per 2 augustus 2026 gelden EU AI Act-verplichtingen voor general-purpose AI. MKB-bedrijven moeten minimaal: 1) alle ingezette AI-systemen inventariseren, 2) risicoclassificeren (minimaal/beperkt/hoog), 3) een AI-register bijhouden, en 4) controleren of vendors een compliance-verklaring leveren. Boetes lopen op tot € 35 mln of 7% van de jaaromzet — voor MKB het laagste bedrag van de twee.

    Per 2 augustus 2026 verandert er voor elk Nederlands bedrijf dat AI inzet iets fundamenteels: de EU AI Act treedt voor general-purpose AI in werking. Voor het MKB is dat geen reden voor paniek — maar het is wél het moment om te stoppen met "dat regelen we later wel". Dit artikel: welke verplichtingen komen er, hoe classificeer je je AI-systemen, wat moet er in een AI-register, en welke vier stappen kun je deze maand al zetten.

    Wat is de EU AI Act in één alinea

    De EU AI Act is de eerste horizontale AI-wetgeving ter wereld. Hij regelt welke AI-toepassingen verboden zijn, welke hoog-risico zijn (en dus extra eisen krijgen), en welke onder minimale transparantieverplichtingen vallen. De wet werkt met een risico-piramide: hoe groter de potentiële schade voor burgers of werknemers, hoe zwaarder de eisen. Voor de meeste MKB-bedrijven geldt: jullie zitten in "beperkt risico" — en dat is goed nieuws, want de verplichtingen zijn behapbaar.

    De vier risicocategorieën

    Verboden — niet toegestaan, geen uitzondering

    Sociale scoring door overheden, manipulatieve AI die gedrag stuurt, real-time biometrische identificatie in openbare ruimte, predictive policing op basis van profilering. Niet relevant voor MKB tenzij je aan bovenstaande dingen werkt.

    Hoog risico — strenge eisen

    AI in HR (CV-filtering, promotie-beslissingen), kredietbeoordeling, medische diagnose, kritieke infrastructuur, onderwijs (examens), rechtshandhaving. Dit raakt veel MKB-bedrijven via recruitment- of klantanalyse-tools. Eisen: risicobeheersing, data-kwaliteit, technische documentatie, transparantie, human-in-the-loop, audit-log, register.

    Beperkt risico — transparantieplicht

    Chatbots, AI-gegenereerde content, emotie-herkenning, deepfakes. De gebruiker moet weten dat hij met AI praat of AI-content ziet. Dit is waar 90% van het MKB landt: ChatGPT in klantservice, AI-agents op de website, AI-gegenereerde teksten in marketing.

    Minimaal risico — geen specifieke verplichtingen

    Spamfilters, AI in games, voorraadbeheer. Geen aanvullende AI Act-eisen — wel gewoon AVG-verplichtingen als er persoonsgegevens in het spel zijn.

    Wat verandert er op 2 augustus 2026 concreet?

    Op die datum worden de verplichtingen voor general-purpose AI-modellen (denk: GPT-4, Claude, Gemini) afdwingbaar. Voor MKB betekent dat drie praktische dingen:

    • Eén: je vendors (OpenAI, Anthropic, Microsoft, Google) moeten een compliance-verklaring leveren met technische documentatie. Vraag deze bij je accountmanager op — ze hebben het al klaar, maar geven het niet automatisch.
    • Twee: als je AI gebruikt in high-risk-domeinen (HR, klantbesluiten, financieel advies) moet je vóór 2 augustus 2026 je AI-register hebben opgesteld én een procesbeschrijving van menselijke controle.
    • Drie: AI-content op je website (chatbots, gegenereerde teksten) moet als zodanig herkenbaar zijn voor de bezoeker. Een simpele zin "Deze chat wordt afgehandeld door een AI-assistent" voldoet.

    Vier stappen die je deze maand kunt zetten

    Stap 1 — Inventariseer alle AI-systemen (2 uur)

    Maak een lijst van alle plekken waar AI in je organisatie wordt gebruikt: ChatGPT, Copilot, AI-functies in CRM/marketing-tools, eigen agents, AI-functies in HR-software. Inclusief shadow-IT (medewerkers die zelf ChatGPT gebruiken voor werk). Tip: vraag het team rechtstreeks — je krijgt antwoorden die je niet had verwacht.

    Stap 2 — Risicoclassificeer per systeem (1 uur)

    Loop de lijst langs en zet er "minimaal", "beperkt risico" of "hoog risico" achter. Twijfelgevallen markeer je als hoog risico totdat je weet dat het anders is — dat is veiliger en zelden duurder.

    Stap 3 — Stel een AI-register op (3 uur)

    Per systeem: naam, leverancier, doel, datacategorieën, risico, verantwoordelijke, datum laatste review. Een spreadsheet voldoet — je hoeft geen software te kopen. Wij hebben een gratis template: AI-register template voor MKB.

    Stap 4 — Vraag vendor-verklaringen op (mail-actie, 30 min)

    Mail OpenAI, Microsoft, Google, Anthropic — of de partner bij wie je AI afneemt — om hun AI Act-compliance verklaring. Bewaar deze in een compliance-map. Bij audit is dit het eerste wat opgevraagd wordt.

    Boetes — wat staat er op het spel?

    Drie boete-tiers:

    • € 35 miljoen of 7% wereldomzet: verboden AI-toepassingen (bv. ongeoorloofde biometrie)
    • € 15 miljoen of 3% wereldomzet: schending van hoog-risico verplichtingen
    • € 7,5 miljoen of 1% wereldomzet: onjuiste of misleidende informatie aan toezichthouders

    Voor MKB-bedrijven geldt het laagste bedrag van de twee opties. Voor een MKB met € 5 mln omzet betekent dat in praktijk: maximaal € 50.000 – € 350.000. Geen catastrofe, wel pijnlijk.

    Wie houdt toezicht?

    In Nederland is dat de Autoriteit Persoonsgegevens (AP) voor de meeste MKB-relevante toepassingen, met flanken van AFM (financieel), IGJ (zorg) en ATR (technische standaarden). De AP heeft in 2025 al meerdere boetes uitgedeeld voor onvoldoende AVG-compliance bij AI — verwacht dat ze in 2026 actief gaan handhaven op AI Act-naleving.

    Welke fouten zien we vaak?

    1. "Wij gebruiken alleen ChatGPT, dus we vallen er niet onder." Onjuist. Zodra ChatGPT input geeft op besluiten over mensen (HR, klantservice, sales-lead-scoring) ben je deployer en heb je verplichtingen.
    2. AI-register als juridisch document opvatten. Het is een werkdocument, geen contract. Een Excel-bestand voldoet. Het doel is dat je in 5 minuten kunt aantonen welke AI je gebruikt en hoe je het beheert.
    3. Toestemming als universele oplossing zien. Toestemming is één rechtsgrond, maar werkt vaak slecht voor werknemers (machtsverhouding) en automatische beslissingen. Werk met gerechtvaardigd belang waar dat past en documenteer waarom.
    4. Wachten tot augustus om te beginnen. 90 dagen klinkt lang — totdat je IT-afdeling en HR allebei moeten aanleveren, vendor-mail beantwoord moet zijn, en het bestuur akkoord moet zijn op risicoacceptaties.

    AI Act versus AVG — waar overlapt het?

    De AI Act regelt "mag je dit AI-systeem inzetten en hoe". De AVG regelt "mag je deze persoonsgegevens hiervoor gebruiken". Beide gelden tegelijk. In de praktijk: als je AVG-compliance op orde is (DPIA's, verwerkersovereenkomsten, register van verwerkingen) heb je 60% van je AI Act-werk al gedaan. Lees ook ons artikel AVG en AI bij bedrijfsdata.

    Hulp nodig?

    Een AI Scan bij Nahayat (€ 1.500, 1 week) levert een geclassificeerde inventaris, een ingevuld AI-register en een go/no-go advies per systeem. Bedoeld voor MKB dat in een week wil weten waar het staat — zonder een halfjaarscompliance-traject te starten.

    Veelgestelde vragen

    Wat is de deadline voor de EU AI Act?

    De algemene EU AI Act-verplichtingen voor general-purpose AI-modellen gelden vanaf 2 augustus 2026. Bedrijven die zelf AI-systemen ontwikkelen, inzetten of doorverkopen moeten op die datum aan basisverplichtingen voldoen.

    Welke MKB-bedrijven moeten iets met de AI Act?

    Elk bedrijf dat AI inzet (deployer) of ontwikkelt (provider), ook als je alleen ChatGPT, Copilot of een AI-agent van een vendor gebruikt. Voor MKB betekent dat in 90% van de gevallen: AI-register bijhouden en transparantie geven aan gebruikers.

    Wat zijn de boetes onder de EU AI Act?

    Tot € 35 miljoen of 7% van de wereldwijde jaaromzet voor verboden AI-toepassingen. Tot € 15 miljoen of 3% voor schending van high-risk verplichtingen. Tot € 7,5 miljoen of 1% voor onjuiste informatie aan toezichthouders. Voor MKB wordt het laagste bedrag van de twee toegepast.

    Moet ik een AI-register opstellen?

    Ja, als je AI inzet in beslissingen die mensen raken (HR, klantservice, kredietbeoordeling) of als provider. Het AI-register beschrijft: welk systeem, welke leverancier, welk doel, welke datacategorieën, risicoclassificatie, menselijke check, en wie verantwoordelijk is. Wij hebben een gratis AI-register template.

    Wat moet ik vóór 2 augustus 2026 regelen?

    Vier dingen minimaal: 1) inventariseer alle AI-systemen die je gebruikt of ontwikkelt; 2) classificeer ze (minimaal/beperkt/hoog risico); 3) stel een AI-register op; 4) controleer of je vendors een AI Act compliance-verklaring leveren.

    Vooruitwerken loont

    Wil je in één week weten waar je staat?

    Onze AI Scan levert binnen 5 werkdagen een geclassificeerde inventaris, een ingevuld AI-register en een concreet stappenplan. Vaste prijs € 1.500, geen vervolgverplichting.

    Bekijk de AI Scan