EU AI Act voor het MKB, praktisch stappenplan voor 2026-2027
De EU AI Act is de eerste grote wet ter wereld die specifiek over kunstmatige intelligentie gaat. Vanaf 2 augustus 2026 is het hoofddeel van kracht, en dan is niet-compliance niet langer een theoretisch risico. Voor grote techbedrijven is de impact enorm, maar ook voor een gemiddeld MKB in de Kempen verandert er iets. De vraag is alleen: wat precies, en wat moet je wanneer doen?
De wet zelf is ruim driehonderd pagina's dik en zit vol met juridisch Engels. Voor de meeste ondernemers in de regio is dat onleesbaar, en gelukkig ook niet nodig. Wat je wél nodig hebt is een praktisch stappenplan: welke categorie val je in, wat moet je uiterlijk februari 2026 geregeld hebben, wat kan tot augustus wachten, en waar haal je hulp als het nodig is?
Dit artikel is dat actieplan. Voor de wet-inhoudelijke toelichting verwijs ik naar het eerdere artikel EU AI Act voor het MKB, wat verandert er in augustus 2026 op deze site. Hier gaat het om: wat doe je wanneer, en hoe pak je het praktisch aan.
Geldt de wet voor jou? (beslismatrix)
Eerst de hamvraag. Niet elk MKB hoeft hetzelfde te doen. Er zijn twee rollen in de wet, en daarbinnen vier risicocategorieën. Jouw combinatie bepaalt wat je moet regelen.
De eerste vraag: ben je een provider of een deployer? Een provider is iemand die een AI-systeem op de markt brengt onder eigen naam of merk. Een deployer is iemand die AI gebruikt in zijn bedrijf, maar de tool zelf niet bouwt. Voor de overgrote meerderheid van het Kempische MKB geldt: je bent deployer, niet provider. Dat is goed nieuws, want voor deployers is het regime aanzienlijk lichter.
Ben je deployer? Ga naar het stappenplan verderop. Ben je provider (bijvoorbeeld een SaaS-bouwer in Eindhoven-rand die een eigen AI-chatbot verkoopt), dan gelden aanvullende verplichtingen waarover verderop meer.
De risicocategorieën, waar val jij in?
De wet deelt AI-systemen in vier risicocategorieën in. Welke categorie je bent, bepaalt wat je moet doen.
| Risicocategorie | Voorbeelden | Wat moet je doen? |
|---|---|---|
| Onacceptabel risico (verboden) | Social scoring, manipulatieve AI, realtime biometrische herkenning in publieke ruimte | Per 2 februari 2026 verboden. Niet gebruiken. |
| Hoog risico | HR-selectie, kredietbeoordeling, onderwijs-beoordeling, medische diagnose, kritieke infrastructuur | Strikte regime: risicoanalyse, documentatie, menselijk toezicht, registratie in EU-database. |
| Beperkt risico (transparantieplicht) | Chatbots met klanten, deepfakes, AI-gegenereerde content | Gebruikers moeten weten dat ze met AI communiceren. Labeling verplicht. |
| Minimaal risico | Tekst genereren, spam-filter, AI in videogames, productiviteitstools | Geen specifieke verplichtingen, behalve algemene AI-literacy. |
Voor het overgrote deel van de Kempische MKB's zit de AI-inzet in categorie "minimaal risico" (tekst schrijven, beelden genereren, mails samenvatten) of "beperkt risico" (een klant-chatbot op je website). Dat scheelt. Maar er zijn uitzonderingen die je wel moet kennen.
Hoog-risico situaties
die in het MKB voorkomen:
- Uitzendbureau dat AI gebruikt voor CV-screening of kandidaat-selectie
- Administratiekantoor of bank-kantoor dat AI inzet voor kredietbeoordeling van ondernemers
- Zorgpraktijk die AI gebruikt voor diagnose-ondersteuning
- Onderwijsinstelling of kinderopvang die AI inzet voor leerling-beoordelingen
- Verzekeringskantoor dat AI gebruikt voor risico-inschatting bij polisafsluiting
Als je in één van deze groepen valt, is het regime zwaarder. Zo niet, dan is de hoofdverplichting voor jou: AI-literacy en transparantie.
Verplichting 1: AI-literacy (artikel 4)
Vanaf 2 februari 2026 zegt artikel 4 van de AI Act dat alle medewerkers die AI gebruiken "voldoende AI-geletterd" moeten zijn. Dit geldt voor élke organisatie die AI inzet, ongeacht grootte of sector. Voor een bakker in Hapert met twee medewerkers die ChatGPT gebruikt, en voor een bouwbedrijf in Bladel met vijftien man, geldt hetzelfde principe.
Wat betekent "voldoende AI-geletterd"? De wet is daar bewust niet te specifiek in. Maar op basis van de guidelines die de Commissie inmiddels heeft gepubliceerd, komt het neer op drie dingen:
Begrip van wat AI wel en niet kan
: medewerkers moeten weten dat AI kan hallucineren, dat output altijd gecontroleerd moet worden, dat het geen bron voor harde feiten is. Dit is de basis.
Kennis van de specifieke tool
: wat voor AI gebruik je? Wat zijn de beperkingen van die tool? Welke data mag je er wel en niet in stoppen?
Risicobewustzijn
: wat is het risico als AI fout zit? Voor een marketingtekst: klein. Voor een contractvoorstel aan een klant: groot.
Voor grotere MKB's of sectoren met hoger risico (zorg, financieel) kan een uitgebreidere training nodig zijn. De branche-organisaties publiceren inmiddels eigen curricula, en er zijn commerciële aanbieders. Ook de Brabantse Ontwikkelings Maatschappij (BOM) en het Digital Trust Center bieden bepaalde trainingen aan, soms gesubsidieerd voor MKB.
Verplichting 2: Transparantie bij beperkt-risico AI
Als je AI gebruikt in een situatie waarbij eindgebruikers er direct mee interacteren, moet je dat kenbaar maken. De wet onderscheidt drie gevallen.
Chatbots
: als je op je website een AI-chatbot hebt die met klanten praat, moet die zich identificeren als AI. Een zin als "Hallo, ik ben de AI-assistent van [bedrijf]. Voor complexe vragen verbind ik je graag door met een medewerker" volstaat. Verstopt laten dat het AI is, mag niet meer.
Deepfakes en AI-gegenereerde media
: als je een AI-gegenereerd beeld, video of audio publiceert die er realistisch uitziet, moet je dat labelen. Voor stockfoto-achtige illustraties is een vermelding in je credits voldoende. Voor video's waarin mensen lijken te spreken is een duidelijke overlay of watermerk vereist.
AI-gegenereerde teksten
: als je publieke of journalistieke teksten publiceert die grotendeels door AI zijn geschreven, hoor je daar transparant over te zijn. Voor een marketingtekst op je eigen website is de lat lager dan voor een nieuwsartikel.
Voor een installateur in Valkenswaard die een chatbot op de website heeft voor eerste klantvragen: voeg de AI-disclosure toe in de intro-bubbel. Klaar. Voor een webshop in Bergeijk met AI-gegenereerde productfoto's: vermeld in de footer of productbeschrijving dat beelden AI-gegenereerd zijn. Voor een B&B in Netersel met AI-herschreven reviews: niet doen, dat raakt eerder aan reclame-recht dan AI Act.
Verplichting 3: Documentatieplicht (voor hoog-risico)
Als je écht in de hoog-risico categorie valt, verandert er meer. Dit is het strikte regime:
Risicoanalyse
: documenteer welke risico's de AI met zich meebrengt voor betrokkenen. Voor HR-selectie: risico op discriminatie, privacy-inbreuk, onjuiste afwijzing. Voor kredietbeoordeling: risico op onjuiste inschatting, discriminatie, onvoldoende transparantie naar de klant.
Menselijk toezicht
: de AI mag niet autonoom definitieve beslissingen nemen in hoog-risico situaties. Er moet altijd een mens zijn die de uitkomst toetst en de eindbeslissing neemt. Concreet: een uitzendbureau mag AI wél gebruiken om CV's voor te sorteren, maar niet om kandidaten definitief af te wijzen zonder menselijke review.
Technische documentatie
: over het systeem zelf moet je informatie kunnen aanleveren. Voor deployers is dit vaak terug te leiden naar de provider (de tool-leverancier), maar je bent wel verplicht om die documentatie te verzamelen en te bewaren.
Data governance
: welke data is gebruikt om het systeem te trainen? Is die representatief? Zijn er bias-risico's? Dit is vooral een provider-verplichting, maar deployers moeten kunnen aantonen dat ze gekozen hebben voor een systeem dat hieraan voldoet.
Registratie in EU-database
: bepaalde hoog-risico systemen moeten worden aangemeld in een EU-brede database. Voor de meeste MKB-deployers wordt die registratie door de provider gedaan, maar check dat bij je leverancier.
Voor het overgrote deel van de Kempische MKB's is dit niet van toepassing. Maar wees kritisch: denk je dat je een hoog-risico toepassing hebt, laat dan kort een AVG-jurist of AI-specialist meekijken. De boetes voor niet-compliance in deze categorie zijn aanzienlijk.
Het stappenplan voor 2026
Hieronder een maand-voor-maand planning. Pas aan naar je eigen situatie, maar gebruik het als draaiboek.
- Januari 2026: inventariseer welke AI-tools je (en je team) gebruikt. Vraag expliciet rond, want de praktijk is dat collega's dingen testen zonder het te zeggen. Maak een lijst: tool, doel, wie gebruikt het, welke data gaat erin.
- Januari-februari 2026: categoriseer elk tool in risiconiveau. Gebruik de tabel hierboven. Voor de meeste tools kom je uit op "minimaal risico" of "beperkt risico".
- Vóór 2 februari 2026: rond AI-literacy training af voor alle medewerkers die AI gebruiken. Documenteer wie heeft deelgenomen. Dit is nu wettelijk verplicht.
- Februari 2026: check of je toepassingen hebt die onder de verboden categorie vallen (zie warning hierboven). Zo ja, stopzetten.
- Maart-april 2026: pas je privacy-statement, algemene voorwaarden en (waar nodig) arbeidsovereenkomsten aan. Vermeld AI-gebruik transparant.
- Mei-juli 2026: voor chatbots en AI-gegenereerde content: implementeer transparantie-labels. Zorg dat eindgebruikers weten wat ze voor zich hebben.
- Juli 2026: volledige compliance-check voor de 2 augustus deadline. Doorloop je checklist (verderop). Los laatste puntjes op.
- 2 augustus 2026: het hoofddeel van de AI Act is van kracht. Vanaf nu kan de toezichthouder actief controleren en handhaven.
- Augustus-december 2026: monitor publicaties van de AP en sector-specifieke toezichthouders. In de eerste maanden zullen er verduidelijkingen komen over hoe de wet precies wordt uitgelegd.
- 2027 en verder: jaarlijkse review. Nieuwe tools erbij? Nieuwe guidance van toezichthouder? Jaarlijkse AI-literacy-refresher.
Als je AI-producten aanbiedt (provider)
Een kleinere groep in de Kempen valt in de provider-categorie. Dat zijn onder andere:
- SaaS-bouwers in Eindhoven-rand die een eigen AI-product verkopen
- Consultants die white-label AI-oplossingen leveren aan klanten
- Bedrijven die een AI-model trainen op eigen data en dat als dienst aanbieden
- Bureaus die AI-gegenereerde content als product verkopen
Voor providers is het regime aanzienlijk uitgebreider. Naast alles wat een deployer moet, moet een provider ook:
CE-conformiteitsmarkering
aanbrengen op het product (zoals je ook bij fysieke producten hebt).
Technische documentatie
volledig zelf opstellen (Annex IV van de wet specificeert wat erin moet).
Post-market monitoring
: een systeem om issues na marktintroductie te detecteren en te rapporteren.
Incident-rapportage
: serieuze problemen moeten binnen 15 dagen aan de toezichthouder gemeld worden.
EU-vertegenwoordiger
: als je buiten de EU gevestigd bent maar wel in de EU verkoopt, moet je een EU-vertegenwoordiger aanwijzen.
Dit is echt juristenwerk. Als je provider bent, plan een gesprek met een gespecialiseerd AI-jurist. De Europese Commissie heeft een handreiking voor MKB-providers gepubliceerd op digital-strategy.ec.europa.eu die een goed startpunt is, maar dit niet vervangt.
Sancties: wat kost niet-compliance?
De boetes zijn substantieel. De wet onderscheidt drie niveaus.
Onacceptabel gebruik
(verboden AI-toepassingen): tot 7% van de wereldwijde jaaromzet of € 35 miljoen, afhankelijk van welke hoger is. Voor een MKB met € 2 miljoen omzet is dat € 140.000 als de 7% gehanteerd wordt.
Hoog-risico non-compliance
(niet voldoen aan de documentatie- en toezichtseisen): tot 3% wereldwijde omzet of € 15 miljoen. Voor hetzelfde MKB: € 60.000.
Informatie-verstrekking en medewerking
(onjuiste of onvolledige informatie aan toezichthouder): tot 1,5% wereldwijde omzet of € 7,5 miljoen.
Maar: onderschat het niet. Zelfs een boete van enkele duizenden euro's kan een kleinbedrijf pijn doen, en de reputatieschade bij een publieke handhaving is vaak groter dan de geldboete zelf. Doe het goed omdat het de moeite waard is, niet omdat je bang moet zijn.
Hulp en ondersteuning
Je staat er niet alleen voor. Er zijn verschillende instanties die hulp aanbieden aan MKB's, vaak gratis of tegen beperkte kosten.
Autoriteit Persoonsgegevens (AP)
: de Nederlandse toezichthouder publiceert op autoriteitpersoonsgegevens.nl handreikingen en FAQ's specifiek voor MKB. Sinds 2024 is er een aparte pagina over generatieve AI. De AP geeft geen individueel advies, maar de gepubliceerde richtsnoeren zijn een goede basis.
Digital Trust Center (DTC)
: onderdeel van het Ministerie van Economische Zaken, specifiek gericht op MKB-cybersecurity en digitale weerbaarheid. Op digitaltrustcenter.nl vind je gratis scans, whitepapers en een community. Voor AI-specifieke vragen breidt het DTC zijn aanbod uit.
Brabantse Ontwikkelings Maatschappij (BOM)
: voor Brabantse ondernemers is de BOM een eerste aanspreekpunt voor digitaliseringsvragen, inclusief AI. Er lopen meerdere programma's met (gedeeltelijk) subsidie voor AI-implementatie bij MKB. Kijk op bom.nl.
Rijksoverheid AI-coördinatiepunt
: in oprichting, bedoeld als één-loket voor AI-wetgevingsvragen. Check rijksoverheid.nl voor de actuele stand.
Branche-organisaties
: Koninklijke Horeca Nederland, Bouwend Nederland, MKB-Nederland, Koninklijke Metaalunie, Vereniging Nederlandse Gemeenten. De meeste hebben inmiddels sector-specifieke AI-handreikingen gepubliceerd of in de maak.
Lokale netwerken
: Kamer van Koophandel (kvk.nl) heeft een MKB-servicedesk met AI-spreekuren. Voor de regio Eindhoven is er ook BIS (Brainport Industries) en MKB Eindhoven.
Sector-specifieke aandachtspunten
Een aantal sectoren verdient extra aandacht omdat ze waarschijnlijk in de hoog-risico categorie vallen of daar dicht tegenaan zitten.
HR en uitzendbureaus
: kandidaat-screening en CV-selectie via AI zijn expliciet als hoog-risico benoemd. Als je in Bladel of Eindhoven een uitzendbureau runt en gebruik maakt van AI-screening, geldt het volledige hoog-risico regime. Menselijk toezicht op elke beslissing, bias-check, kandidaten informeren dat AI gebruikt is, mogelijkheid om bezwaar te maken.
Verzekering en financieel
: kredietbeoordeling en risico-scoring zijn hoog risico. Werk alleen met door DNB of AFM goedgekeurde systemen. Informeer klanten dat AI gebruikt wordt bij de beoordeling.
Zorg
: AI voor diagnose-ondersteuning is hoog risico. Daarnaast geldt NEN 7510 en het medisch beroepsgeheim. Voor huisartsen in Bergeijk, tandartsen in Bladel, fysiotherapeuten in Valkenswaard geldt dat AI alleen mag via zorgspecifieke, gecertificeerde tools.
Onderwijs en kinderopvang
: AI voor leerling- of kindbeoordelingen is hoog risico. Kinderopvang in Veldhoven die overweegt AI in te zetten voor observatie-rapportages: strikt regime.
Bouw, industrie, agrarisch, horeca, detailhandel
: meestal minimaal risico. Voor deze sectoren is de hoofdverplichting AI-literacy en, indien je een chatbot hebt, transparantie.
Zelf aan de slag: de 2026-checklist
Loop deze checklist door vóór 2 februari 2026 (voor de AI-literacy deadline) en opnieuw vóór 2 augustus 2026 (voor het hoofddeel).
- Inventarisatie: welke AI-tools worden binnen je bedrijf gebruikt? Lijst compleet?
- Rol: ben je voor elk tool deployer of provider?
- Risicoclassificatie: welk risiconiveau heeft elk tool voor jouw gebruik?
- Verboden toepassingen: zit er iets tussen wat verboden is per 2 februari 2026? Zo ja, gestopt?
- AI-literacy training: afgerond vóór 2 februari 2026? Gedocumenteerd (wie, wanneer, wat)?
- Transparantie: chatbots en AI-gegenereerde content correct gelabeld?
- Hoog-risico documentatie: als van toepassing, risicoanalyse, menselijk toezicht, technische documentatie op orde?
- AVG-compliance: gecombineerd met AVG-regels (verwerkersovereenkomst, register, privacy-statement)?
- Medewerker-afspraken: weten medewerkers wat wel en niet mag? Staat het in een interne richtlijn?
- Incident-procedure: weten medewerkers wat te doen als AI een fout maakt of er iets misgaat?
- Provider-verplichtingen (alleen indien van toepassing): CE-markering, technische documentatie, post-market monitoring?
- Jaarlijkse review: staat er een herinnering in de agenda voor 2027?
Voor meer verdieping: lees ook AI en de AVG, wat mag wel voor de privacy-kant van AI-inzet, en het oorspronkelijke wet-uitleg artikel EU AI Act voor het MKB, augustus 2026 voor wat er precies in de wet staat.
Bronnen
: EU AI Act (Verordening 2024/1689) via eur-lex.europa.eu, Europese Commissie AI-beleid op digital-strategy.ec.europa.eu, Autoriteit Persoonsgegevens op autoriteitpersoonsgegevens.nl, Digital Trust Center op digitaltrustcenter.nl, Brabantse Ontwikkelings Maatschappij op bom.nl.
Dit artikel is opgesteld met AI-assistentie. Claude controleert feiten tegen de bronnen die we aanwijzen — maar er blijft een restrisico op onjuistheden. Zie je iets wat niet klopt? Lees hoe we AI op deze site gebruiken.
Richard Theuws
Oprichter van Ondernemen in de Kempen. Ondernemer, spreker en strateeg uit Bladel.
Meer over Richard op theuws.comBedrijven in de Kempen
Geverifieerde ondernemers uit onze bedrijvengids
Market-it
Bladel
De diensten van Market-it variëren van grafisch ontwerp en webdesign tot advies...
Rods
Bladel
Ron’s Digitale Service Informatie. Communicatie. Technologie. ICT, een onmisbaar...
TechRenter
Lille
Webdesign- & Marketingbureau in Lille
versID Communicatie
Bladel
Marketing- reclamebureau en technische documentatie in Bladel.
We/Provide
Bergeijk
We/Provide is een internetbureau. Een allround bureau op online gebied. Voordat...
NixoWebBuilding
Bergeijk
Betaalbare, professionele websites op WordPress en Wix voor ondernemers in de Ke...
Meer uit de bedrijvengids