AI Act voor het MKB: vereenvoudigde documentatie en MKB-tarieven

Veel MKB-ondernemers hopen dat de AI Act gewoon aan hen voorbijgaat. Dat is een misverstand. De wet kent geen algemene vrijstelling voor kleine of middelgrote bedrijven. Wel heeft de Europese wetgever op specifieke punten faciliteiten ingebouwd om de regeldruk voor het MKB beperkt te houden. Vereenvoudigde sjablonen, prioritaire toegang tot sandboxes, lagere tarieven bij notified bodies en proportionele boetes vormen samen het MKB-pakket. In dit artikel zetten we precies uiteen waar u recht op heeft en hoe u die voordelen benut.

De AI Act en bedrijfsgrootte: wat is wel en niet anders voor MKB?

De systematiek van de AI Act is risicogebaseerd, niet groottegebaseerd. Een hoog-risico AI-systeem blijft een hoog-risico AI-systeem, of u nu een eenmanszaak bent of een beursgenoteerd concern. De verboden uit artikel 5, de AI-geletterdheidsplicht uit artikel 4 en de deployer-verplichtingen uit artikel 26 gelden voor iedere organisatie die binnen het toepassingsbereik valt.

Wat de wetgever wel heeft gedaan is de uitvoering proportioneel maken. Op vier concrete punten krijgen micro-, kleine en middelgrote ondernemingen een lichtere of voordeligere behandeling: een vereenvoudigd technisch dossier-sjabloon (artikel 11 lid 1), prioritaire toegang tot regulatory sandboxes (artikel 57), proportionele tarieven bij notified bodies (artikel 62) en een aangepaste boetesystematiek (artikel 99). Daarbuiten gelden de gewone regels.

Definitie MKB onder EU-recht

De AI Act verwijst voor de definitie van MKB naar Aanbeveling 2003/361/EG van de Commissie. Die kent drie categorieen, gebaseerd op personeelsbestand en jaaromzet of balanstotaal:

• Micro-onderneming: minder dan 10 werknemers en een jaaromzet of balanstotaal van maximaal 2 miljoen euro.
• Kleine onderneming: minder dan 50 werknemers en een jaaromzet of balanstotaal van maximaal 10 miljoen euro.
• Middelgrote onderneming: minder dan 250 werknemers en een jaaromzet van maximaal 50 miljoen euro of een balanstotaal van maximaal 43 miljoen euro.

Voor startups bestaat in de AI Act geen aparte categorie. Een startup met minder dan 250 werknemers en de bijbehorende omzet valt automatisch onder de MKB-faciliteiten. Heeft uw onderneming een verbonden of partner-vennootschap, dan worden de cijfers in beginsel geconsolideerd. Een dochter van een groot concern is dus geen MKB, ook al telt zij zelf maar tien werknemers.

Vereenvoudigde technische documentatie

Bent u provider van een hoog-risico AI-systeem, dan moet u op grond van artikel 11 en bijlage IV een technisch dossier opstellen. Dat dossier beschrijft het systeem, de data, de testprocedures, het risicomanagement en de prestaties. Voor MKB-providers gaat artikel 11 lid 1 een stap verder. De Commissie stelt via uitvoeringshandeling een vereenvoudigd sjabloon ter beschikking dat is afgestemd op de behoeften van kleine en middelgrote ondernemingen.

Belangrijk: het sjabloon is een hulpmiddel, geen vrijbrief. U levert nog steeds inhoudelijk dezelfde informatie, maar in een lichter formaat met minder ballast en korter geredigeerde secties. Notified bodies en markttoezichthouders accepteren het sjabloon op dezelfde wijze als het uitgebreide formaat. Wie groter wordt of overstapt naar een andere risicocategorie, kan later naar de volledige bijlage IV-structuur migreren.

Toegang tot regulatory sandbox prioritair voor MKB

Iedere lidstaat moet uiterlijk 2 augustus 2026 minimaal een AI regulatory sandbox in werking hebben (artikel 57). In Nederland werken de Autoriteit Persoonsgegevens en het Ministerie van EZK aan een gezamenlijke sandbox. Een sandbox is een gecontroleerde testomgeving waarin u onder toezicht innovatieve AI-toepassingen kunt ontwikkelen voordat u ze in productie neemt.

Artikel 57 lid 9 bepaalt expliciet dat MKB-bedrijven en startups prioriteit krijgen bij toelating tot de sandbox. Dat betekent kortere wachttijden, gratis of sterk verlaagde deelname en intensievere begeleiding door de toezichthouder. Voor MKB-providers die twijfelen over de juiste risicoclassificatie of de naleving van specifieke vereisten, is de sandbox vaak de snelste route naar zekerheid.

Verlaagde tarieven bij notified bodies

Voor sommige hoog-risico AI-systemen schrijft de wet een conformiteitsbeoordeling door een notified body voor. Die beoordelingen zijn gespecialiseerd werk en daarmee kostbaar. Artikel 62 lid 2 verplicht lidstaten erop toe te zien dat de tarieven van notified bodies proportioneel zijn aan de grootte, de regio en de specifieke marktsituatie van de provider, met bijzondere aandacht voor het MKB.

In de praktijk vertaalt dit zich naar gereduceerde uurtarieven, vaste-prijspakketten voor kleinere systemen en gefaseerde betalingsschema's. De Nederlandse Raad voor Accreditatie ziet hierop toe. Vraag bij offerte-aanvragen expliciet naar het MKB-tarief en vergelijk minimaal twee notified bodies.

Verlaagde tarieven voor registratie in EU AI-databank

Providers van hoog-risico systemen moeten hun systeem registreren in de EU-databank uit artikel 71. De registratie zelf is voor providers kosteloos, maar bijbehorende processen, zoals het laten valideren van prestatie-indicatoren, kunnen kostenposten bevatten. Hetzelfde uitgangspunt van proportionaliteit geldt: tarieven die door derde partijen worden gerekend voor verplichte ondersteuningsdiensten, moeten in verhouding staan tot de schaal van het MKB.

Boete-plafonds proportioneel voor MKB

Artikel 99 lid 6 voert een belangrijke MKB-bescherming in: voor micro-, kleine en middelgrote ondernemingen en startups geldt dat de boete de laagste is van het absolute bedrag of het percentage van de wereldwijde jaaromzet. Voor grote ondernemingen geldt juist het hoogste.

Een rekenvoorbeeld. Stel uw MKB-bedrijf heeft 4 miljoen euro omzet en overtreedt een hoog-risico verplichting. Het percentage 3 procent komt neer op 120.000 euro. Het absolute plafond is 15 miljoen euro. U riskeert maximaal 120.000 euro, niet 15 miljoen. Voor een groot concern met 1 miljard euro omzet zou het percentage juist tot 30 miljoen leiden en geldt het plafond van 15 miljoen niet meer in uw voordeel.

MKB-friendly guidance en templates van de Commissie

Naast wettelijke uitzonderingen zet de Commissie in op zachte ondersteuning. Het AI Office publiceert codes of practice, modelcontractuele clausules en standaard templates die door MKB-bedrijven kosteloos te gebruiken zijn. Voor general-purpose AI is in 2025 al een eerste code of practice vastgesteld. Voor hoog-risico systemen volgen in de loop van 2026 sectorale modules.

De Nederlandse pendant zit in de uitvoeringspraktijk: de Autoriteit Persoonsgegevens publiceert handreikingen, en branche-organisaties zoals MKB-Nederland en VNO-NCW werken aan sectorale modeldocumenten. Maak hier gebruik van voordat u een externe adviseur inschakelt.

Wat is identiek voor MKB en grote bedrijven?

Om geen verkeerde verwachtingen te scheppen: de volgende elementen veranderen niet door uw MKB-status.

• Artikel 4 AI-geletterdheid: elke deployer en provider moet zorgen dat personeel voldoende AI-kennis heeft.
• Artikel 5 verboden AI-praktijken: social scoring, emotieherkenning op de werkvloer, ongerichte scraping voor gezichtsherkenning, allemaal verboden ongeacht omvang.
• Artikel 14 menselijk toezicht: hoog-risico systemen moeten effectief door mensen worden gesuperviseerd.
• Artikel 26 deployer-verplichtingen: instructies volgen, monitoren, incidenten melden, logboek bewaren.
• Artikel 27 FRIA: deployers van bepaalde hoog-risico systemen moeten een Fundamental Rights Impact Assessment uitvoeren.
• Indeling in risicoklassen: de criteria voor verboden, hoog-risico of beperkt risico kennen geen MKB-uitzondering.

De MKB-faciliteiten zijn dus geen escape uit de materiele verplichtingen, maar een verlichting in de uitvoering, de kosten en de sancties.

Praktisch: hoe maakt u gebruik van de MKB-voordelen?

1. Bevestig uw MKB-status volgens Aanbeveling 2003/361/EG. Documenteer personeelsbestand, omzet of balanstotaal en eventuele verbonden ondernemingen.
2. Bent u provider van een hoog-risico systeem? Download het vereenvoudigde sjabloon uit de uitvoeringshandeling zodra de Commissie het publiceert en gebruik het als basis voor uw technisch dossier.
3. Overweeg deelname aan de Nederlandse AI regulatory sandbox. Dien een aanvraag in en verwijs naar uw MKB-status voor prioritaire behandeling.
4. Bij keuze van een notified body: vraag drie offertes, vergelijk MKB-tarieven en kies op basis van prijs-kwaliteit, niet alleen op naam.
5. Documenteer in uw AI-register per hoog-risico systeem welk MKB-voordeel u toepast. Dat helpt bij audits en boete-procedures.
6. Maak gebruik van gratis templates van het AI Office en Nederlandse brancheorganisaties voordat u een advocaat of consultant inschakelt.

Verhouding met startups en scale-ups

Startups en scale-ups vallen meestal onder de definitie kleine of middelgrote onderneming en kunnen daardoor van dezelfde faciliteiten gebruikmaken. Een vroeg-stadium-startup met buitenlandse investeerders moet wel opletten of de geconsolideerde cijfers boven de drempels uitkomen, dat kan de MKB-status doen vervallen. Voor specifiek op innovatie gerichte trajecten biedt de regulatory sandbox de meest waardevolle bescherming. Lees ook ons artikel over AI Act voor startups en scale-ups voor de bredere context.

Aandachtspunten voor kleine teams zonder DPO of CAIO

Veel MKB-bedrijven hebben geen Data Protection Officer of Chief AI Officer. Dat is geen probleem onder de AI Act zelf, want de wet kent geen verplichte DPO-equivalent. Maar u moet wel een aanspreekpunt voor AI-vragen aanwijzen. In de praktijk is dat vaak de eigenaar, de operationeel directeur of de bestaande DPO uit de AVG-structuur. Belangrijk is dat deze persoon:

• Toegang heeft tot het volledige AI-register en alle technische documentatie.
• Het mandaat heeft om systemen tijdelijk uit te zetten bij een incident.
• Eindverantwoordelijk is voor de jaarlijkse review van het AI-beleid.
• Het aanspreekpunt is voor de Autoriteit Persoonsgegevens bij vragen of audits.

Een externe AI-jurist of fractional CAIO is een kosteneffectieve oplossing voor MKB-bedrijven die incidenteel zware vragen krijgen, bijvoorbeeld bij de implementatie van een nieuw hoog-risico systeem.