AI Act voor het MKB: wat je voor 2 augustus moet regelen

Vanaf 2 augustus 2026 gelden de algemene gebruikersverplichtingen van de EU AI Act voor vrijwel elk bedrijf dat AI inkoopt.¹ Niet alleen voor de partijen die AI bouwen, ook voor het installatiebedrijf dat Copilot in Office draait, de accountant met een AI-functie in het boekhoudpakket, de webshop met een chatbot. Dat klinkt zwaar, en de compliance-bureaus maken er graag iets engs van. Voor het gemiddelde MKB is de werkelijkheid nuchterder: wat echt moet, past op één A4. Dit artikel zet op een rij wat dat A4 bevat, wat je juist kunt overslaan, en hoe je verplichte AI-inventarisatie meteen een lijst met kansen wordt. Wil je niet zelf beginnen met turven, dan loopt onze gratis AI-kansen scan alvast langs je website en levert een eerste overzicht op.

/ 01Waarom nu

Waarom dit nu speelt

De EU AI Act is gefaseerd ingevoerd. De verboden op de meest riskante toepassingen gingen al in begin 2025 in. De plicht tot AI-geletterdheid geldt sinds februari 2025. De grote, voor het MKB relevante mijlpaal valt op 2 augustus 2026: vanaf dan gelden de verplichtingen voor zogenoemde general-purpose AI en de gebruikersverplichtingen breed.¹ Dat is geen ver-weg-deadline meer. Dat is dit jaar.

Belangrijk om vast te stellen: dit is niet de eng-makende variant die sommige consultants verkopen. Een externe audit, een AI-afdeling, een certificeringstraject van tienduizenden euro's, dat is voor het gros van de MKB-bedrijven simpelweg niet aan de orde. Wat wel aan de orde is, is dat je kunt aantonen dat je weet welke AI je gebruikt en dat je daar bewust mee omgaat. Dat is te overzien. Voor een gemiddeld bedrijf is het eenmalig vier tot acht uur werk.

/ 02Wie valt eronder

Raakt de AI Act jouw bedrijf?

De meeste ondernemers denken bij AI aan ChatGPT. Maar "AI inkopen" is veel breder. Copilot in je Office-omgeving is AI. De AI-functie in je boekhoudpakket is AI. De chatbot op je website, de slimme sortering in je CRM, de tool die cv's voorsorteert in je recruitmentsysteem: allemaal AI. Vrijwel elk MKB gebruikt vandaag al ergens AI, vaak zonder dat het zo is benoemd.

De wet maakt onderscheid tussen twee rollen. Een provider is de partij die een AI-systeem bouwt of op de markt brengt. Een deployer is de partij die het systeem gebruikt in zijn eigen bedrijf. Als je AI inkoopt en inzet, ben je deployer. Dat is de rol waarin vrijwel elk MKB valt, en de verplichtingen voor deployers zijn een stuk lichter dan die voor providers.

/ 03Wat moet

De vier dingen die echt moeten

Voor het gemiddelde MKB in de deployer-rol komt het neer op vier concrete acties. Geen daarvan vereist een jurist op locatie of een duur platform.

1. Een AI-register. Een overzicht van welke AI-tools je gebruikt, met welk doel, van welke leverancier, en welke data er ingaat. Een eenvoudige tabel volstaat als startpunt.
2. Een kort AI-beleid. Wie mag wat, welke data mag wel en niet in een AI-tool, en hoe borg je dat een mens het resultaat controleert. Eén pagina is voor de meeste bedrijven genoeg.
3. Aantoonbare AI-geletterdheid. Medewerkers die AI gebruiken, moeten een basisbegrip hebben van wat de tool wel en niet kan. Dit is sinds februari 2025 verplicht.
4. Transparantie naar klanten. Zet je AI in voor communicatie, bijvoorbeeld een chatbot of automatisch opgestelde mails, dan moet duidelijk zijn dat er AI in het spel is.

Daarnaast loont het om je verwerkersovereenkomsten met je AI-leveranciers te checken. Die vallen formeel onder de AVG en niet onder de AI Act, maar ze horen in dezelfde dossier-map. De volledige AVG-kant beschrijven we apart in AVG en je AI-werkplek: wat moet je geregeld hebben.

/ 04Kansenkaart

Je AI-register: van verplichting naar kansenkaart

Hier zit de blinde vlek van de compliance-bureaus. Zij verkopen het AI-register als een last: een lijst die je moet bijhouden omdat het moet. Dat is jammer, want het is precies andersom. Op het moment dat je alle AI-tools en datastromen in je bedrijf in kaart hebt, zie je niet alleen wat er staat. Je ziet vooral waar AI nog níet zit, terwijl het er wel zou kunnen helpen.

Het register dwingt je om per proces de vraag te stellen: hier gebruiken we AI, en daar nog handmatig. Die tweede kolom is je kansenkaart. De offerte die nog handmatig wordt getypt. Het serviceteam dat nog door handleidingen bladert. De maandafsluiting die nog volledig op spreadsheets draait. Een verplichting wordt zo een gestructureerde rondgang langs je eigen operatie.

/ 05Geletterdheid

AI-geletterdheid zonder dure cursus

Artikel 4 van de AI Act vraagt om AI-geletterdheid bij medewerkers die met AI werken. Dat klinkt als een certificeringstraject, en zo wordt het soms ook verkocht. Voor de meeste MKB-bedrijven is dat overdreven. Wat de wet vraagt, is dat de mensen die AI gebruiken een redelijk begrip hebben van wat de tool doet, waar hij sterk in is, en waar hij de plank misslaat.

In de praktijk volstaat een interne sessie van een paar uur als startpunt: wat is AI, wat kan het wel en niet, welke data zetten we er wel en niet in, en hoe controleren we het resultaat. Leg dat kort vast in een verslag of een korte e-learning, en je hebt iets aantoonbaars. Het gaat om bewustzijn, niet om een diploma.

/ 06Hoog-risico

Hoog-risico: wanneer het zwaarder wordt

Eerlijk is eerlijk: er zijn toepassingen waarvoor de zware regels wél gelden. De AI Act noemt die hoog-risico. Denk aan AI die sollicitanten selecteert of beoordeelt, AI die kredietwaardigheid bepaalt, of AI in kritieke infrastructuur. Voor zulke systemen komen er wel echt verplichtingen bij: een technisch dossier, keuringen, registratie en menselijk toezicht dat formeel is geborgd.

Het punt voor het MKB: veel bedrijven zitten hier helemaal niet in. Een chatbot die klantvragen beantwoordt is geen hoog-risico-systeem. Een AI-tool die je offertes helpt opstellen evenmin. Het wordt pas hoog-risico als de AI zelfstandig besluiten neemt over mensen, met wezenlijke gevolgen. Gebruik je een recruitmenttool die kandidaten rangschikt, dan loont het om dat punt serieus uit te zoeken.

En zelfs binnen hoog-risico is er ruimte: een deel van de verplichtingen uit Annex III is uitgesteld. Die zwaardere eisen voor bepaalde hoog-risico-systemen gaan pas later in, richting eind 2027.² Dat geeft de bedrijven die er wél onder vallen extra tijd om het goed te doen.

/ 07Wat niet

Wat je niet hoeft te doen

Net zo belangrijk als de checklist is het tegenwicht tegen fear-selling. Als je geen hoog-risico-AI draait, hoef je geen angst te hebben voor het bedrag van 35 miljoen euro dat overal langskomt.³ Die maxima horen bij ernstige overtredingen, zoals het inzetten van verboden AI of het grof negeren van hoog-risico-eisen. Niet bij een handvol ChatGPT-licenties met een redelijk beleid eromheen.

• Je hoeft geen externe audit te kopen voor een paar AI-abonnementen.
• Je hoeft geen aparte AI-afdeling of compliance-functie op te tuigen.
• Je hoeft geen technisch dossier of EU-registratie te maken als je geen hoog-risico-systeem inzet.
• Je hoeft geen duur certificeringstraject te volgen voor de AI-geletterdheidsplicht.

/ 08Private AI

Waarom private AI de compliance makkelijker maakt

Er is een directe link tussen de manier waarop je AI inricht en hoe makkelijk de AI Act-eisen worden. Generieke tools waarbij je data ergens in een gedeelde cloud terechtkomt, maken transparantie en dataminimalisatie lastiger uit te leggen. Private document-AI op je eigen tenant draait de balans om.

Drie AI Act-eisen worden er concreet makkelijker van. Ten eerste transparantie en dataminimalisatie: je data blijft binnen je eigen, scheidbare omgeving. Ten tweede het register: je weet precies welk model waar draait, dus de kolom "welke tool, welke leverancier" vult zichzelf grotendeels in. Ten derde de data-locatie: je kunt EU-data-keuzes hard maken in plaats van ze te moeten aannemen. We beloven geen 100% AVG-garantie, dat geeft niemand verantwoord af. Wel een AVG-bewuste opzet met scheidbare tenants en EU-data waar mogelijk.

Hoe die opzet er technisch uitziet, lees je in onze pillar Private document-AI uitgelegd voor het MKB. Voor de afweging tussen private AI en een generieke enterprise-tool is er Private AI vs ChatGPT Enterprise voor MKB. En de propositie zelf staat op de Private AI-pagina.

/ 09Verder

Drie volgende stappen

Wil je de AI Act ombuigen van last naar momentum, dan zijn er drie logische stappen, in oplopende mate van commitment.

1. Doe de gratis AI-kansen scan. Op /scan leest een agent je website en levert één A4 met concrete kansen op. Dat is meteen een eerste AI-inventarisatie, precies het voorwerk voor je register.
2. Lees de private document-AI pillar. In Private document-AI uitgelegd zie je hoe een AVG-bewuste opzet met scheidbare tenants drie AI Act-eisen tegelijk makkelijker maakt.
3. Plan een intake. Via /agenda bespreken we een AI-werkplek die compliance-bewust is ingericht. 30 minuten, geen verplichtingen vooraf, reactie binnen 24 uur.