Wat de EU AI Act betekent voor het MKB
De EU AI Act is de eerste alomvattende AI-wet ter wereld, en hij geldt óók voor het MKB. Het goede nieuws: voor de meeste organisaties zijn de verplichtingen te overzien, en de strengste deadlines zijn recent uitgesteld. Het minder goede nieuws: een aantal verplichtingen geldt nu al. Dit artikel geeft een nuchter overzicht.
Aanbieder of gebruiker? Dat bepaalt bijna alles
De AI Act maakt een kernonderscheid tussen aanbieders (organisaties die AI-systemen ontwikkelen of op de markt brengen) en gebruiksverantwoordelijken (organisaties die AI in hun bedrijfsvoering gebruiken). De meeste MKB-bedrijven zijn gebruiker: ze werken met ChatGPT, Microsoft Copilot, een recruitmenttool of AI-functies in bestaande software. De zwaarste verplichtingen rusten op aanbieders; als gebruiker is uw lijstje aanzienlijk korter.
Wat nu al geldt
Sinds 2 februari 2025 gelden er twee dingen voor elke organisatie die AI gebruikt. Ten eerste: een verbod op onaanvaardbare toepassingen, zoals emotieherkenning op de werkvloer, social scoring en manipulatieve systemen. Ten tweede, en vaak over het hoofd gezien: de AI-geletterdheidsplicht. Medewerkers die met AI werken moeten voldoende begrijpen wat de technologie wel en niet kan. In de praktijk betekent dit: een gebruikersbeleid plus basistraining, proportioneel aan uw organisatie.
Sinds 2 augustus 2025 gelden daarnaast regels voor aanbieders van general-purpose AI-modellen (zoals OpenAI, Google en Anthropic). Daar merkt u als MKB weinig direct van, maar het betekent wél dat uw leveranciers transparanter moeten zijn over hun modellen. Dat is nuttig bij toolselectie.
2 augustus 2026: transparantie
Vanaf 2 augustus 2026 gelden de transparantieverplichtingen. Gebruikt uw organisatie een chatbot die met klanten praat? Dan moet duidelijk zijn dat mensen met AI praten. Publiceert u AI-gegenereerde content of gebruikt u deepfake-achtige technieken? Dan is labeling verplicht. Voor de meeste MKB-bedrijven is dit de meest concrete verplichting op korte termijn, en eentje die snel te regelen is.
Hoog-risico: uitgesteld, niet afgesteld
De strengste categorie, hoog-risico AI zoals systemen voor werving en selectie, kredietbeoordeling of onderwijs, zou oorspronkelijk in augustus 2026 ingaan. In mei 2026 bereikten de EU-instellingen een voorlopig akkoord (de zogeheten Digital Omnibus) om deze eisen uit te stellen: naar 2 december 2027 voor zelfstandige hoog-risicosystemen en naar augustus 2028 voor AI die is ingebouwd in gereguleerde producten. Let op: zolang de omnibus niet formeel is aangenomen, blijven de oorspronkelijke data juridisch van kracht, maar de richting is helder.
Gebruikt uw organisatie een AI-tool in HR-processen, bijvoorbeeld om kandidaten voor te selecteren? Dan valt u als gebruiker in deze categorie. Het uitstel geeft lucht, maar het huiswerk blijft hetzelfde: menselijk toezicht, logging, en het volgen van de instructies van de aanbieder.
Vijf stappen die u nu kunt zetten
- Inventariseer: welke AI-tools worden er in uw organisatie gebruikt, inclusief de informele die medewerkers zelf hebben gevonden?
- Classificeer: toets per tool of die verboden, hoog-risico (vooral HR en financiën) of laag-risico is. De meeste tools blijken laag-risico.
- Regel AI-geletterdheid: een praktisch gebruikersbeleid en een korte training. Deze plicht geldt al.
- Toets uw chatbots en gegenereerde content aan de transparantieregels die vanaf augustus 2026 gelden.
- Vraag uw leveranciers om hun AI Act-documentatie. Aanbieders moeten u ondersteunen; maak daar gebruik van.
Dit artikel is een algemene introductie, gebaseerd op de stand van zaken in juli 2026, en is geen juridisch advies. Weten waar uw organisatie staat? Een eerste gesprek is vrijblijvend.
Weten wat de AI Act voor uw organisatie betekent?
Van inventarisatie tot werkbaar beleid: ik help u verplichtingen te vertalen naar heldere afspraken.