AI wet- en regelgeving Nederland: wat MKB nu moet weten

In april 2026 kreeg Nederland eindelijk zijn eigen uitvoeringswet voor de Europese AI Act. Daarmee weten we wie er straks over jouw AI-gebruik gaat. Voor de meeste MKB-ondernemers is dit nog een blinde vlek. Logisch, want het is droge kost. Maar het raakt jou wel, ook als je geen "AI-bedrijf" runt.

Hieronder leggen we uit hoe het Nederlandse AI-wettenkader er nu uitziet, welke toezichthouder over jou gaat, en welke stappen je vandaag al kunt zetten zonder een compliance-afdeling te bouwen.

Het wettelijk kader voor AI in Nederland: drie lagen

Veel ondernemers denken dat "AI-wet" één ding is. Het zijn er drie.

1. De Europese AI Act (AI-verordening)

Dit is de Europese verordening die AI-systemen indeelt in vier risicocategorieën: verboden, hoog risico, beperkt risico (transparantieplicht) en minimaal risico. De wet gaat in fases in. De grote deadline voor de meeste verplichtingen is 2 augustus 2026. Hier hebben we eerder al een aparte blog over geschreven met de praktische deadline en wat je per fase moet regelen.

2. De Nederlandse Uitvoeringswet AI-verordening

De AI Act zegt wát er moet, maar laat lidstaten kiezen wíe het toezicht doet. Op 20 april 2026 heeft het kabinet zijn voorstel voor de Uitvoeringswet AI-verordening (UAIV) in internetconsultatie gebracht. Daarmee is duidelijk geworden dat Nederland niet kiest voor één centrale AI-toezichthouder, maar voor een verdeeld model met de Autoriteit Persoonsgegevens en de Rijksinspectie Digitale Infrastructuur in een coördinerende rol.

3. De AVG en sectorregels

Dit vergeten mensen vaak. Zodra je AI persoonsgegevens verwerkt, en dat is bijna altijd zo, geldt de AVG ook nog steeds. Plus sectorregels: in de zorg, finance en HR zijn er extra eisen. "AI-wet" betekent dus nooit alleen de AI Act, maar altijd het hele pakket.

Wie houdt er toezicht op jouw AI in Nederland?

Veel van de paniek rond AI-regelgeving komt door één vraag: "wie belt er straks aan?" Dit is wat we nu weten op basis van de bekendmaking van het kabinet.

Nederland kiest voor een decentraal model. Je toezichthouder hangt af van waar je AI inzet:

• Autoriteit Persoonsgegevens (AP): verboden AI-praktijken, transparantieplicht, en een groot deel van de hoog-risico AI in werk, onderwijs en overheid
• Rijksinspectie Digitale Infrastructuur (RDI): coördinerende rol op productveiligheid van AI-systemen
• Sectorinspecties: denk aan IGJ (zorg), AFM en DNB (finance), NLA (arbeid), NVWA en ILT
• Speciale AI-officier bij de AP voor gebieden waar nog geen duidelijke sectortoezichthouder is

Voor de meeste MKB'ers is de praktische conclusie simpel: gebruik je AI in HR, klantcontact, verkoop of administratie en verwerk je daarbij persoonsgegevens, dan is de AP je eerste aanspreekpunt. Voor verdieping verwijst de AP naar haar eigen pagina over de AI-verordening.

Wanneer raakt de AI-wet jouw MKB-bedrijf?

Veel ondernemers denken: "Ik bouw geen AI, dus dit gaat niet over mij." Dat klopt niet meer. De AI-verordening richt zich namelijk niet alleen op makers, maar ook op gebruikers (in de wet "deployers" genoemd).

Concreet raakt de wet je in deze situaties:

• Je gebruikt AI in HR (CV-screening, voorselectie, monitoring van personeel)
• Je gebruikt AI in klantcontact (chatbots, AI-stem, geautomatiseerde antwoorden)
• Je gebruikt AI in besluitvorming (kredietbeoordeling, prijsstelling, fraudedetectie)
• Je gebruikt tools die biometrie verwerken (gezichtsherkenning, stemherkenning)
• Je biedt diensten die AI-content genereren (transparantieplicht naar klanten)

Heb je een chatbot op je site die met klanten praat? Dan val je onder de transparantieplicht: bezoekers moeten weten dat ze met AI praten. Heb je een tool die CV's filtert? Dan zit je in hoog-risico-territorium.

De vraag is dus niet of je geraakt wordt, maar wáár in jouw stack AI verstopt zit. Tools als HR-software, facturatiesystemen en CRM's hebben tegenwoordig vaak AI ingebouwd zonder dat je het doorhebt. Daarom is het slim om eerst goed te kijken wat je überhaupt zou willen automatiseren en waar AI al zit, voordat je nog meer gaat stapelen.

Wat moet je nu in praktijk regelen?

Niet alles tegelijk. Houd het klein, dan kom je verder dan met een dik beleidsdocument dat niemand leest.

Stap 1: AI-inventarisatie

Maak een lijst van alle tools waar AI in zit. Denk verder dan ChatGPT. Kijk naar je HR-systeem, CRM, marketing tools, boekhoudsoftware, klantenservice. Vraag je leverancier om een AI-overzicht. Veel SaaS-aanbieders hebben dit al klaarliggen.

Stap 2: Bepaal het risiconiveau per toepassing

Per tool: valt het onder verboden, hoog risico, beperkt risico of minimaal risico? Voor MKB zit het meeste in beperkt of minimaal risico, met af en toe een hoog-risico hap (HR-screening, kredietscoring).

Stap 3: Leg vast wat je doet en waarom

Voor de meeste MKB-bedrijven is dit het kernpunt. Een eenvoudig AI-register: per AI-systeem benoem je wat het doet, welke data het gebruikt, wie ervoor verantwoordelijk is, en welke afspraken er zijn met de leverancier. Je hoeft geen 50 pagina's te schrijven. Eén werkdocument met de echte feiten is meer waard dan een mooi beleid dat niet klopt.

Stap 4: Zorg voor menselijke controle bij beslissingen

Bij hoog-risico AI mag de uitkomst niet automatisch het laatste woord zijn. Iemand moet het kunnen overrulen. Praktisch: leg vast wie wat wanneer reviewt en hoe vaak.

Stap 5: Wees transparant naar klanten

Praat een chatbot of AI-stem met je klanten? Zeg dat dan ook. Genereer je content met AI? Vermeld dat. Dit is geen marketingrisico maar een wettelijke plicht onder de AI-verordening.

Wat als je niets doet?

Boetes onder de AI-verordening kunnen oplopen tot 35 miljoen euro of 7% van de wereldwijde jaaromzet voor verboden AI. Voor andere overtredingen tot 15 miljoen of 3%. Voor MKB en startups gelden lagere plafonds, je betaalt dan het laagste bedrag van de twee opties. Voor een bedrijf met 2 miljoen omzet is dat maximaal 60.000 euro bij een hoog-risico overtreding.

Maar het echte risico is reputatie. Stel je AI maakt een verkeerde beslissing over een sollicitant of klant en dat komt naar buiten. De boete is dan vaak minder pijnlijk dan het krantenartikel dat erover komt. En de klanten die afhaken.

De grootste fout die we MKB'ers nu zien maken

Dit is wat we bij DenkBot in de praktijk zien: ondernemers wachten af tot "het wel duidelijk wordt". Dat is begrijpelijk, want compliance-werk levert geen omzet op. Maar het is gevaarlijk.

De wet gaat namelijk niet pauzeren omdat jij druk bent. En het meeste werk zit niet in het bouwen van iets nieuws, maar in het op orde krijgen van wat je al gebruikt. Dat kan in een paar middagen klaar zijn. Wachten tot augustus 2026 betekent dat je het tegelijk moet doen met iedereen, en dan zijn juristen schaars en duur.

Slim is om nu een keer rustig de tools langs te lopen, een AI-register te maken, en te bepalen welke processen je überhaupt nog wil houden zoals ze zijn. Hoe je voorkomt dat digitalisering bij plannen blijft hangen hebben we eerder uitgewerkt. Hetzelfde patroon zie je bij AI-compliance: de bedrijven die niet starten omdat ze het perfecte plan willen, doen uiteindelijk niets.

Veelgestelde vragen

Geldt de AI-verordening ook voor zzp'ers en klein MKB?

Ja. De wet maakt geen onderscheid op basis van bedrijfsgrootte. Wel zijn de boete-plafonds lager voor MKB en startups. De inhoudelijke verplichtingen blijven gelijk: gebruik je AI-systemen die onder de wet vallen, dan moet je ze inventariseren, classificeren en de juiste maatregelen treffen.

Moet ik me aanmelden of registreren bij een toezichthouder?

Voor de meeste MKB'ers niet. Registratie is alleen verplicht voor aanbieders van hoog-risico AI-systemen. Als je AI alleen gebruikt en niet zelf op de markt brengt, hoef je je in principe niet te registreren. Wel moet je je AI-gebruik intern documenteren in een AI-register.

Wat doet de Autoriteit Persoonsgegevens precies in dit verhaal?

De AP is in Nederland aangewezen als coördinerende toezichthouder en is verantwoordelijk voor toezicht op verboden AI-praktijken, transparantieverplichtingen en een groot deel van de hoog-risico AI in werk, onderwijs en overheid. Voor andere sectoren werkt de AP samen met inspecties zoals AFM, IGJ en NVWA.

Wanneer treedt de Nederlandse uitvoeringswet in werking?

De Uitvoeringswet AI-verordening (UAIV) stond tot 1 juni 2026 in internetconsultatie. Daarna gaat het wetsvoorstel naar de Tweede Kamer. De verwachting is dat de wet in lijn met de Europese deadlines van kracht wordt, met de belangrijkste verplichtingen vanaf 2 augustus 2026.

Wat als mijn SaaS-leverancier AI gebruikt zonder dat ik dat weet?

Je blijft als gebruiker verantwoordelijk voor wat je inzet. Vraag actief bij je leveranciers welke AI-functies in hun product zitten en welke documentatie ze leveren. Goede leveranciers hebben dit al beschikbaar. Krijg je niets, vraag dan om een aanvulling op je verwerkersovereenkomst.

Hoe DenkBot hierbij kan helpen

Wij bouwen AI-automatiseringen voor MKB-bedrijven. Dat betekent dat we de AI-verordening niet als een externe rem zien, maar als onderdeel van hoe we werken. Bij elk project leveren we mee wat je nodig hebt voor je AI-register: welke data gebruikt het systeem, wat doet het precies, en hoe houd je menselijke controle.

Wil je weten hoe jouw AI-gebruik er nu voor staat en wat er voor 2 augustus 2026 op orde moet zijn? Stuur een mail naar raphael@denkbot.nl en we plannen een korte scan in.