Ga naar hoofdinhoud
Ondernemen in de Kempen logoOndernemen in de Kempen
EU AI Act: wat moet jouw bedrijf regelen voor augustus 2026?
Digitaal & technologie

EU AI Act: wat moet jouw bedrijf regelen voor augustus 2026?

Richard Theuws12 april 20268 min leestijd

De Europese Unie heeft met de AI Act de eerste uitgebreide AI-wetgeving ter wereld aangenomen. Deze verordening raakt niet alleen techbedrijven en multinationals — ook als MKB'er in de Kempen die ChatGPT gebruikt voor klantcommunicatie, een AI-chatbot op de website heeft of sollicitaties laat screenen met AI-software, val je onder deze wet. De belangrijkste deadline voor het merendeel van de verplichtingen is augustus 2026.

Wat is de EU AI Act?

De AI Act (officieel: Verordening (EU) 2024/1689) is een Europese verordening die eisen stelt aan de ontwikkeling en het gebruik van kunstmatige intelligentie. De wet is op 1 augustus 2024 in werking getreden en wordt gefaseerd van kracht. Het doel is om AI veilig en betrouwbaar te maken, zonder innovatie onnodig te remmen.

De AI Act werkt met een risicogebaseerde aanpak: hoe hoger het risico van een AI-systeem, hoe strenger de eisen. Dit betekent dat niet elke toepassing dezelfde verplichtingen met zich meebrengt — maar vrijwel elk bedrijf dat AI gebruikt heeft minimaal te maken met de basisverplichtingen.

Welke deadlines gelden er?

De AI Act wordt gefaseerd ingevoerd. Dit is het volledige tijdpad:

| Datum | Wat treedt in werking | Impact voor MKB | |-------|----------------------|-----------------| | 2 februari 2025 | Art. 4: AI-geletterdheid + verboden AI-praktijken (definitie) | Hoog — je moet nu al aan AI-geletterdheid werken | | 2 augustus 2025 | Verbod op onaanvaardbaar risico AI | Middel — controleer of je geen verboden AI gebruikt | | 2 augustus 2026 | Eisen voor hoog-risico AI-systemen, transparantieverplichtingen | Hoog — grootste pakket verplichtingen | | 2 augustus 2027 | Volledige handhaving, inclusief embedded AI in producten | Hoog — alles moet op orde zijn |

Let op: de datum van 2 februari 2025 is al gepasseerd. Dit betekent dat de AI-geletterdheidsverplichting (artikel 4) al geldt. Veel ondernemers zijn zich hier niet van bewust.

Val ik als MKB'er onder de AI Act?

Ja, vrijwel zeker. De AI Act maakt onderscheid tussen drie rollen:

  • Aanbieder (provider): wie een AI-systeem ontwikkelt of op de markt brengt
  • Gebruiksverantwoordelijke (deployer): wie een AI-systeem inzet in de bedrijfsvoering
  • Importeur/distributeur: wie een AI-systeem uit een derde land invoert

Als MKB'er ben je bijna altijd een "deployer" — een gebruiksverantwoordelijke. Gebruik je een van de volgende tools? Dan val je onder de AI Act:

  • ChatGPT, Claude of Gemini voor e-mails, offertes of content
  • Microsoft Copilot in Office 365
  • AI-chatbots op je website (Tidio, Intercom, Zendesk AI)
  • AI-boekhoudsoftware die facturen automatisch categoriseert
  • Geautomatiseerde e-mailfilters met AI-classificatie
  • AI-gestuurde recruitment tools (CV-screening, matching)
  • AI-beeldgeneratie voor marketingmateriaal

Het feit dat je de AI niet zelf hebt gebouwd, ontslaat je niet van verantwoordelijkheid. Als deployer moet je ervoor zorgen dat je AI-systemen correct en volgens de wet gebruikt.

Wat is de AI-geletterdheidsverplichting?

Artikel 4 van de AI Act vereist dat organisaties die AI-systemen gebruiken zorgen voor een "voldoende niveau van AI-geletterdheid" bij hun personeel. Deze verplichting geldt sinds 2 februari 2025 — hij is dus al van kracht.

Concreet betekent dit: - Medewerkers die met AI werken moeten begrijpen wat AI kan en niet kan - Ze moeten de risico's kennen (hallucinaties, bias, privacyschending) - Ze moeten weten wanneer menselijke controle nodig is - De organisatie moet dit aantoonbaar hebben geregeld (training, handleiding, beleid)

Wat moet je doen? 1. Inventariseer welke medewerkers met AI-tools werken 2. Stel een kort AI-beleid op (mag/moet/mag niet) 3. Organiseer een basistraining (intern of via een externe aanbieder) 4. Documenteer dit — bewaar trainingsregistraties en beleiddocumenten

Voor een klein bedrijf met 5 medewerkers hoeft dit geen groot project te zijn. Een eenvoudige handleiding van twee A4'tjes plus een teamoverleg van een uur kan al voldoende zijn. Lees ook ons artikel over AI-tools voor ondernemers voor een overzicht van veelgebruikte AI-toepassingen.

Hoe werken de risicoklassen?

De AI Act verdeelt AI-systemen in vier risicoklassen. Elk niveau brengt andere verplichtingen met zich mee:

| Risicoklasse | Beschrijving | Voorbeelden | Gevolg | |-------------|-------------|-------------|--------| | Onaanvaardbaar risico | AI die fundamentele rechten schendt | Social scoring, real-time biometrische surveillance op publieke plaatsen, manipulatie van kwetsbare groepen | Verboden vanaf augustus 2025 | | Hoog risico | AI in kritieke sectoren met grote impact op individuen | CV-screening, kredietbeoordeling, medische diagnose, AI in onderwijs (toetsing), veiligheidscomponenten in machines | Strenge eisen: conformiteitsbeoordeling, logging, menselijk toezicht, transparantie | | Beperkt risico | AI met transparantieverplichtingen | Chatbots, deepfakes, emotieherkenning | Gebruikers moeten weten dat ze met AI communiceren | | Minimaal risico | AI zonder specifieke verplichtingen | Spamfilters, AI in games, vertaalsoftware, AI-gestuurde aanbevelingen | Geen specifieke eisen (wel AI-geletterdheid) |

Voor de meeste MKB'ers geldt: je gebruikt AI met minimaal of beperkt risico. Maar let op — als je AI inzet voor personeelswerving (CV-screening) of kredietbeoordeling van klanten, werk je met hoog-risico AI en gelden strengere eisen.

Wat moet ik concreet doen? 6 stappen

Hier is een praktische checklist om je bedrijf voor te bereiden op de AI Act:

Stap 1: Inventariseer je AI-gebruik (doe dit nu)

Maak een lijst van alle AI-tools die je bedrijf gebruikt. Denk breder dan "AI" — ook slimme filters, automatische categorisering en voorspellende functies in bestaande software tellen mee. Noteer per tool: wat het doet, wie het gebruikt, en welke data erin gaat.

Stap 2: Classificeer het risico (doe dit nu)

Bepaal per AI-tool in welke risicoklasse deze valt. Voor de meeste MKB-toepassingen zal dat "minimaal" of "beperkt" risico zijn. Gebruik de tabel hierboven als leidraad. Bij twijfel: raadpleeg de Europese Commissie's AI Act Compliance Checker.

Stap 3: Regel AI-geletterdheid (had al moeten gebeuren)

Zorg dat je team begrijpt wat AI is, wat de beperkingen zijn en hoe je het verantwoord gebruikt. Documenteer je trainingen. Dit is geen eenmalige actie — houd het actueel als je nieuwe tools introduceert.

Stap 4: Pas je privacybeleid aan (voor augustus 2026)

Als je AI-tools gebruikt die persoonsgegevens verwerken, moet je dit vermelden in je privacyverklaring. Dit overlapt met de AVG (GDPR), maar de AI Act voegt specifieke transparantieverplichtingen toe.

Stap 5: Informeer klanten (voor augustus 2026)

Gebruik je een chatbot op je website? Dan moet je duidelijk aangeven dat de bezoeker met een AI-systeem communiceert — niet met een mens. Genereer je content met AI (teksten, afbeeldingen)? In bepaalde gevallen moet je dit kenbaar maken.

Stap 6: Documenteer alles (doorlopend)

Houd een AI-register bij: welke systemen je gebruikt, waarvoor, wie verantwoordelijk is, en welke maatregelen je hebt genomen. Dit hoeft geen complex systeem te zijn — een gedeeld spreadsheet volstaat voor een klein bedrijf.

Welke boetes riskeer ik?

De AI Act kent forse boetes, vergelijkbaar met de AVG:

| Overtreding | Maximale boete | |------------|---------------| | Gebruik van verboden AI-systemen | EUR 35 miljoen of 7% van de wereldwijde jaaromzet | | Niet voldoen aan hoog-risico verplichtingen | EUR 15 miljoen of 3% van de wereldwijde jaaromzet | | Verstrekken van onjuiste informatie aan toezichthouders | EUR 7,5 miljoen of 1,5% van de wereldwijde jaaromzet |

Nuancering voor MKB'ers: de boetes zijn gemaximeerd aan de omzet, dus een ZZP'er met EUR 80.000 omzet riskeert geen boete van EUR 35 miljoen. De wet schrijft voor dat boetes "doeltreffend, evenredig en afschrikkend" moeten zijn. In de praktijk zal de toezichthouder bij een eerste overtreding van een klein bedrijf waarschijnlijk eerst waarschuwen. Maar reken er niet op — de AVG heeft laten zien dat ook MKB'ers boetes kunnen krijgen.

Zijn er uitzonderingen voor MKB-bedrijven?

De AI Act bevat enkele specifieke bepalingen voor kleinere bedrijven:

Regulatory sandboxes

EU-lidstaten moeten zogenaamde "regulatory sandboxes" opzetten — gecontroleerde testomgevingen waar bedrijven AI-systemen kunnen ontwikkelen en testen onder begeleiding van de toezichthouder. MKB'ers en startups krijgen hierbij voorrang.

Verlicht regime

Voor MKB'ers met minder dan 250 werknemers gelden vereenvoudigde procedures bij bepaalde documentatieverplichtingen. Dit geldt niet voor de inhoudelijke eisen (veiligheid, transparantie), maar wel voor de administratieve last.

Gratis toegang tot richtlijnen

De Europese Commissie en nationale toezichthouders zijn verplicht om gratis handleidingen, templates en tools beschikbaar te stellen voor MKB'ers. In Nederland is de Autoriteit Persoonsgegevens (AP) aangewezen als toezichthouder voor de AI Act.

Proportionaliteitsbeginsel

Boetes en handhavingsmaatregelen moeten proportioneel zijn aan de grootte en middelen van het bedrijf. Een eenmanszaak wordt anders behandeld dan een multinational.

Veelgestelde vragen over de AI Act

Moet ik stoppen met het gebruik van ChatGPT? Nee, absoluut niet. ChatGPT valt onder "minimaal risico" voor de meeste zakelijke toepassingen. Je moet er wel voor zorgen dat je medewerkers begrijpen wat ze doen (AI-geletterdheid), dat je geen vertrouwelijke klantgegevens invoert zonder toestemming, en dat je AI-gegenereerde content waar nodig als zodanig kenmerkt.

Ik heb een webshop met AI-aanbevelingen. Val ik onder hoog risico? Nee, productaanbevelingen vallen onder minimaal risico. Hoog risico geldt alleen voor AI die ingrijpende beslissingen neemt over personen — denk aan kredietbeoordeling, sollicitatiescreening of medische diagnose. Meer weten over automatisering in je bedrijf? Lees ons artikel over bedrijfsautomatisering.

Wat als mijn softwareleverancier niet AI Act-compliant is? Als deployer ben je medeverantwoordelijk. Vraag je leverancier om een verklaring of documentatie over AI Act-compliance. Grote partijen als Microsoft, Google en OpenAI werken hier al aan. Bij kleinere leveranciers is het verstandig om dit actief op te vragen.

Geldt de AI Act ook voor Belgische bedrijven? Ja. De AI Act is een Europese verordening en geldt direct in alle EU-lidstaten, inclusief België. Vlaamse ondernemers in de Kempen vallen onder exact dezelfde regels als hun Nederlandse collega's aan de andere kant van de grens.

Ik ben eenmanszaak met 0 werknemers. Geldt AI-geletterdheid dan ook? Ja, maar pragmatisch: als jij de enige gebruiker bent, ben jij degene die AI-geletterd moet zijn. Documenteer dat je op de hoogte bent van de risico's en beperkingen van de AI-tools die je gebruikt. Een kort intern beleidsdocument volstaat.

Verder lezen

RT

Richard Theuws

Oprichter van Ondernemen in de Kempen. Ondernemer, spreker en strateeg uit Bladel.

Meer over Richard op theuws.com
Terug naar Kennisbank
Menu
Profiel claimen — gratisAl een account? Inloggen
EU AI Act: wat moet jouw bedrijf regelen voor augustus 2026? | Ondernemen in de Kempen