De EU AI Act: wat moet jouw bedrijf doen vóór augustus 2026?
Een praktische gids voor het MKB over de EU AI Act. Welke verplichtingen gelden, hoe je risicoclassificatie aanpakt, en wat een realistisch traject is naar de deadline van 2 augustus 2026.
Op 2 augustus 2026 wordt de EU AI Act volledig van toepassing. Dat is over een paar maanden. Uit recent onderzoek blijkt dat ruim 60% van de Europese MKB-bedrijven nog niet is begonnen met voorbereiding. Als je tot die groep hoort: dit artikel is voor jou. We leggen uit wat de AI Act feitelijk vereist, welke verplichtingen specifiek voor het MKB gelden, en wat een realistisch compliance-traject eruit ziet.
Disclaimer vooraf: wij zijn geen juristen. Voor de definitieve interpretatie van compliance-eisen voor jouw situatie raadpleeg je een advocaat of compliance-officer. Wat we wel zijn: ingenieurs die AI-systemen in productie bouwen voor middelgrote Nederlandse bedrijven. Dit artikel is geschreven vanuit de hoek van wat je technisch en organisatorisch moet doen.
Wat is de EU AI Act in het kort?
De EU AI Act is de eerste uitgebreide AI-wetgeving ter wereld. Het classificeert AI-systemen op basis van risiconiveau en stelt verplichtingen op per niveau. De gedachte: hoe groter het potentiële risico voor mensen, hoe strenger de eisen.
Vier risicocategorieën:
| Risiconiveau | Voorbeelden | Verplichtingen |
|---|---|---|
| Onaanvaardbaar | Social scoring, manipulatieve AI, real-time biometrische identificatie in publieke ruimtes | Verboden — niet toegestaan |
| Hoog risico | AI in zorgdiagnose, recruitment, kredietverlening, kritieke infrastructuur, onderwijs | Streng: documentatie, monitoring, menselijk toezicht, conformiteitsbeoordeling |
| Beperkt risico | Chatbots, deepfakes, emotie-herkenning, AI-gegenereerde content | Transparantieverplichtingen — gebruikers moeten weten dat ze met AI praten |
| Minimaal risico | Spamfilters, AI in videogames, voorspellende tekst | Geen specifieke verplichtingen — vrijwillige gedragscodes mogelijk |
Voor het Nederlandse MKB is de relevante categorie meestal 'beperkt risico' (chatbots, contentgeneratie) of 'hoog risico' (specifieke toepassingen in HR, zorg, finance). Onaanvaardbaar zal je in de praktijk niet doen, en minimaal risico vereist niets bijzonders.
Welke verplichtingen gelden voor het MKB?
Drie scenario's, drie pakketten verplichtingen.
Scenario 1: Je gebruikt een AI-chatbot of een copilot
Verreweg het meest voorkomend in het MKB. Een klantgerichte chatbot, een interne RAG-bot, Microsoft Copilot voor je medewerkers, of contentgeneratie met ChatGPT — dit valt vrijwel altijd onder 'beperkt risico'.
Wat je moet doen:
- Transparantie: gebruikers moeten weten dat ze met AI interacteren. Een duidelijke melding zoals 'Je praat met een AI-assistent' volstaat.
- AI-gegenereerde content labelen wanneer dat redelijkerwijs zou kunnen worden aangezien voor menselijk werk.
- Een register bijhouden van welke AI-systemen je gebruikt — wie de leverancier is, wat het systeem doet, welke data het verwerkt.
- Privacy & dataverwerking conform de AVG/GDPR — meestal al geregeld via je bestaande verwerkersovereenkomsten.
Inzet: 1–3 dagen werk voor een gemiddeld MKB-bedrijf. Realistisch te halen voor 2 augustus 2026.
Scenario 2: Je bouwt of gebruikt AI in HR, finance, of zorg
Hier wordt het serieus. CV-screening tools, AI-gestuurde kredietbeoordeling, diagnose-ondersteuning, beoordelingssystemen voor medewerkers — dit zijn typische 'hoog risico' systemen.
Wat je moet doen:
- Risicobeoordeling: een gedocumenteerde analyse van wat het systeem doet, voor wie, en wat fout kan gaan.
- Datakwaliteit: aantonen dat de trainingsdata representatief is en bias actief geadresseerd wordt.
- Technische documentatie: hoe het systeem werkt, hoe het is getest, hoe nauwkeurigheid wordt gemeten. Bewaar dit gestructureerd.
- Menselijk toezicht: een mens moet betekenisvol kunnen ingrijpen, niet alleen 'goedkeuren' op de geadviseerde uitkomst.
- Logging: het systeem moet automatisch genoeg loggen om incidenten achteraf reconstrueerbaar te maken.
- Conformiteitsbeoordeling: voor sommige systemen is een CE-merking-achtige beoordeling vereist door een aangewezen instantie.
- Registratie in een EU-database voordat het systeem op de markt komt.
Inzet: 4–12 weken voor een nieuw systeem. Voor bestaande systemen: minimaal 4 weken voor documentatie en risicobeoordeling, langer als technische aanpassingen nodig zijn.
Scenario 3: Je gebruikt een groot taalmodel (GPT, Claude, Llama) als basis
De aanbieders van foundation models (OpenAI, Anthropic, Google, Meta) hebben hun eigen verplichtingen onder de Act — daar hoef jij meestal niet bij stil te staan. Maar als je een dergelijk model integreert in je product, moet je weten welke risicocategorie jouw use case oplevert. Een chatbot bovenop GPT-4 voor klantenservice = beperkt risico. Een CV-screening systeem bovenop Claude = hoog risico — ongeacht wie het basismodel maakte.
Een realistisch compliance-traject voor het MKB
Vier stappen die we MKB-klanten aanraden, in deze volgorde:
- Inventariseer alle AI-systemen die je gebruikt of bouwt. Vergeet niet: de chatbot op je website, AI in je CRM, contentgeneratie-tools die marketing gebruikt, copiloten in je IDE. Maak een lijst.
- Classificeer per systeem het risiconiveau. Voor de meerderheid (beperkt risico) is dat een korte oefening. Voor systemen die mogelijk hoog risico zijn: investeer er meer tijd in.
- Voor beperkt risico systemen: implementeer transparantie en logging. Een duidelijke 'AI-melding' op chatbots, AI-content labelen, een verwerkingsregister bijhouden.
- Voor hoog risico systemen: documenteer, test, en stel menselijk toezicht in. Dit is waar professionele hulp van een compliance-specialist en/of juridisch adviseur de moeite waard is. Reken op 1-3 maanden om een bestaand systeem compliant te maken; nieuwe systemen pak je vanaf het ontwerp goed aan.
Wat als de deadline niet haalbaar is?
Wees pragmatisch. De Europese Commissie heeft aangegeven dat handhaving in de eerste maanden gericht zal zijn op de meest risicovolle systemen en op duidelijk roekeloos gedrag. Het Ministerie van Economische Zaken is bezig met praktische handreikingen voor het Nederlandse MKB.
Als je niet alles voor 2 augustus 2026 rond hebt, prioriteer dan:
- Stop het gebruik van eventuele 'onaanvaardbaar' systemen onmiddellijk.
- Krijg hoog-risico systemen op zijn minst gedocumenteerd en met menselijk toezicht — ook als de volledige conformiteitsbeoordeling later komt.
- Implementeer transparantie voor chatbots en AI-gegenereerde content (eenvoudig en snel te doen).
- Communiceer intern wat je gebruikt — IT, HR en juridisch moeten op één lijn zitten.
De praktische checklist
Hieronder de vragen waarmee je vandaag al kunt beginnen — of we nu wel of niet samenwerken:
- Welke AI-systemen gebruiken we? (intern en als onderdeel van producten/diensten)
- Wie is verantwoordelijk binnen de organisatie voor AI-compliance?
- Voor elk systeem: wie is de leverancier, wat doet het, welke data verwerkt het?
- Voor elk systeem: in welke risicocategorie valt het volgens de AI Act?
- Voor onze hoog-risico systemen: hebben we documentatie, testresultaten, en menselijk toezicht?
- Voor onze chatbots en gegenereerde content: maken we duidelijk dat het AI is?
- Hebben we een proces voor het beoordelen van nieuwe AI-systemen voordat we ze in gebruik nemen?
Hoe wij hierin helpen
Voor klanten waarmee we AI-systemen bouwen, brengen we EU AI Act-eisen vanaf de ontwerpfase mee. Dat is geen extra service — het is hoe we standaard werken. Documentatie, logging, menselijk toezicht, en risicobeoordeling zitten in onze build-aanpak.
Voor bedrijven die compliance van bestaande systemen op orde willen krijgen, doen we een AI Act-discovery van 1-3 weken. Output: inventarisatie, risicoclassificatie per systeem, en een concreet actieplan met prioriteiten en tijdslijnen. Vanaf €5.000 vaste prijs.
Wil je weten hoe wij naar jouw situatie kijken? Vertel ons via het contactformulier wat je gebruikt en bouwt. We reageren binnen één werkdag met een eerste indicatie of een uitnodiging voor een verkennend gesprek.