AI Act 2 augustus: wat het MKB de komende honderd dagen moet regelen
Op 2 augustus 2026 wordt het belangrijkste deel van de Europese AI Act van kracht. Vandaag is dat over zo'n honderd dagen. Voor wie nog moet beginnen is dat krap maar haalbaar; voor wie al bezig is, is dit het moment om de losse eindjes vast te knopen. In de Kempen — waar het MKB volgens onze laatste meting voor 95% uit dienstverlening, detailhandel, bouw, zorg en agrosector bestaat — gebruikt inmiddels een meerderheid van de bedrijven dagelijks AI-tools. ChatGPT op de telefoon van de boekhouder, Microsoft Copilot in de offertesoftware, een chatbot op de website, een AI-gestuurde fotoclassificatie bij een verzekeraar. Allemaal toepassingen die per 2 augustus binnen de scope van de wet vallen.
Dit artikel is geen volledige uitleg van de AI Act — die hebben we al beschreven in EU AI Act voor het Kempische MKB, praktijkcheck en in het uitgebreidere AI Act stappenplan voor MKB. Wat we hier doen: vijf concrete branchevoorbeelden uit de Kempen, een minimale beleidsregel die je in een uur kunt schrijven, een eerlijk gesprek over wat de toezichthouders sinds januari 2026 al hebben uitgestraald, en een T-100-checklist die je vrijdag kunt afvinken.
De minimale verplichtingen voor de meeste MKB'ers
In de korte versie: voor het overgrote deel van het Kempische MKB is de wet aanzienlijk lichter dan de eerste paniekberichten in 2024 deden vermoeden. Je bent in de meeste gevallen deployer — gebruiker van AI-systemen die anderen hebben gebouwd — niet provider. Voor deployers van niet-hoog-risicotoepassingen zijn er drie kernverplichtingen:
- Transparantie naar je klanten wanneer ze met AI te maken krijgen (bijvoorbeeld een chatbot die niet duidelijk een chatbot is, of automatisch gegenereerde content die als menselijk wordt gepresenteerd).
- Bewustwording bij medewerkers — zorgen dat de mensen die de AI gebruiken weten wat hij wel en niet kan, en wat je intern wel en niet doet met die tools.
- Documentatie van inzet — kunnen aantonen welke AI-systemen je inzet, voor welk doel, en welke afspraken je daarover hebt.
Dat is grotendeels één A4-document, eenmalig vastleggen, en jaarlijks updaten. Geen extra software, geen consultant, geen audit-rapport. Voor de meeste MKB-bedrijven is het werk in een dag te doen.
Wat het zwaarder maakt: zit je in een hoog-risicodomein (kredietverlening, werving en selectie, kritieke infrastructuur, gezondheidsdiagnostiek, biometrie), of bouw je zelf AI-systemen waar anderen op steunen, dan gelden uitgebreidere verplichtingen — risicobeheer, datakwaliteitseisen, post-market-monitoring. In de Kempen raakt dat een minderheid van de bedrijven, maar wel een belangrijke (zorginstellingen, recruitment-bureaus, AI-startups, financieel adviseurs).
Vijf cases per sector — wat is er per branche te doen?
Case 1 — Het accountantskantoor in Eindhoven dat scan-en-boek gebruikt
Een MKB-accountantskantoor met dertig medewerkers werkt met software waarbij bonnen en facturen automatisch worden gescand en in de boekhouding geboekt. De AI achter het systeem (geleverd door een externe softwareleverancier) doet OCR, classificatie en boekingsvoorstellen.
Wat moet er geregeld worden vóór 2 augustus:
- Bevestigen dat de leverancier zijn provider-verplichtingen invult (CE-markering, conformiteitsverklaring). De meeste grote leveranciers hebben dit per voorjaar 2026 op hun website gepubliceerd — vraag erom als het nog niet zichtbaar is. - Interne notitie over hoe de boekingsvoorstellen worden gecontroleerd door een mens. Bij accountancy is "menselijk toezicht" een kernpunt: de AI doet voorstellen, de boekhouder beslist. - Klantcommunicatie: in algemene voorwaarden of op de offertepagina vermelden dat AI-tools worden gebruikt in de verwerking, met menselijke eindcontrole. - Medewerkers-training: één bijeenkomst van 30 minuten waarin wordt uitgelegd hoe de AI werkt, welke fouten hij maakt en wanneer je extra alert moet zijn.
Risicocategorie
: laag — administratieve ondersteuning is geen hoog-risicotoepassing.
Case 2 — Het recruitment-bureau in Veldhoven dat CV's filtert
Een wervingsbureau gebruikt een AI-tool die binnenkomende CV's automatisch beoordeelt op match met openstaande functies. Het bureau bemiddelt vooral hightech-functies in de Brainport-keten.
Wat moet er geregeld worden vóór 2 augustus:
- Dit is een hoog-risicotoepassing onder de AI Act (besluitvorming over werving en selectie). Het regime is uitgebreider. - Conformiteit van de geleverde tool checken — wordt deze door de leverancier als hoog-risicosysteem gepositioneerd? Zo niet, eigen toetsing nodig. - Risicobeheerprotocol intern vastleggen: hoe voorkom je discriminatie, hoe ga je om met bias in de scoring, hoe blijft een mens beslissingsbevoegd? - Transparantie naar kandidaten: in de bevestigingsmail wanneer ze solliciteren wordt vermeld dat hun CV door een AI wordt voorgescand. Recht op uitleg van de uitkomst en op menselijke herbeoordeling moeten zichtbaar zijn. - Logging: welke beslissingen zijn op AI-aanbeveling genomen, en welke door een mens gecorrigeerd?
Risicocategorie
: hoog — recruitment- en HR-toepassingen vallen expliciet onder de hoog-risico-bijlage van de wet.
Case 3 — Het autobedrijf in Bladel dat foto's gebruikt voor schadetaxatie
Een autobedrijf met een eigen schadeafdeling werkt met een AI-systeem dat schadefoto's analyseert en een eerste taxatie genereert. Het systeem leert van eerdere taxaties en dossiers van het bedrijf.
Wat moet er geregeld worden vóór 2 augustus:
- Klanttransparantie: in de schade-intake vermelden dat een AI een eerste taxatie maakt en dat de uiteindelijke prijsstelling door een schade-expert wordt bevestigd. - Documentatie: één pagina interne beschrijving van hoe het systeem werkt, welke datasets gebruikt zijn (eigen dossiers, eventueel openbare bronnen), wat de bekende beperkingen zijn (bijvoorbeeld: minder accuraat bij oldtimers). - Bias-controle: af en toe steekproefsgewijs vergelijken of AI-taxaties significant afwijken voor specifieke automerken of klantgroepen — niet als grote audit, wel als continue alertheid. - Bewaartermijnen voor foto's en taxaties vastleggen; AVG-regels gelden onverminderd.
Risicocategorie
: laag tot middel — productondersteunende analyse, geen direct besluitvormend systeem voor mensen.
Case 4 — De webwinkel in Hapert die productfoto's automatisch genereert
Een online winkel die werkkleding en arbeidsmiddelen verkoopt gebruikt AI-tools om productfoto's te bewerken (achtergrond verwijderen, kleuraanpassingen, stijlvariaties genereren). De resultaten worden gepubliceerd op de webshop en sociale media.
Wat moet er geregeld worden vóór 2 augustus:
- Transparantie: AI-gegenereerde of -bewerkte beelden moeten als zodanig herkenbaar zijn voor de klant. Dat hoeft geen prominente waarschuwing te zijn, maar in productpagina-disclaimers of metadata wel zichtbaar. - Auteursrechten check: de gegenereerde beelden mogen geen elementen overnemen uit auteursrechtelijk beschermde bronnen. De meeste commerciële AI-tools hebben hier eigen voorwaarden voor — even nalezen. - Watermerking voor zover de leverancier dit ondersteunt — bijvoorbeeld de C2PA-standaard die door grote AI-toolaanbieders wordt geadopteerd. - Geen claims maken over fysieke producten op basis van enkel AI-generaties (bijvoorbeeld: een veiligheidskleur die nooit met de echte stof is getest).
Risicocategorie
: laag — geen impact op rechten van mensen, beperkte transparantieplicht.
Case 5 — De AI-startup in Eindhoven die een eigen tool levert
Een softwarebedrijf in Eindhoven levert een AI-platform aan transportbedrijven voor route-optimalisatie. Klanten zijn MKB-bedrijven in en buiten de Kempen.
Wat moet er geregeld worden vóór 2 augustus:
- Dit bedrijf is provider — het regime is fors uitgebreider dan voor deployers. - Conformiteitsbeoordeling: hoort het systeem in de hoog-risico-categorie (route-optimalisatie voor menselijk transport: nee als het puur logistiek is, wel als het personenvervoer betreft)? - Technische documentatie: dataset-beschrijving, model-architectuur, evaluatie-resultaten, beperkingen — vereist voor providers. - Post-market-monitoring: hoe worden incidenten in productie gemeld, hoe wordt het model bij drift bijgesteld? - Klantcontracten herzien: provider-deployer-rolverdeling, klanttraining, support-verplichtingen. - CE-markering aanvragen waar van toepassing.
Risicocategorie
: provider-regime, mogelijk hoog-risico afhankelijk van toepassing. Voor AI-startups is professioneel juridisch advies bij dit type traject vrijwel altijd het geld waard.
De minimale beleidsregel — één A4 voor het hele bedrijf
Voor het overgrote deel van het MKB volstaat één eenvoudig intern document. Dit is de minimale invulling die in onze observatie van Kempische MKB-bedrijven werkt:
> AI-gebruiksregels [Bedrijfsnaam] — vastgesteld [datum], herzien [jaarlijks] > > 1. Welke AI-tools gebruiken wij intern: [lijst, bijvoorbeeld: ChatGPT (OpenAI), Microsoft Copilot, factuurherkenning Moneybird, chatbot website (leverancier X), beeldbewerking Adobe Firefly] > 2. Wat we ermee doen: [korte omschrijving per tool] > 3. Wat we niet met AI doen: [lijst — bijvoorbeeld: definitief beslissen over personeelszaken zonder menselijk oordeel, klanten persoonlijke informatie verwerken zonder hun toestemming, juridische adviezen genereren en doorgeven zonder menselijke check] > 4. Welke gegevens we niet in AI-tools invoeren: [lijst — persoonsgegevens van derden, bedrijfsgevoelige informatie van klanten, broncode van klantsystemen, etc.] > 5. Hoe medewerkers worden getraind: [eenmalige sessie bij in dienst treden, jaarlijkse herhaling, intern aanspreekpunt vragen] > 6. Hoe wij klanten informeren: [verwijzing naar website-disclaimer of standaardpassage in algemene voorwaarden] > 7. Hoe wij omgaan met fouten: [meldingsroute, leeractie] > 8. Verantwoordelijke binnen het bedrijf: [naam + functie]
Dat is het. Eén pagina, ondertekend door de directeur, gedeeld met alle medewerkers, jaarlijks herzien. Voor 95% van de Kempische MKB-bedrijven dekt dit de transparantie-, bewustwordings- en documentatieplicht.
Wat we sinds januari 2026 al weten over de toezichtsaanpak
In de eerste maanden van 2026 zijn er nog geen handhavingsbesluiten gepubliceerd — dat zou ook prematuur zijn voor een wet die pas in augustus echt in werking treedt. Maar uit verschillende signalen kunnen we wel een richting opmaken:
- De Autoriteit Persoonsgegevens (AP) — die in Nederland een kerntaak in het AI-Act-toezicht heeft — is in maart begonnen met het publiceren van guidance. Vooralsnog gericht op overheden en grote organisaties; voor MKB-specifieke richtlijnen wachten we nog. De toon: pragmatisch, met focus op kwaadwillendheid in plaats van procedurele perfectie.
- Op Europees niveau is de AI Office actief gestart met sector-werkgroepen, waarvan de eerste publicaties (over de definitie van "AI-systeem", over risicocategorisatie) worden meegenomen in nationale guidance.
- In Vlaanderen loopt een vergelijkbaar traject via de Belgische Gegevensbeschermingsautoriteit, in samenwerking met de Vlaamse digitalisatie-organisaties. Voor wie aan beide kanten van de Kempen werkt: de regelgeving is identiek, maar de toezichthoudende instanties verschillen.
De algemene boodschap die uit gesprekken met juridische adviseurs en sectorverenigingen oprijst: de toezichthouders zijn niet uit op het straffen van mkb-bedrijven die hun best doen. De handhaving wordt naar verwachting eerst gericht op grote spelers, op sectoren met evidente misstanden en op duidelijke kwaadwillendheid (zoals het verzwijgen van een AI in besluitvormingsprocessen waar dat juist zichtbaar moet zijn).
Dat betekent niet dat MKB-bedrijven hun voorbereidingen kunnen overslaan. Maar het betekent wel dat een eerlijke poging — zoals het invullen van het minimale beleidsdocument hierboven, een medewerkers-training en transparantie naar klanten — in de praktijk een sterke positie geeft. Wie kan aantonen dat hij in 2026 actief de wet heeft gevolgd, hoort zeer waarschijnlijk niet bij de eerste handhavingsdoelen.
De T-100-checklist
Honderd dagen voor de deadline (vandaag minus 5 dagen, dus eigenlijk T-95): een werkbare opbouw voor de komende drie maanden.
Maand 1 (mei 2026, T-100 tot T-70)
: - [ ] Inventariseer welke AI-tools je nu gebruikt (incl. tools die "AI" niet expliciet in de naam hebben — Microsoft Copilot, smart-search, classificatie-tools) - [ ] Bepaal of er een hoog-risicotoepassing tussen zit (recruitment, kredietverlening, gezondheid, biometrie, kritieke infra) - [ ] Vraag bij elke leverancier de conformiteitsverklaring of CE-markering op (voor providers van high-risk AI) - [ ] Schrijf eerste concept-versie van je AI-gebruiksregels (één A4)
Maand 2 (juni 2026, T-70 tot T-40)
: - [ ] Bespreek het concept met je team — wat klopt niet, wat ontbreekt? - [ ] Werk de website-disclaimer of algemene voorwaarden bij waar AI-gebruik relevant is voor klanten - [ ] Plan een korte medewerkers-sessie (30-45 minuten) over verantwoord AI-gebruik - [ ] Voor hoog-risicotoepassingen: schakel een gespecialiseerd jurist in voor de specifieke route
Maand 3 (juli 2026, T-40 tot T-1)
: - [ ] Voer de medewerkers-sessie uit - [ ] Stel het AI-beleidsdocument formeel vast (handtekening directie) - [ ] Communiceer naar klanten waar relevant - [ ] Vooraf voor 2 augustus: documenteer wat je gedaan hebt — datum, deelnemers van de sessie, versies van documenten. Bij een eventuele toetsing telt aantoonbare voorbereiding zwaarder dan perfectie.
Wat als je net niet klaar bent op 2 augustus?
In de meeste handhavingsregimes — zo ook bij de AVG sinds 2018 — wordt een eerlijke, gedocumenteerde voorbereiding belangrijker geacht dan harde deadlines. Wie op 2 augustus halverwege is met implementatie maar kan aantonen dat hij ermee bezig is, loopt geen significant risico op directe sanctionering. Wie ervoor heeft gekozen niets te doen en een klacht of melding krijgt, staat zwakker.
Het pragmatische advies: zorg dat je op 2 augustus minimaal het beleidsdocument hebt en een medewerkers-sessie hebt gehouden. De rest mag je in september verfijnen. Wat je niet wilt is op 2 augustus geen enkel papier kunnen overleggen — dat is wat een handhaver een serieus signaal vindt.
Verder lezen
- EU AI Act voor het Kempische MKB — praktijkcheck — meer detail over de vier acties en de checklist
- AI Act stappenplan voor MKB — de juridisch-inhoudelijke uitleg met alle risicocategorieën en provider-deployer-onderscheid
- AI en de AVG — wat mag wel — privacyregels die naast de AI Act onverminderd gelden
- AI-tools voor ondernemers slimmer werken — praktisch overzicht van de tools die de meeste MKB-bedrijven nu gebruiken
- AI-valkuilen — hallucinaties, bias en checkprotocol — voor de bewustwordingssessie met je team
Bronnen
: Verordening (EU) 2024/1689 van het Europees Parlement en de Raad (de "AI Act", eur-lex.europa.eu), Autoriteit Persoonsgegevens guidance over AI (autoriteitpersoonsgegevens.nl), AI Office Europese Commissie (digital-strategy.ec.europa.eu/en/policies/ai-office), Belgische Gegevensbeschermingsautoriteit (gegevensbeschermingsautoriteit.be).
Dit artikel is opgesteld met AI-assistentie. Claude controleert feiten tegen de bronnen die we aanwijzen — maar er blijft een restrisico op onjuistheden. Zie je iets wat niet klopt? Lees hoe we AI op deze site gebruiken.
Richard Theuws
Oprichter van Ondernemen in de Kempen. Ondernemer, spreker en strateeg uit Bladel.
Meer over Richard op theuws.comBedrijven in de Kempen
Geverifieerde ondernemers uit onze bedrijvengids
Analyst ICT
Eindhoven
ICT automatisering gaat verder dan alleen een digitale oplossing. Bij Analyst ge...
We/Provide
Bergeijk
We/Provide is een internetbureau. Een allround bureau op online gebied. Voordat...
Avelco ICT Diensten
Veldhoven
Er zijn in Nederland 10.000 ICT Bedrijven actief. Waarom Avelco? De volgend punt...
NixoWebBuilding
Bergeijk
Betaalbare, professionele websites op WordPress en Wix voor ondernemers in de Ke...
Rods
Bladel
Ron’s Digitale Service Informatie. Communicatie. Technologie. ICT, een onmisbaar...
Meer uit de bedrijvengids
