AI Act voor startups en scale-ups: wat moet u regelen om groei niet te remmen?

Founders horen op verjaardagen vaak dat de AI Act vooral grote bedrijven raakt. Dat klopt niet. Een pre-seed AI-startup met twee oprichters in een Rotterdamse co-working space valt onder dezelfde wet als een Duitse industrieel concern. Wel kent de wet enkele mechanismen die specifiek bedoeld zijn om innovatie bij MKB en startups niet te verstikken: regulatory sandboxes, verlaagde tarieven en proportionele handhaving. Dit artikel laat zien wat startups en scale-ups concreet moeten regelen, welke regelingen helpen en hoe u naleving inzet als wapen, niet als rem.

De AI Act schaalt mee, maar minder dan u denkt

Anders dan de AVG kent de AI Act geen blanket MKB-uitzondering. Er is geen omzetdrempel, geen werknemersgrens en geen seed-stadium-exemption. Toch is de wet niet helemaal blind voor schaal:

• Artikel 62 verplicht lidstaten om MKB en startups specifieke ondersteuning te bieden bij naleving, inclusief gratis informatie en gereduceerde tarieven.
• Artikel 57 introduceert regulatory sandboxes waarin innovatieve AI getest mag worden onder begeleiding van de toezichthouder.
• Notified body-fees moeten voor MKB en startups proportioneel worden vastgesteld (zonder concrete percentages, maar in de praktijk 30 tot 50 procent korting).
• Bij handhaving wegen de toezichthouders nadrukkelijk de economische impact mee, wat in de praktijk neerkomt op waarschuwingen voor first offenders met hersteltermijn.

Het is dus geen reden om de regels te negeren, maar wel om strategisch te kiezen waar u uw beperkte resources op inzet.

Wat geldt voor elke AI-startup ongeacht omvang?

Drie verplichtingen zijn voor iedereen die AI inzet, ongeacht of u twee of tweehonderd mensen bent:

Artikel 4: AI-geletterdheid

Iedereen in uw team die met AI-systemen werkt (ontwikkelaars, productmanagers, sales) moet aantoonbaar weten wat de AI doet, welke risico's eraan zitten en hoe de output gecontroleerd hoort te worden. Voor een startup is dit doorgaans simpel: een interne notitie van twee A4'tjes plus een teampresentatie volstaat, mits gedocumenteerd.

Artikel 5: verboden AI

Sinds 2 februari 2025 geldt het verbod op specifieke AI-toepassingen: social scoring, manipulatieve AI, real-time biometrische identificatie in openbare ruimte (met uitzonderingen), emotie-herkenning op de werkvloer en in onderwijs, en het schrappen van gezichtsbeelden van internet voor herkenningsdatabases. Een startup die zo'n functie inbouwt riskeert direct de hoogste boetecategorie. Doe daarom in uw productdesign een artikel 5-check voordat u bouwt.

Artikel 50: transparantie

Als uw product een chatbot heeft, AI-gegenereerde content levert, deepfakes of stemklonen maakt, of emoties detecteert, moet u dat zichtbaar communiceren naar eindgebruikers. Voor B2B-SaaS betekent dit: een banner in de UI, een passage in de gebruikershandleiding en een vermelding in de privacy policy. Doe dit vanaf dag 1, want achteraf aanpassen aan duizenden klanten is duur.

Wat verandert als u hoog-risico AI bouwt?

Bouwt u zelf een AI-systeem dat valt onder annex III (recruitment, kredietbeoordeling, scoring in onderwijs, kritieke infrastructuur, rechtshandhaving)? Dan bent u provider en gelden de zware verplichtingen:

• Technisch dossier (annex IV): documentatie van het systeem, datasets, prestaties, testresultaten
• Quality management system (artikel 17): gestructureerde processen voor ontwikkeling, validatie en monitoring
• Conformiteitsbeoordeling (artikel 43): meestal interne controle, voor sommige categorieen via een notified body
• Registratie in EU AI-databank (artikel 49): voor publicatie verplicht
• CE-markering en EU-verklaring van overeenstemming
• Post-market monitoring (artikel 72): doorlopend volgen van de prestaties na livegang

De praktijk: een serieuze provider-implementatie kost een startup 80.000 tot 250.000 euro in jaar 1. Dat is veel, maar de helft daarvan is investering in goede engineering-praktijken (testing, monitoring, documentatie) die u sowieso zou moeten doen. Zie dit als groeikapitaal, niet als boete.

Regulatory sandboxes (artikel 57): de MKB-uitvalsbasis

De Nederlandse AI-sandbox start in 2026 onder leiding van de Autoriteit Persoonsgegevens samen met de Rijksinspectie Digitale Infrastructuur. Doel: startups en scale-ups een gecontroleerde omgeving bieden waar ze innovatieve AI mogen testen en valideren, met directe toegang tot juridische guidance en zonder direct alle naleving-eisen in volle omvang te hoeven nakomen.

Voordelen voor uw startup:

• Gratis juridische en technische ondersteuning bij ontwerpkeuzes
• Verlaagde drempel voor markttoetreding: de sandbox-uitkomst telt mee als bewijs van due diligence
• Formele verklaring aan het einde van het traject (geen CE-markering, maar wel zwaar wegende indicator)
• Toegang tot een testdataset en peer-reviewing met andere deelnemende startups
• Bescherming bij beperkte overtredingen tijdens de testfase: geen onmiddellijke boetes mits u te goeder trouw deelneemt

Hoe aanmelden: via een aanvraagprocedure die in Q3 2026 opengaat bij de Autoriteit Persoonsgegevens. Vereisten: een werkend prototype, een duidelijk use-case-document, een team dat actief deelneemt aan reviewsessies en een commitment van minimaal zes maanden. De eerste cohort start naar verwachting in Q4 2026 met circa twintig deelnemers.

Verlaagde tarieven voor MKB en startups

Artikel 62 van de AI Act verplicht lidstaten en notified bodies om MKB en startups proportionele tarieven aan te bieden. In de Nederlandse uitwerking betekent dit:

• Notified body-fees: 30 tot 50 procent korting op conformiteitsbeoordelingen voor bedrijven met minder dan 50 medewerkers en omzet onder 10 miljoen euro
• Registratie EU AI-databank: gratis voor MKB (geldt voor iedereen, maar relevant om te weten dat er geen verborgen kosten zijn)
• Geharmoniseerde normen: kosteloze toegang tot de geharmoniseerde EN-normen voor AI (in tegenstelling tot reguliere NEN-normen die per stuk gekocht moeten worden)
• RVO MIT-vouchers: tot 50 procent vergoeding voor haalbaarheidsstudies en kennisvoucher-trajecten gericht op naleving

Pre-seed en seed: minimaal naleving-pakket

U heeft net uw eerste 250.000 euro opgehaald, twee oprichters, een werkend prototype en geen tijd. Wat doet u sowieso vandaag?

1. Artikel 5-check op uw product

Lees artikel 5 en check binnen een uur of uw product een verboden AI-functie heeft. Zo nee, leg vast dat u dit hebt gedaan. Zo ja, herontwerp nu, niet later.

2. AI-register als spreadsheet

Een Google Sheet met: naam van AI-systeem, eigenaar, doel, datatype, risiconiveau, leverancier en welke artikel uit de AI Act mogelijk relevant is. Tijdsinvestering: 1 uur per systeem.

3. Transparantie-baseline in product

Voeg in uw UI een eenvoudige notice toe waarin u meldt dat AI wordt gebruikt. Dit is achteraf 100 keer duurder dan vooraf inbouwen.

Totale tijdsinvestering voor pre-seed: een halve werkdag van een founder. Dat is alles wat in deze fase noodzakelijk is, mits u geen hoog-risico AI bouwt.

Series A en groei: schaalbare governance

Vanaf 10 werknemers of een Series A wordt het serieuzer. Drie acties die uw governance-fundament leggen:

Eerste hire of fractional CAIO

Tot Series A doet meestal een mede-oprichter de governance erbij. Vanaf Series A wilt u een part-time of fractional Chief AI Officer (800 tot 2.500 euro per maand voor halve dag per week). Deze persoon coordineert AI-beleid, doet FRIA's voor nieuwe features en is aanspreekpunt voor due diligence.

Eerste interne audit

Plan in jaar 1 na Series A een interne naleving-audit (extern uitgevoerd, kosten 4.000 tot 12.000 euro). Output: een gap-analyse met prioriteiten voor de komende 12 maanden. Onmisbaar materiaal voor uw volgende investorgesprek.

ISO 27001 als basis, ISO 42001 als uitbreiding

Voor scale-ups die zaken doen met enterprise-klanten is ISO 27001 (informatiebeveiliging) inmiddels tafelinzet. Heeft u die op orde, dan kunt u 30 tot 50 procent goedkoper opschalen naar ISO 42001 (AI-managementsysteem). Samen vormen ze een ijzersterke basis voor zowel naleving als sales.

Internationale expansie: wanneer een EU-representant nodig is

Bent u een AI-startup gevestigd buiten de EU en wilt u uw product in de EU op de markt brengen? Dan eist artikel 22 dat u een EU-representant aanstelt: een natuurlijke of rechtspersoon binnen de EU die schriftelijk gemachtigd is om namens u op te treden tegenover toezichthouders.

De EU-representant houdt de verklaring van overeenstemming, het technische dossier en bewijs van de conformiteitsbeoordeling beschikbaar, werkt mee met toezichthouders en kan administratieve sancties ontvangen. Een Nederlandse EU-representant kost gemiddeld 5.000 tot 15.000 euro per jaar, afhankelijk van hoeveel producten u registreert. Bekende aanbieders zijn EUREP-Y, Rep4EU en EU-Compliance Partners.

Andersom: bent u Nederlands en gaat u verkopen aan klanten buiten de EU? Daar gelden hun lokale regimes (UK AI Bill, NIST AI RMF in de VS, Singapore AI Verify) die deels overlappen met de AI Act. Goede EU-naleving versimpelt deze trajecten doorgaans.

Pitch-deck verzwaring: hoe naleving uw investor-story versterkt

In 2024 was naleving een "trust me bro" in pitch-decks. In 2026 vragen investeerders concreet bewijs. Drie elementen die uw pitch versterken:

• Governance-slide: rollen (wie is verantwoordelijk), beleid (wat staat op papier) en sandbox-deelname (indien van toepassing). Eén slide is genoeg.
• Naleving-baseline in data room: AI-register, FRIA voor uw hoofdsysteem, ISO 27001-status of -roadmap. Maakt due diligence drie weken sneller.
• Duidelijke EU-marktstrategie: leg uit hoe u naleving inzet als concurrentievoordeel ten opzichte van Amerikaanse spelers die de EU als second-thought zien.

Praktische 8-punts checklist voor AI-startups

Veelgemaakte fouten van AI-founders

Fout 1: "Wij zijn maar deployer, dit raakt ons niet"

Veel founders denken dat zij deployer zijn omdat ze een OpenAI-model fine-tunen. Maar zodra u een wezenlijke wijziging aanbrengt aan een AI-systeem dat u opnieuw op de markt brengt onder uw eigen naam, bent u juridisch provider. Dit verschuift het hele nalevingsregime. Laat dit minimaal eenmaal juridisch toetsen voor uw eerste paid release.

Fout 2: Naleving als laatste sprint voor launch

Documentatie, FRIA's en QMS-processen achteraf opbouwen kost drie tot vijf keer meer dan vooraf. Bouw documentatie tijdens development, niet erna.

Fout 3: Geen EU-representant bij internationale founders

Startups met oprichters buiten de EU (vaak in de VS, Verenigd Koninkrijk of Singapore) die hun product in de EU verkopen, vergeten regelmatig de EU-representant. Boete: tot 7,5 miljoen euro of 1,5 procent van de wereldwijde jaaromzet.

Fout 4: Pitch-deck verwijst naar "AI ethics" zonder bewijs

Een slide met "Responsible AI by Design" zonder een AI-register, een FRIA of een sandbox-deelname is in 2026 dunne lucht. Investeerders prikken er doorheen.

Fout 5: Geen artikel 50-banner in B2C-product

Consumentenproducten die AI inzetten zonder zichtbare melding lopen het risico op klachten bij de Autoriteit Consument & Markt en de Autoriteit Persoonsgegevens. Negatieve PR plus boete.