Drie op de tien Nederlandse ondernemers gebruiken al AI-tools zoals ChatGPT of Microsoft Copilot. Maar slechts 2 tot 3 procent heeft zich voorbereid op de Europese AI Act, de wet die regelt hoe bedrijven AI mogen inzetten. De helft van de ondernemers kent de wet niet eens. Dat blijkt uit onderzoek van de KVK.
Vanaf augustus 2026 treedt de AI Act volledig in werking. Dat betekent dat elk bedrijf dat AI gebruikt, van een simpele chatbot tot geavanceerde automatisering, aan bepaalde regels moet voldoen. En ja, dat geldt ook voor jou als MKB'er.
In dit artikel leggen we uit wat de AI Act inhoudt, wat je concreet moet regelen, en waarom dit geen bedreiging is maar juist een kans.
Wat is de AI Act precies?
De AI Act is de Europese verordening voor kunstmatige intelligentie, aangenomen in 2024. Het is de eerste uitgebreide AI-wet ter wereld. De wet stelt regels voor hoe bedrijven, overheden en ontwikkelaars AI-systemen mogen bouwen, verkopen en gebruiken.
De kern is een risico-gebaseerde aanpak. Niet alle AI wordt over dezelfde kam geschoren. Een AI die helpt bij het schrijven van emails heeft andere regels dan een AI die bepaalt of iemand een hypotheek krijgt. De wet maakt onderscheid in vier risicocategorieën, en de verplichtingen hangen af van het risiconiveau.
Sinds 2 februari 2025 gelden al de eerste regels: bepaalde AI-toepassingen zijn verboden, en bedrijven moeten zorgen dat medewerkers AI-geletterd zijn. De grote deadline is 2 augustus 2026, wanneer de wet volledig van toepassing wordt.
De vier risicocategorieën: wat geldt voor jouw bedrijf?
De AI Act deelt AI-systemen in vier niveaus in. Voor de meeste MKB-bedrijven (midden- en kleinbedrijf) valt het mee, maar je moet wel weten waar je staat.
Onaanvaardbaar risico (verboden)
AI-systemen die mensen manipuleren, social scoring toepassen, of emotieherkenning gebruiken op de werkvloer zijn verboden. Dit geldt sinds februari 2025. Als MKB'er heb je hier waarschijnlijk niet mee te maken, maar het is goed om te weten dat deze grens er is.
Hoog risico
AI die wordt ingezet voor werving en selectie, kredietbeoordeling, of medische diagnose valt in deze categorie. Hier gelden strenge eisen: technische documentatie, menselijk toezicht, transparantie naar gebruikers, en een conformiteitsbeoordeling. Gebruik je AI om CV's te screenen of klanten te beoordelen? Dan val je hier mogelijk onder.
Beperkt risico
De meeste MKB'ers vallen in deze categorie. Denk aan chatbots, AI-gegenereerde content, en tools zoals ChatGPT of Copilot. De belangrijkste verplichting is transparantie: je moet duidelijk maken dat er AI wordt gebruikt. Als je een chatbot op je website hebt, moet de bezoeker weten dat het een AI is en geen mens.
Minimaal risico
AI-toepassingen zoals spamfilters, aanbevelingssystemen in webshops, of automatische vertaling vallen hier onder. Geen extra verplichtingen, maar het is verstandig om ook hier vast te leggen dat je AI gebruikt.
Wat moet je concreet regelen als MKB-bedrijf?
Hier wordt het praktisch. Dit zijn de stappen die je voor augustus 2026 moet zetten.
1. Breng je AI-gebruik in kaart
De eerste stap is simpel maar cruciaal: maak een lijst van alle plekken waar je AI gebruikt. Denk breder dan je misschien verwacht.
Gebruik je ChatGPT voor het schrijven van emails? Noteer het. Heb je een chatbot op je website? Noteer het. Gebruik je Copilot in Microsoft 365? Noteer het. Zit er AI in je boekhoudsoftware of CRM? Noteer het.
Veel ondernemers beseffen niet hoeveel AI er al in hun dagelijkse tools zit. Die inventarisatie is de basis voor alles wat volgt.
2. Classificeer elk systeem op risico
Loop je lijst langs en bepaal per AI-toepassing in welke risicocategorie die valt. Voor de meeste MKB-tools (ChatGPT, Copilot, chatbots, automatische emails) zal dat "beperkt risico" zijn. Maar als je AI gebruikt voor het beoordelen van sollicitanten of het nemen van financiële beslissingen, kan dat "hoog risico" zijn.
Twijfel je? De Autoriteit Persoonsgegevens biedt richtlijnen, en het Ondernemersplein van de overheid heeft een praktische uitleg specifiek voor ondernemers.
3. Zorg voor AI-geletterdheid in je team
Dit is al verplicht sinds februari 2025. Iedereen in je bedrijf die met AI werkt, moet begrijpen wat AI kan, wat de beperkingen zijn, en welke risico's eraan kleven. Dat hoeft geen dure training te zijn. Een interne sessie van een uur waarin je de basis doorneemt is al een goede start.
Leg ook vast dat je dit hebt gedaan. De wet vraagt om aantoonbare maatregelen.
4. Wees transparant naar klanten
Gebruik je AI in je klantcontact? Communiceer dat. Zet een melding bij je chatbot. Vermeld in je voorwaarden dat je AI-tools gebruikt voor bepaalde processen. Als je AI-gegenereerde content publiceert, geef dat aan.
Transparantie is niet alleen een wettelijke eis. Het bouwt ook vertrouwen op bij je klanten.
5. Documenteer je processen
De AI Act vraagt dat je vastlegt waar AI wordt gebruikt, welke data worden verwerkt, wie verantwoordelijk is voor toezicht, en hoe je omgaat met fouten of klachten. Dit hoeft geen dik rapport te zijn. Een helder intern document van een paar pagina's waarin je per AI-toepassing beschrijft wat het doet, welke data het gebruikt, en wie er verantwoordelijk voor is, is voldoende.
Tijdlijn: wanneer moet wat geregeld zijn?
De AI Act wordt gefaseerd ingevoerd. Dit is het overzicht van de belangrijkste datums.
1 augustus 2024: de AI Act is officieel in werking getreden.
2 februari 2025: verboden AI-praktijken zijn van kracht. AI-geletterdheid is verplicht voor alle medewerkers die met AI werken.
2 augustus 2025: regels voor General Purpose AI-modellen (zoals GPT-4, Claude, Gemini) gaan in. Dit raakt vooral de ontwikkelaars van deze modellen, niet de gebruikers.
2 augustus 2026: de volledige wet is van toepassing. Alle hoog-risico AI-systemen moeten compliant zijn. Transparantie-eisen voor beperkt-risico systemen zijn verplicht. Handhaving start.
Je hebt dus nog ruim een jaar. Maar gezien het feit dat 84% van het MKB nog in de beginfase van digitalisering zit, is het slim om nu te beginnen.
Boetes en risico's: wat staat er op het spel?
De AI Act kent forse boetes, afhankelijk van de ernst van de overtreding.
Gebruik van verboden AI-systemen kan leiden tot boetes tot 35 miljoen euro of 7% van de wereldwijde jaaromzet. Niet-naleving van hoog-risico vereisten kan resulteren in boetes tot 15 miljoen euro of 3% van de omzet. Schending van transparantie-eisen kan boetes opleveren tot 7,5 miljoen euro of 1,5% van de omzet.
Voor MKB-bedrijven (midden- en kleinbedrijf) en startups gelden lagere plafonds. De EU heeft bewust gekozen om kleinere bedrijven niet onevenredig te belasten. Maar "lager" betekent niet "nul". Een boete van zelfs een fractie van deze bedragen kan voor een klein bedrijf verwoestend zijn.
Los van boetes is er ook reputatierisico. Klanten verwachten steeds vaker dat bedrijven verantwoord met AI omgaan. Een incident kan meer schade aanrichten dan een boete.
Waarom dit juist een kans is voor MKB-bedrijven
De AI Act klinkt als een last. Maar voor MKB'ers die het slim aanpakken, is het juist een voorsprong.
Grotere bedrijven hebben complexere AI-systemen en meer compliance-werk. Als MKB'er kun je sneller schakelen. Je AI-gebruik in kaart brengen, je processen documenteren, en transparantie inregelen kost je een paar dagen, niet maanden.
Bovendien dwingt de inventarisatie je om na te denken over hoe je AI echt inzet. Veel ondernemers gebruiken tools als ChatGPT ad hoc, zonder strategie. De AI Act is een goede aanleiding om daar structuur in aan te brengen. Welke taken automatiseer je? Waar levert AI echt waarde op? Waar niet?
Bedrijven die dat goed op orde hebben, stralen professionaliteit uit. Naar klanten, naar partners, en naar potentiële opdrachtgevers. "Wij zijn AI Act-compliant" wordt een kwaliteitskeurmerk, net zoals AVG-compliance dat is geworden.
En dan is er nog het concurrentievoordeel. Als slechts 3% van de ondernemers voorbereid is, kun je je onderscheiden door het wél te zijn. Zeker als je in een branche zit waar AI snel oprukt, is compliance een vertrouwenssignaal.
Praktische checklist: AI Act voor MKB
Gebruik deze checklist om te controleren of je op schema ligt.
Nu al verplicht (sinds februari 2025):
- Medewerkers die AI gebruiken zijn getraind in AI-geletterdheid
- Je gebruikt geen verboden AI-toepassingen (social scoring, manipulatie, emotieherkenning op de werkvloer)
Voor augustus 2026 regelen:
- Inventarisatie van alle AI-systemen in je bedrijf
- Risicoklassificatie per AI-toepassing
- Transparantiemaatregelen voor klantgerichte AI (chatbots, AI-content)
- Intern beleidsdocument met per AI-systeem: doel, data, verantwoordelijke, toezicht
- Menselijk toezicht geregeld voor hoog-risico toepassingen (als van toepassing)
Verstandig om te doen:
- Jaarlijkse review van je AI-gebruik en compliance
- Leveranciers checken op AI Act-compliance (bijvoorbeeld je CRM- of boekhoudsoftware)
- Privacy- en AI-beleid combineren in één document
Veelgestelde vragen over de AI Act voor MKB
Valt het gebruik van ChatGPT of Copilot onder de AI Act?
Ja, het gebruik van generatieve AI-tools zoals ChatGPT en Microsoft Copilot valt onder de categorie "beperkt risico" van de AI Act. De belangrijkste verplichting is transparantie: je moet duidelijk maken wanneer content door AI is gegenereerd, en medewerkers moeten AI-geletterd zijn. Je hoeft geen zware compliance-procedures op te zetten, maar je moet het wel vastleggen.
Kan ik als klein bedrijf een boete krijgen?
Ja, ook kleine bedrijven kunnen een boete krijgen bij overtreding van de AI Act. De EU heeft wel lagere plafonds ingesteld voor MKB-bedrijven en startups, zodat de straffen proportioneel zijn. De kans op een boete is het grootst bij hoog-risico toepassingen zonder de juiste maatregelen. Bij beperkt-risico gebruik zoals chatbots is de kans klein, mits je transparant communiceert.
Wat kost AI Act-compliance voor een MKB-bedrijf?
Voor de meeste MKB-bedrijven zijn de kosten beperkt. Een inventarisatie van je AI-gebruik, een intern beleidsdocument, en een training voor je team kun je in een paar dagen regelen. Je hebt geen dure consultants of juridische teams nodig als je vooral beperkt-risico AI gebruikt. De investering zit vooral in tijd, niet in geld.
Is de AI Act hetzelfde als de AVG?
Nee, maar ze vullen elkaar aan. De AVG (Algemene Verordening Gegevensbescherming) gaat over persoonsgegevens. De AI Act gaat specifiek over het gebruik van AI-systemen, ongeacht of er persoonsgegevens bij betrokken zijn. Als je AI gebruikt die persoonsgegevens verwerkt, moet je aan beide wetten voldoen.
Wie handhaaft de AI Act in Nederland?
De Autoriteit Persoonsgegevens is aangewezen als toezichthouder voor de AI Act in Nederland. Zij zullen de regels handhaven en kunnen boetes opleggen bij overtredingen. De verwachting is dat handhaving in de eerste periode vooral gericht zal zijn op voorlichting en waarschuwingen, vergelijkbaar met hoe de AVG werd geintroduceerd.
Begin vandaag, niet in 2026
De AI Act is geen reden tot paniek. Voor de meeste MKB-bedrijven gaat het om overzichtelijke stappen: weet wat je gebruikt, wees transparant, en leg het vast. Dat is het.
Maar wacht niet tot augustus 2026. De bedrijven die nu beginnen, hebben straks een voorsprong. Niet alleen in compliance, maar in hoe ze AI strategisch inzetten. Want als je toch bezig bent met inventariseren, kun je meteen kijken waar AI je nog meer kan opleveren.
Wil je weten hoe jouw bedrijf ervoor staat? Of ben je benieuwd hoe je AI-automatisering kunt inzetten die meteen aan de regels voldoet? Neem contact op, dan kijken we samen waar je staat en wat je nodig hebt.
<script type="application/ld+json"> [ { "@context": "https://schema.org", "@type": "Article", "headline": "AI Act MKB: wat moet je regelen voor augustus 2026?", "description": "De Europese AI Act geldt vanaf augustus 2026 voor elk bedrijf dat AI gebruikt. Slechts 3% van de MKB'ers is voorbereid. Dit moet je weten en regelen.", "author": { "@type": "Person", "name": "Raphael Cornelis", "url": "https://denkbot.nl/over" }, "publisher": { "@type": "Organization", "name": "DenkBot", "url": "https://denkbot.nl", "logo": { "@type": "ImageObject", "url": "https://denkbot.nl/logo.png" } }, "datePublished": "2026-04-17", "dateModified": "2026-04-17", "image": "https://v3b.fal.media/files/b/0a969585/KBCL4XxKn_ObQhDS95PYi_oGCKfSGR.png", "mainEntityOfPage": { "@type": "WebPage", "@id": "https://denkbot.nl/blog/ai-act-mkb-wat-moet-je-regelen" }, "keywords": "AI Act MKB, Europese AI wetgeving bedrijven, AI Act compliance MKB, AI Act Nederland 2026, AI verordening MKB", "about": [ { "@type": "Thing", "name": "AI Act" }, { "@type": "Thing", "name": "MKB compliance" } ], "mentions": [ { "@type": "Organization", "name": "Kamer van Koophandel" }, { "@type": "Organization", "name": "Autoriteit Persoonsgegevens" }, { "@type": "Organization", "name": "Europese Unie" } ] }, { "@context": "https://schema.org", "@type": "FAQPage", "mainEntity": [ { "@type": "Question", "name": "Valt het gebruik van ChatGPT of Copilot onder de AI Act?", "acceptedAnswer": { "@type": "Answer", "text": "Ja, het gebruik van generatieve AI-tools zoals ChatGPT en Microsoft Copilot valt onder de categorie beperkt risico van de AI Act. De belangrijkste verplichting is transparantie: je moet duidelijk maken wanneer content door AI is gegenereerd, en medewerkers moeten AI-geletterd zijn." } }, { "@type": "Question", "name": "Kan ik als klein bedrijf een boete krijgen?", "acceptedAnswer": { "@type": "Answer", "text": "Ja, ook kleine bedrijven kunnen een boete krijgen bij overtreding van de AI Act. De EU heeft wel lagere plafonds ingesteld voor MKB-bedrijven en startups, zodat de straffen proportioneel zijn." } }, { "@type": "Question", "name": "Wat kost AI Act-compliance voor een MKB-bedrijf?", "acceptedAnswer": { "@type": "Answer", "text": "Voor de meeste MKB-bedrijven zijn de kosten beperkt. Een inventarisatie van je AI-gebruik, een intern beleidsdocument, en een training voor je team kun je in een paar dagen regelen. De investering zit vooral in tijd, niet in geld." } }, { "@type": "Question", "name": "Is de AI Act hetzelfde als de AVG?", "acceptedAnswer": { "@type": "Answer", "text": "Nee, maar ze vullen elkaar aan. De AVG gaat over persoonsgegevens. De AI Act gaat specifiek over het gebruik van AI-systemen, ongeacht of er persoonsgegevens bij betrokken zijn." } }, { "@type": "Question", "name": "Wie handhaaft de AI Act in Nederland?", "acceptedAnswer": { "@type": "Answer", "text": "De Autoriteit Persoonsgegevens is aangewezen als toezichthouder voor de AI Act in Nederland. Zij zullen de regels handhaven en kunnen boetes opleggen bij overtredingen." } } ] } ] </script>Klaar om dit in jouw bedrijf toe te passen?
Plan een gratis adviesgesprek en ontdek hoe wij jouw organisatie slimmer maken met AI op maat.
Plan gratis adviesgesprek
