Geldt de EU AI Act ook voor kleine bedrijven?

Ja, de EU AI Act - ook wel de AI wet - geldt voor elk bedrijf dat AI-systemen inzet, ongeacht grootte. Zodra u een AI-tool zakelijk gebruikt bent u een deployer met wettelijke verplichtingen. De zwaarte van die verplichtingen hangt af van het risiconiveau van de tool, niet van uw bedrijfsomvang.

Wanneer moet mijn bedrijf voldoen aan de EU AI Act?

Artikel 4 (AI-geletterdheid) was verplicht per 2 februari 2025. De verplichtingen voor hoog-risico AI-systemen gelden per 2 augustus 2026. Voor de meeste MKB-bedrijven betekent dit dat het basispakket - AI-register, AI-beleid en medewerkerstraining - vóór 2 augustus 2026 geregeld moet zijn.

Wat is de boete als ik de EU AI Act niet naleef?

De Autoriteit Persoonsgegevens kan boetes opleggen tot €15 miljoen of 3% van de wereldwijde jaaromzet voor schending van hoog-risico verplichtingen, en tot €35 miljoen of 7% bij gebruik van verboden AI. Bij een eerste overtreding begint handhaving doorgaans met een waarschuwing en hersteltermijn.

Wat is een AI-register?

Een AI-register is een overzicht van alle AI-systemen die uw organisatie gebruikt. Per tool noteert u minimaal: naam, aanbieder, doel van gebruik, risiconiveau, type data, de verantwoordelijke persoon en of er een verwerkersovereenkomst is. Een spreadsheet of Word-document volstaat voor de meeste MKB-bedrijven.

EU AI Act voor het MKB: deadline 2 aug 2026

Nog 97 dagen

De deadline voor hoog-risico AI-systemen is 2 augustus 2026. Artikel 4 (AI-geletterdheid) was al verplicht per 2 februari 2025. Wacht niet langer.

Waarom de EU AI Act ook voor uw bedrijf geldt

Veel ondernemers denken dat de EU AI Act - ook bekend als de AI wet - alleen voor techbedrijven of grote corporates is. Dat is een misverstand. De AI wet geldt voor elk bedrijf dat AI-systemen inzet, of u nu ChatGPT gebruikt voor uw e-mails, LinkedIn Recruiter voor het vinden van kandidaten, of Copilot in uw Microsoft 365-omgeving.

U bent dan een deployer: een organisatie die een AI-systeem toepast in een professionele context. En deployers hebben zelfstandige wettelijke verplichtingen, ongeacht hoe groot uw bedrijf is.

Belangrijk onderscheid: Microsoft, OpenAI en Google zijn de aanbieders van de AI-tools. Zij regelen de technische naleving van hun eigen systemen. Maar de verplichting om een AI-beleid te voeren, uw medewerkers te trainen en een AI-register bij te houden, dat ligt bij u.

Wat is er al verplicht? (Artikel 4, AI-geletterdheid)

Sinds 2 februari 2025 zijn deployers verplicht om te zorgen dat medewerkers die met AI-systemen werken, voldoende kennis hebben van:

Hoe de AI-tool werkt (globaal technisch begrip)
Welke risico's eraan verbonden zijn
Hoe ze verantwoord met de tool omgaan
Wanneer de output van de AI gecheckt moet worden door een mens

Dit hoeft geen formele opleiding te zijn, ook een intern document, een teambespreking of een e-learning voldoet, als u het maar aantoonbaar kunt maken. Zonder documentatie bent u in overtreding.

Wat moet er klaarliggen vóór 2 augustus 2026?

Per 2 augustus 2026 treden de verplichtingen voor hoog-risico AI en transparantie-eisen volledig in werking. Voor de meeste MKB-bedrijven betekent dit een verplicht basispakket:

1AI-register: een overzicht van alle AI-tools die uw bedrijf gebruikt, met naam, doel, aanbieder, risiconiveau en welke data er ingaat.
2AI-beleid: een intern document dat beschrijft hoe uw organisatie omgaat met AI, wie mag wat gebruiken, welke data mag erin, hoe u kwaliteit borgt.
3Aantoonbare training: bewijs dat medewerkers die AI gebruiken geïnformeerd zijn over de risico's (artikel 4). Dit kan een e-learning zijn, een gespreksverslag of een intern certificaat.
4Transparantie naar klanten: als uw bedrijf AI inzet in communicatie met klanten (chatbot, gegenereerde e-mails), moet u dit melden.
5Verwerkersovereenkomsten: controleer of uw AI-leveranciers een data processing agreement (DPA) bieden en teken deze waar nodig.

Wat is hoog-risico AI en geldt dat voor mij?

Hoog-risico AI-systemen zijn systemen die worden ingezet in specifieke sectoren of toepassingen die een direct effect hebben op mensenrechten, veiligheid of kansen. Denk aan:

HR en recruitment: AI die sollicitanten rangschikt, beoordeelt of selecteert (bijv. ATS-systemen met AI, HireVue)
Financiële dienstverlening: AI die kredietwaardigheid beoordeelt of fraudedetectie doet
Zorg: AI in medische hulpmiddelen of diagnose-ondersteuning
Onderwijs: AI die studenten beoordeelt of toegang tot opleidingen bepaalt

Als uw bedrijf zulke systemen gebruikt, zijn er extra verplichtingen: technische documentatie, risicobeoordelingen, menselijk toezicht, en in sommige gevallen registratie in de EU AI-databank vóór gebruik.

Niet zeker? Doe de gratis check op actcheck.nl. In 10 minuten weet u welke AI-tools u gebruikt, wat hun risiconiveau is, en welke concrete stappen u moet zetten.

Wat zijn de boetes bij niet-naleving?

De toezichthouders zijn er, in Nederland is de Autoriteit Persoonsgegevens (AP) aangewezen als nationale toezichthouder voor de AI Act. De boetes zijn niet gering:

Gebruik van verboden AI: tot €35 miljoen of 7% van de wereldwijde jaaromzet
Niet naleven van hoog-risico verplichtingen: tot €15 miljoen of 3%
Onjuiste informatie verstrekken: tot €7,5 miljoen of 1,5%

Voor MKB zijn de percentages vrijwel altijd relevanter dan de absolute bedragen. Een bedrijf met €2 miljoen omzet riskeert bij ernstige overtredingen een boete van €140.000.

Hoe begin ik? Een praktisch 4-stappenplan

Stap 1: inventariseer uw AI-tools (30 minuten)

Maak een lijst van alle AI-tools die uw bedrijf gebruikt. Denk breder dan alleen ChatGPT: ook Copilot in Word/Excel, AI in uw boekhoudpakket, LinkedIn Recruiter, Grammarly, en AI-chatbots op uw website tellen mee.

Stap 2: classificeer het risico (1 uur)

Bepaal per tool of het minimaal risico, beperkt risico, of hoog risico is. Gebruik hiervoor de gratis checker op actcheck.nl, dit doet de classificatie automatisch op basis van uw antwoorden.

Stap 3: stel uw basisdocumentatie op (1 middag)

Maak een AI-register (lijst van tools met risicoclassificatie) en een beknopt AI-beleid. Het hoeft geen roman te zijn, een eenpager per tool en een A4-document als beleid voldoen voor de meeste MKB-bedrijven.

Stap 4: train uw medewerkers (1-2 uur)

Informeer medewerkers over de tools die zij gebruiken en de risico's ervan. Documenteer dat dit is gedaan. Een e-mail met bevestiging, een verslag van een teamoverleg, of een e-learning-certificaat zijn alle geldig bewijs.

Doe de gratis AI Act check

In 10 minuten weet u waar uw bedrijf staat. U ontvangt een persoonlijke nalevingsscore, risicoclassificatie per tool en concrete actiepunten.

Start de gratis check

EU AI Act voor het MKB: wat moet u doen vóór 2 augustus 2026?

Waarom de EU AI Act ook voor uw bedrijf geldt

Wat is er al verplicht? (Artikel 4, AI-geletterdheid)

Wat moet er klaarliggen vóór 2 augustus 2026?

Wat is hoog-risico AI en geldt dat voor mij?

Wat zijn de boetes bij niet-naleving?

Hoe begin ik? Een praktisch 4-stappenplan

Stap 1: inventariseer uw AI-tools (30 minuten)

Stap 2: classificeer het risico (1 uur)

Stap 3: stel uw basisdocumentatie op (1 middag)

Stap 4: train uw medewerkers (1-2 uur)

Doe de gratis AI Act check

Volledige kennisbank: alle artikelen

EU AI Act voor het MKB: wat moet u doen vóór 2 augustus 2026?

Waarom de EU AI Act ook voor uw bedrijf geldt

Wat is er al verplicht? (Artikel 4, AI-geletterdheid)

Wat moet er klaarliggen vóór 2 augustus 2026?

Wat is hoog-risico AI en geldt dat voor mij?

Wat zijn de boetes bij niet-naleving?

Hoe begin ik? Een praktisch 4-stappenplan

Stap 1: inventariseer uw AI-tools (30 minuten)

Stap 2: classificeer het risico (1 uur)

Stap 3: stel uw basisdocumentatie op (1 middag)

Stap 4: train uw medewerkers (1-2 uur)

Doe de gratis AI Act check

Meer lezen

EU AI Act naleving voor bedrijven: wat betekent het en wat moet u doen?

AI Act naleving checklist: 8 punten die elk bedrijf moet afvinken

AI Act naleving en de toezichthouder: wat controleert de AP?

Volledige kennisbank: alle artikelen