truck8.ai

De AI Act voor het MKB: wat moet je weten?

De AI Act is niet alleen iets voor techbedrijven en multinationals — ook als MKB-bedrijf dat AI-tools gebruikt, heb je te maken met nieuwe verplichtingen.

8 min leestijdTom Mekenkamp

Wat is de AI Act?

De AI Act (officieel: EU Verordening 2024/1689) is de eerste uitgebreide Europese wet die het gebruik van kunstmatige intelligentie reguleert. De verordening is op 1 augustus 2024 in werking getreden en geldt — net als de AVG — direct in alle EU-lidstaten, zonder dat nationale omzetting nodig is.

Het doel is tweeledig: burgers beschermen tegen risicovolle toepassingen van AI, en tegelijk ruimte bieden voor innovatie met een duidelijk speelveld. De wetgever heeft daarvoor een risicogebaseerde aanpak gekozen: hoe groter het potentiële risico, hoe zwaarder de verplichtingen.

De AI Act treedt gefaseerd in werking. Niet alle verplichtingen gelden per direct — sommige zijn al actief, andere worden in de loop van 2025, 2026 en 2027 van kracht. Dat maakt het overzichtelijk om stap voor stap te bekijken wat er nu al speelt en wat er aankomt.

Disclaimer: dit artikel geeft een informatief overzicht en geen juridisch advies. Voor binding aan de AI Act in jouw specifieke situatie raadpleeg je een jurist of compliance-specialist.

De risicogebaseerde aanpak: vier niveaus

De AI Act deelt AI-systemen in vier risicocategorieën in. Welke categorie van toepassing is, bepaalt welke verplichtingen gelden. Hieronder een beknopt overzicht.

Verboden AI-toepassingen

Bepaalde AI-toepassingen zijn volledig verboden in de EU. Dit zijn systemen die fundamentele rechten of de menselijke waardigheid op onaanvaardbare wijze bedreigen.

  • Sociale scoresystemen door overheden op basis van gedrag.
  • Real-time biometrische identificatie in openbare ruimtes (met smalle uitzonderingen voor rechtshandhaving).
  • AI die onbewust gedrag manipuleert of kwetsbare groepen uitbuit.
  • Ongerichte scraping van gezichtsafbeeldingen voor herkenningstechnologie.

Hoog-risico AI-systemen

Hoog-risico systemen zijn toegestaan, maar vereisen zware eisen: conformiteitsbeoordeling, registratie in een EU-database, technische documentatie, risicomanagementsysteem en menselijk toezicht. Dit geldt voor AI in sectoren als medische hulpmiddelen, biometrische identificatie, kritieke infrastructuur, onderwijs en HR.

  • Sollicitatiescreening en CV-beoordeling via AI.
  • AI-systemen in creditbeoordeling of verzekeringsacceptatie.
  • AI in de rechtbank, grenscontroles of politiewerk.
  • Medische diagnose- of behandelingssystemen.

Beperkt risico: transparantieverplichtingen

AI-systemen met beperkt risico vallen onder lichtere verplichtingen, voornamelijk op het gebied van transparantie. Gebruikers moeten weten dat ze met AI te maken hebben.

  • Chatbots en virtuele assistenten: meld dat de gebruiker met AI praat.
  • Deepfake-afbeeldingen of -video's: label ze als AI-gegenereerd.
  • Emotieherkenningssystemen: informeer betrokkenen.

Minimaal risico

De grote meerderheid van AI-toepassingen valt in deze categorie: spamfilters, AI-gestuurde zoekopdrachten, productaanbevelingen, grammaticatools. Hier gelden geen specifieke AI Act-verplichtingen, al blijven andere wetten (AVG, sectorwetgeving) van toepassing.

Wat geldt er nu al — en wat komt eraan?

De AI Act heeft een gefaseerde inwerkingtreding. Hier is de tijdlijn in vogelvlucht.

Sinds februari 2025: verboden praktijken en AI-geletterdheid

Vanaf februari 2025 zijn de verboden AI-praktijken van kracht. Wie een verboden toepassing gebruikt of aanbiedt, riskeert een sanctie. Tegelijkertijd geldt dan al artikel 4 van de AI Act: de AI-geletterdheidsplicht.

Artikel 4 verplicht organisaties — zowel aanbieders als gebruikers van AI-systemen — om ervoor te zorgen dat medewerkers die met AI werken, voldoende kennis en vaardigheden hebben om AI-systemen te begrijpen en verantwoord te gebruiken. De wet schrijft geen specifiek certificaat voor, maar 'voldoende AI-geletterdheid' moet aantoonbaar zijn. Een intern AI-beleid met training is de praktische invulling hiervan.

2025–2026: hoog-risico verplichtingen en algemene modellen

In de loop van 2025 en 2026 treden de verplichtingen voor aanbieders van hoog-risico AI-systemen en algemene AI-modellen (GPAI, zoals grote taalmodellen) in werking. Voor de meeste MKB-bedrijven die als gebruiker (deployer) optreden, zijn de directe verplichtingen beperkt — maar je moet wel weten of de systemen die je inkoopt conform zijn.

2027: volledig van kracht

Vanaf 2027 is de AI Act volledig van kracht, inclusief uitgebreide verplichtingen voor hoog-risico AI-systemen die onder de Machinerichtlijn vallen. De overgangstermijnen zijn bedoeld om bedrijven ruimte te geven om te groeien naar compliance — geen excuus om niets te doen, maar ook geen reden voor paniek.

Wat betekent de AI Act concreet voor jouw MKB-bedrijf?

Ik merk dat veel directeuren denken dat de AI Act alleen voor techbedrijven of grote platforms geldt. Dat is een misverstand. De AI Act geldt voor iedereen die AI-systemen aanbiedt of gebruikt in de EU — inclusief een mkb-bedrijf dat ChatGPT, Copilot of een AI-recruitmenttool inzet.

Het goede nieuws: de meeste MKB-bedrijven zijn deployer (gebruiker) van AI-systemen, niet provider (aanbieder). Dat betekent lichter regime. En de meeste tools die je dagelijks gebruikt — tekstgeneratoren, AI-zoekfuncties, e-mailassistenten — vallen in de categorieën beperkt of minimaal risico. De zware hoog-risico verplichtingen zijn voor de meeste MKB'ers niet van toepassing.

Wat wel van toepassing is:

  • Verboden toepassingen: check of jullie ergens AI inzetten voor sociale scoring, manipulatieve systemen of real-time biometrische herkenning. Waarschijnlijk niet — maar wees er zeker van.
  • AI-geletterdheidsplicht (art. 4): zorg dat medewerkers die met AI werken de basisbeginselen begrijpen. Dit is nu al van kracht.
  • Transparantie bij chatbots: als je een AI-chatbot op je website hebt, moet dit kenbaar zijn voor gebruikers.
  • Hoog-risico check: gebruik je AI voor sollicitatiescreening, kredietbeoordeling of medische ondersteuning? Dan gelden strengere eisen — eventueel via de aanbieder die de conformiteitsbeoordeling uitvoert.
  • Leverancierscheck: als je hoog-risico AI inkoopt, moet de aanbieder conformiteitsdocumentatie aanleveren. Vraag ernaar.

Praktisch stappenplan om compliant te worden

Je hoeft niet in één klap alles op orde te hebben. Dit is een werkbare volgorde die ik aanraad.

  • Stap 1 — Inventariseer jullie AI-gebruik: welke tools worden ingezet, door wie, voor welke doeleinden? Dit geeft je een AI-inventaris die ook als basis dient voor je AI-beleid.
  • Stap 2 — Bepaal de risicocategorie per toepassing: gebruik de vier niveaus als leidraad. De meeste tools zijn minimaal of beperkt risico. Noteer de uitzonderingen.
  • Stap 3 — Pak de AI-geletterdheid aan: artikel 4 is nu al van kracht. Organiseer een bewustwordingssessie, zorg voor een intern AI-beleid en wijs een aanspreekpunt aan.
  • Stap 4 — Controleer leveranciers op hoog-risico AI: vraag je AI-leveranciers of hun systemen als hoog-risico zijn geclassificeerd en welke conformiteitsdocumentatie beschikbaar is.
  • Stap 5 — Stel een AI-beleid op: leg vast welke tools zijn toegestaan, hoe je omgaat met persoonsgegevens en hoe menselijk toezicht is georganiseerd. Combineer dit met je AVG-beleid.
  • Stap 6 — Plan een jaarlijkse review: de AI Act evolueert en er komen uitvoeringsbesluiten. Plan jaarlijks een moment om je compliance te toetsen.

Veelgemaakte misverstanden over de AI Act

Rondom de AI Act circuleren nogal wat misvattingen. De meest voorkomende die ik tegenkom:

  • "De AI Act geldt pas over een paar jaar." Onjuist: de verboden praktijken en de AI-geletterdheidsplicht gelden al sinds februari 2025.
  • "Wij bouwen zelf geen AI, dus het raakt ons niet." Onjuist: de wet geldt ook voor deployers — bedrijven die AI-systemen van derden inzetten.
  • "Alleen tech-bedrijven hoeven iets te doen." Onjuist: de AI Act is sectoroverstijgend. Een HR-systeem, een creditcheck of een AI-chatbot op je website kan je al in scope brengen.
  • "We wachten op onze leverancier." Gedeeltelijk terecht voor conformiteitsdocumentatie, maar de AI-geletterdheidsplicht en het verbod op verboden toepassingen liggen bij jou als gebruiker.
  • "De boetes zijn alleen voor grote bedrijven." De AI Act kent gestaffelde boetes op basis van de overtreding, niet exclusief op bedrijfsgrootte — hoewel toezichthouders waarschijnlijk proportioneel handhaven.
  • "ChatGPT gebruiken is hoog risico." Nee: een tekstgenerator is minimaal of beperkt risico. Hoog risico is contextafhankelijk — het gaat om het doel waarvoor je AI inzet, niet de tool an sich.

Belangrijkste inzichten

  • De AI Act (EU 2024/1689) is per augustus 2024 in werking getreden en treedt gefaseerd in werking tot 2027.
  • Verboden AI-toepassingen en de AI-geletterdheidsplicht (art. 4) gelden al since februari 2025.
  • De meeste MKB-bedrijven zijn deployer van beperkt of minimaal risico AI — de zware hoog-risico-verplichtingen zijn voor hen zelden direct van toepassing.
  • De AI-geletterdheidsplicht is nu al van kracht: zorg dat medewerkers die met AI werken de basisbeginselen begrijpen.
  • Begin met een AI-inventaris, bepaal de risicocategorie van je toepassingen en stel een intern AI-beleid op.
TM

Geschreven door

Tom Mekenkamp

AI-consultant & oprichter van truck8.ai

15+ jaar transformaties geleid bij o.a. AB-InBev en Royal BAM — nu bouwt hij AI-producten en helpt hij het MKB met AI.

Over Tom LinkedIn

AI-strategie én -governance samen aanpakken?

In de directie-workshop werk je in één dag aan een concrete AI-strategie voor jouw organisatie — inclusief de randvoorwaarden, rollen en eerste stappen voor een werkende AI-governance die aansluit op de AI Act.

Bekijk de directie-workshop