Aan de top van AI-ontwikkeling. Wij bouwen wat anderen nog niet durven.Plan gratis gesprek

EU AI Act voor het MKB: 5 stappen voor compliance (2026)

Maximilian Bladt 4 februari 2026

Leestijd: 11 minuten · Bijgewerkt: maart 2026

Samenvatting

De EU AI Act geldt voor elke organisatie die AI gebruikt, ook als je geen AI bouwt maar alleen bestaande tools inzet. Uit KVK-onderzoek (juni 2025, 651 respondenten) blijkt dat slechts 7% van de ondernemers goed op de hoogte is en maar 2-3% zich actief voorbereidt. De wet werkt met vier risiconiveaus: verboden, hoog risico, beperkt risico en minimaal risico. Sinds februari 2025 zijn AI-geletterdheid en het verbod op bepaalde toepassingen al van kracht. Op 2 augustus 2026 volgen de eisen voor hoog-risicosystemen en transparantieverplichtingen, met boetes die ook voor het MKB in de miljoenen kunnen lopen. Vijf basisstappen: maak een AI-register, classificeer per toepassing, train je team, stel een AI-beleid op en leg afspraken vast met je leveranciers.

De helft van de Nederlandse ondernemers kent de EU AI Act niet. Tegelijkertijd gebruikt 30% al actief AI-tools, vaak zonder enig beleid of besef van de wettelijke verplichtingen die daarbij horen. De eerste regels gelden al sinds februari 2025 en de volgende grote deadline valt op 2 augustus 2026.

Die kloof tussen gebruik en kennis is niet theoretisch. De EU AI Act geldt voor elke organisatie die AI inzet in de EU, ook als je alleen bestaande tools als ChatGPT of Copilot gebruikt. In dit artikel lees je wat de wet precies inhoudt, hoe het risicomodel werkt, welke deadlines er zijn en welke vijf concrete stappen je als MKB-ondernemer nu kunt zetten. Geen juridisch verhaal, maar een praktische checklist.

01 Context

Wat is de EU AI Act

De EU AI Act (Verordening EU 2024/1689) is de eerste uitgebreide AI-wetgeving ter wereld. De wet is op 1 augustus 2024 in werking getreden en wordt tot augustus 2027 gefaseerd ingevoerd. Het uitgangspunt: innovatie mogelijk maken, maar tegelijkertijd de veiligheid, grondrechten en transparantie borgen voor Europese burgers en bedrijven.

De wet hanteert een risicogebaseerd model. Hoe groter het risico dat een AI-toepassing vormt voor gezondheid, veiligheid of grondrechten, hoe zwaarder de verplichtingen. Er zijn vier niveaus: verboden toepassingen, hoog risico, beperkt risico (transparantieplicht) en minimaal risico. De meeste MKB-bedrijven die generatieve AI gebruiken vallen onder beperkt risico, wat relatief lichte maar concrete verplichtingen met zich meebrengt.

Wat veel ondernemers niet weten: de wet richt zich niet alleen op bedrijven die AI bouwen. Ook als je bestaande tools als ChatGPT, Copilot of een AI-chatbot op je website inzet, word je door de wet aangemerkt als deployer, oftewel gebruiksverantwoordelijke. Dat brengt eigen verplichtingen mee rondom transparantie, AI-geletterdheid en verantwoord gebruik. De ondernemer blijft eindverantwoordelijk, ook als de tool door een ander is ontwikkeld.

→

Provider vs. deployer: een provider ontwikkelt het AI-systeem of brengt het onder eigen naam op de markt. Een deployer zet het systeem in binnen de eigen organisatie. De zwaarste verplichtingen liggen bij de provider (documentatie, conformiteitsbeoordeling, CE-markering), maar deployers krijgen eigen verantwoordelijkheden. Pas je een AI-tool substantieel aan, bijvoorbeeld met eigen logica of aangepaste beslismodellen, dan kun je juridisch als provider worden aangemerkt.

02 Urgentie

Waarom het MKB nu moet handelen

De Kamer van Koophandel ondervroeg in juni 2025 651 ondernemers over hun kennis van en voorbereiding op de AI Act. De resultaten laten een scherpe tegenstelling zien tussen AI-adoptie en regelgevingskennis.

50%

van de Nederlandse ondernemers kent de EU AI Act niet. Slechts 7% is goed op de hoogte en maar 2-3% bereidt zich actief voor.

Bron: KVK Omnibus juni 2025 (n=651)

Tegelijkertijd groeit het gebruik snel. Drie op de tien ondernemers gebruiken inmiddels AI-tools als ChatGPT of Microsoft Copilot. In de zakelijke dienstverlening loopt dat op tot 46%. Een kwart van alle ondernemers verwacht dat generatieve AI strategisch belangrijk wordt voor hun bedrijf. Bij middelgrote bedrijven (10+ medewerkers) is dat zelfs de helft.

De kloof is het grootst bij zzp'ers en kleine MKB-bedrijven. Vier op de tien weten niet eens of de wet op hen van toepassing is. Ruim de helft van alle ondernemers zegt geen plannen te hebben om zich voor te bereiden. Bij middelgrote bedrijven ziet 44% wel impact aankomen, maar ook daar ontbreekt concrete actie.

Dat is problematisch, want de eerste verplichtingen gelden al. Sinds 2 februari 2025 zijn AI-geletterdheid en het verbod op bepaalde AI-praktijken (social scoring, subliminale manipulatie, emotieherkenning op de werkvloer) van kracht. Bedrijven die deze verplichtingen negeren lopen nu al risico, niet pas in 2026.

46%

van de zakelijke dienstverleners gebruikt al AI-tools. Maar ook in deze groep is de kennis van de AI Act laag.

Bron: KVK Omnibus juni 2025

Reputatierisico wordt onderschat. Boetes zijn het meest zichtbare risico, maar onjuist of ongecontroleerd AI-gebruik kan ook leiden tot discriminerende output, privacyschendingen of het verlies van klantvertrouwen. Een klant die ontdekt dat een chatbot geen mens is zonder dat dit werd gemeld, of een sollicitant die door AI wordt afgewezen zonder menselijke beoordeling, dat zijn scenario's die directe schade veroorzaken.

03 Framework

De vier risiconiveaus uitgelegd

De kern van de EU AI Act is het risicoclassificatiemodel. Per toepassing bepaal je in welke categorie die valt, en daarmee welke verplichtingen gelden. De indeling kijkt niet naar het type bedrijf of de bedrijfsgrootte, maar naar wat de AI-toepassing doet en welke impact die heeft op mensen.

Risiconiveau	Voorbeelden	Verplichtingen	Status
Onaanvaardbaar	Social scoring, subliminale manipulatie, emotieherkenning op werk/school	Volledig verboden	Geldt nu
Hoog risico	AI bij werving, kredietbeoordeling, onderwijs, zorg, veiligheid, biometrie	Documentatie, logging, menselijk toezicht, risicoanalyse, EU-registratie	Vanaf aug 2026
Beperkt risico	Chatbots, generatieve AI (ChatGPT, Copilot), AI-gegenereerde content	Transparantie: melden dat het AI is, content labelen	Vanaf aug 2026
Minimaal risico	Spamfilters, AI in games, aanbevelingssystemen	Geen extra verplichtingen	n.v.t.

De meeste MKB-bedrijven vallen met hun dagelijks AI-gebruik onder beperkt risico. Gebruik je ChatGPT om e-mails te schrijven, Copilot voor spreadsheets of een chatbot voor klantvragen? Dan gelden lichte maar concrete verplichtingen: klanten informeren dat ze met AI te maken hebben en AI-gegenereerde content als zodanig markeren. De ondernemer blijft eindverantwoordelijk voor correct gebruik, ook als de tool van een derde partij komt.

Het wordt zwaarder zodra AI een rol speelt in beslissingen over mensen. Gebruik je AI bij sollicitaties, voor kredietbeoordeling, in een medische context of voor veiligheidsmonitoring? Dan valt de toepassing waarschijnlijk onder hoog risico. De eisen zijn dan aanzienlijk: technische documentatie, automatische logging, menselijk toezicht, risicoanalyse en in bepaalde gevallen een Fundamental Rights Impact Assessment (FRIA). Registratie in de Europese AI-database wordt verplicht. In dat geval is het verstandig om een AI-implementatiepartner te betrekken die compliance meeneemt in het ontwerp.

→

Let op de grijze gebieden. Een chatbot die klantvragen beantwoordt valt onder beperkt risico. Maar zodra diezelfde chatbot begint te selecteren, prioriteren of beslissingen te nemen over personen, verschuift het naar hoog risico. De classificatie hangt niet af van de tool zelf, maar van hoe je die inzet. Documenteer daarom per toepassing het doel, de inputdata en of het systeem advies geeft of beslissingen ondersteunt.

04 Stappenplan

5 dingen die je als MKB-ondernemer nu moet regelen

Je hoeft geen jurist in te schakelen om te beginnen. De meeste verplichtingen voor het MKB zijn praktisch van aard en starten bij overzicht en bewustzijn. Deze vijf stappen vormen de basis die elke ondernemer nu kan zetten, ongeacht bedrijfsgrootte of sector.

Maak een AI-register

Breng in kaart welke AI-tools je organisatie gebruikt. Denk niet alleen aan ChatGPT of Copilot, maar ook aan AI-functies in je CRM, boekhoudpakket, e-mailtool, marketingplatform of klantenservicesoftware. Noteer per tool: wat is het doel, welke data gaat erin, wat komt eruit, wie gebruikt het intern, en ondersteunt het advies of neemt het daadwerkelijk beslissingen? Dit overzicht is het fundament voor elke volgende stap. Begin met je top 5 en breid daarna uit.

Classificeer per toepassing

Bepaal per AI-tool in welke risicocategorie die valt op basis van het EU-model. Generatieve AI voor tekstproductie of klantvragen is doorgaans beperkt risico. Maar AI bij werving, kredietbeoordeling of medische triage is hoog risico. Leg je classificatie en onderbouwing vast. Die documentatie is niet alleen nuttig voor compliance, maar ook je eerste verdedigingslinie als de toezichthouder vragen stelt.

Regel AI-geletterdheid voor je team

Sinds 2 februari 2025 is dit een wettelijke verplichting. Medewerkers die met AI-tools werken moeten begrijpen hoe die tools functioneren, wat de beperkingen zijn en hoe ze verantwoord worden ingezet. Het vereiste niveau verschilt per rol. Een medewerker die ChatGPT gebruikt voor e-mails heeft minder diepgaande kennis nodig dan iemand die AI-screening inzet bij sollicitaties. Begin met een basistraining, leg vast wie wat heeft gevolgd en herhaal periodiek. De Rijksoverheid biedt via de Gids AI-verordening gratis startmateriaal.

Stel een intern AI-beleid op

Leg afspraken vast over wat mag en wat niet mag met AI in je organisatie. Denk aan transparantieregels (klanten informeren dat ze met een chatbot praten), menselijk toezicht (AI-output altijd controleren bij consequentievolle beslissingen), data-afspraken (welke gegevens gaan wel en niet in een AI-tool) en eigenaarschap (wie is per toepassing verantwoordelijk). Een AI-beleid hoeft geen boekwerk te zijn. Twee tot drie pagina's met heldere richtlijnen, goedgekeurd door de directie, volstaat als startpunt.

Leg afspraken vast met leveranciers

Als deployer ben je medeverantwoordelijk voor hoe je AI-tools inzet. Maar je leverancier (de provider) heeft eigen verplichtingen onder de wet. Leg contractueel vast wie welke compliance-taken draagt: wie zorgt voor documentatie, wie monitort het systeem, wie handelt incidenten af en wie levert de conformiteitsverklaring? Heb je die verklaring nog niet ontvangen van je leverancier? Dan is dat een signaal om het gesprek aan te gaan. Vraag expliciet naar hun AI Act-readiness en leg de antwoorden vast.

→

Concreet beginnen: pak je top 5 AI-toepassingen en noteer per stuk het doel, de doelgroep, welke data erin gaat, wat eruit komt en of het systeem advies geeft of beslissingen ondersteunt. Dat is al genoeg om de urgentste risico's in kaart te brengen. Bij een kennismaking helpen we je om dit register op te zetten en de juiste classificatie te bepalen.

05 Timeline

Deadlines, handhaving en boetes

De EU AI Act wordt gefaseerd ingevoerd. Bepaalde verplichtingen gelden al, andere treden komend jaar in werking. Dit is de tijdlijn die voor het MKB relevant is.

Datum	Wat gaat gelden	Relevant voor
2 feb 2025	Verboden AI-praktijken illegaal. AI-geletterdheid verplicht.	Alle organisaties (geldt nu)
2 aug 2025	Verplichtingen voor general-purpose AI (GPAI). EU AI Office operationeel.	Providers van AI-modellen
2 aug 2026	Eisen voor hoog-risico AI. Transparantieverplichtingen voor beperkt risico. Registratie in EU-database.	MKB dat AI inzet
2 aug 2027	Volledige toepassing, inclusief AI in gereguleerde producten (medische apparaten, machines).	Fabrikanten, zorg

De boetes zijn substantieel. De wet kent drie niveaus: tot 35 miljoen euro of 7% van de wereldwijde omzet bij verboden AI-praktijken, tot 15 miljoen of 3% bij andere overtredingen (zoals niet voldoen aan hoog-risico-eisen), en tot 7,5 miljoen of 1,5% bij het verstrekken van onjuiste informatie aan toezichthouders. Voor MKB-bedrijven en startups gelden lagere plafonds, maar ook die bedragen zijn aanzienlijk.

Nederland verwacht de nationale implementatiewet pas in het vierde kwartaal van 2026. Dat betekent dat de Europese regels al gelden terwijl de Nederlandse toezichthouder nog niet volledig operationeel is. Maar wachten tot er actief gehandhaafd wordt is geen strategie. Het EU AI Office kan al handhaven op GPAI-verplichtingen en de focus van handhaving ligt aanvankelijk op educatie en waarschuwingen. Bedrijven die nu beginnen met de basisstappen documenteren tegelijkertijd hun goede intenties.

€

Proportioneel, maar niet vrijblijvend. De wet houdt bij handhaving rekening met de omvang van het bedrijf en er zijn lagere boeteplafonds voor MKB en startups. Maar naast de financiële sancties speelt reputatierisico: een klant die erachter komt dat AI zonder transparantie is ingezet, of een toezichthouder die documentatie opvraagt die er niet is. Dat zijn scenario's die je als ondernemer wilt voorkomen.

De Rijksoverheid biedt ondersteuning via de Gids AI-verordening, de AI Act Service Desk en toekomstige regulatory sandboxes. Dat zijn proefomgevingen waarin bedrijven onder begeleiding kunnen experimenteren en advies krijgen over de regels. Daarnaast werkt het NEN aan geharmoniseerde normen die het makkelijker maken om compliance aan te tonen. De eerste conceptnormen worden in 2026 openbaar. We adviseren om de basis nu te regelen en de verdere uitwerking te volgen zodra die normen beschikbaar komen. Uit onze projecten weten we dat vroegtijdige aandacht voor compliance de implementatie achteraf aanzienlijk vereenvoudigt.

06 Toepassing

Hoe AI Act-compliance eruitziet in de praktijk

De theorie is helder: classificeer je toepassingen, documenteer je gebruik, train je team. Maar hoe ziet dat er in de dagelijkse bedrijfsvoering uit? Twee voorbeelden die voor veel MKB-bedrijven herkenbaar zijn.

Je gebruikt een AI-chatbot op je website

Dit valt in de meeste gevallen onder beperkt risico. De transparantieverplichting betekent dat je bezoekers bij het eerste contact moet informeren dat ze met AI communiceren, niet met een mens. Dat kan met een kort bericht in het chatvenster. Genereer je met AI content voor je website of social media? Dan moet die content herkenbaar zijn als AI-gegenereerd, bijvoorbeeld via metadata of een vermelding. Zorg daarnaast dat het team dat de chatbot beheert begrijpt hoe het systeem werkt en wanneer een gesprek moet worden overgedragen aan een menselijke medewerker.

Je zet AI in bij werving of beoordeling

Zodra AI een rol speelt in beslissingen over personen, zoals het screenen van cv's, het rangschikken van kandidaten of het beoordelen van medewerkers, valt de toepassing onder hoog risico. De verplichtingen zijn dan aanzienlijk: technische documentatie van het systeem, automatische logging van beslissingen, structureel menselijk toezicht, risicoanalyse en in bepaalde gevallen een Fundamental Rights Impact Assessment. Sollicitanten moeten worden geïnformeerd dat AI is ingezet. De verantwoordelijkheid ligt bij jou als deployer, ook als de software van een externe partij komt.

→

Compliance by design. Bij onze AI-implementaties bouwen we compliance in vanaf het begin. Dat betekent: het juiste risiconiveau bepalen voordat we een systeem ontwerpen, transparantie inrichten als onderdeel van de interface, logging en documentatie meenemen in de architectuur en afspraken over menselijk toezicht vastleggen in het projectplan. Zo wordt compliance geen losse exercitie achteraf, maar een vanzelfsprekend onderdeel van het systeem. Benieuwd hoe dat er voor jouw situatie uitziet? Plan een kennismakingsgesprek.

07 FAQ

FAQ: EU AI Act MKB

Geldt de EU AI Act ook voor zzp'ers en kleine bedrijven?

Ja. De wet maakt geen uitzondering op basis van bedrijfsgrootte. Elke organisatie die AI-systemen gebruikt of aanbiedt in de EU valt eronder. Wel worden boetes proportioneel toegepast en houdt de toezichthouder bij handhaving rekening met de omvang van het bedrijf. Er gelden lagere boeteplafonds voor MKB en startups. De verplichtingen hangen af van het risiconiveau van de AI-toepassing, niet van de grootte van je bedrijf.

Ik gebruik alleen ChatGPT of Copilot. Moet ik iets regelen?

Ja, maar de verplichtingen zijn relatief licht. Generatieve AI-tools vallen meestal onder beperkt risico. Dat betekent dat je transparant moet zijn naar klanten (aangeven dat ze met AI te maken hebben), AI-gegenereerde content moet labelen, en dat je team AI-geletterd moet zijn. AI-geletterdheid is al verplicht sinds februari 2025. Zet je deze tools in voor beslissingen over mensen, bijvoorbeeld bij sollicitaties of kredietbeoordeling, dan worden de verplichtingen aanzienlijk zwaarder.

Wat wordt precies bedoeld met AI-geletterdheid?

AI-geletterdheid betekent dat medewerkers die met AI-tools werken begrijpen hoe die tools functioneren, wat de beperkingen zijn en hoe ze verantwoord worden ingezet. Het vereiste kennisniveau hangt af van de rol. Een medewerker die ChatGPT gebruikt voor e-mails heeft minder diepgaande kennis nodig dan iemand die werkt met AI-screeningtools bij sollicitaties. Een basistraining van enkele uren en heldere interne richtlijnen volstaan in de meeste gevallen. Documenteer wie welke training heeft gevolgd.

Wat is het verschil tussen provider en deployer?

Een provider ontwikkelt het AI-systeem of brengt het onder eigen naam op de markt. Een deployer is de organisatie die het systeem inzet in de eigen bedrijfsprocessen. De meeste MKB-bedrijven zijn deployer. Providers dragen de zwaarste verplichtingen (technische documentatie, conformiteitsverklaring, CE-markering), maar deployers hebben eigen verantwoordelijkheden: werken volgens de instructies van de provider, zorgen voor menselijk toezicht, transparant zijn naar klanten. Pas je een AI-tool substantieel aan, dan kun je juridisch als provider worden aangemerkt.

Wanneer begint de handhaving in Nederland?

De Europese regels gelden al. Verboden AI-praktijken zijn sinds februari 2025 illegaal en het EU AI Office kan handhaven op GPAI-verplichtingen sinds augustus 2025. De Nederlandse nationale toezichthouder wordt naar verwachting pas in het vierde kwartaal van 2026 volledig operationeel. Dat betekent niet dat je tot die tijd veilig bent. Documentatie van je AI-gebruik en genomen maatregelen is nu al je beste bescherming, zowel richting toezichthouders als richting klanten en medewerkers.

Moet AI-gegenereerde content altijd worden gelabeld?

Ja, onder de transparantieverplichtingen die vanaf augustus 2026 worden gehandhaafd. AI-gegenereerde inhoud moet herkenbaar zijn als synthetisch. Bij deepfakes (gemanipuleerde beeld- of audiocontent) moet dit expliciet zichtbaar worden gemaakt. Voor reguliere AI-gegenereerde tekst of afbeeldingen volstaat in veel gevallen metadata of een vermelding. De exacte implementatie wordt nog verder uitgewerkt in geharmoniseerde normen.

Hoe neemt Optivaize AI Act-compliance mee?

Bij elke AI-implementatie bouwen we compliance in vanaf het begin. Dat begint bij het in kaart brengen van de toepassingen en het bepalen van het juiste risiconiveau, en loopt door tot transparantie-inrichting, logging, documentatie en afspraken over menselijk toezicht. We ontwerpen AI-systemen die vanaf de eerste versie voldoen aan de eisen, zodat compliance geen losse stap is maar onderdeel van de architectuur. Plan een kennismakingsgesprek om te bespreken wat voor jouw situatie nodig is.

Niet zeker welke verplichtingen voor jouw bedrijf gelden? We brengen je AI-toepassingen in kaart, classificeren het risiconiveau en adviseren over de juiste stappen. Plan een kennismakingsgesprek en we denken mee.

Maximilian Bladt

Chief Executive Officer, Optivaize

Maximilian bouwt pragmatische AI-oplossingen voor het MKB - van A tot Z, zonder belemmeringen. Als oprichter van Optivaize leidt hij een groeiend team aan de top van AI-ontwikkeling, met een focus op AI-agents, cloudarchitectuur en implementaties die direct resultaat opleveren.

Bronnen: KVK Omnibus juni 2025, Rijksoverheid.nl, EU AI Act (Verordening EU 2024/1689), Ondernemersplein.nl, Autoriteit Persoonsgegevens, ICTrecht, European Commission Digital Strategy, NEN

Klaar om te starten?

Neem contact op en ontdek wat AI voor jouw bedrijf kan betekenen.

Neem contact op