De EU AI Act rolt in fases uit: de verboden AI-praktijken en de AI-literacy-plicht gelden al sinds 2 februari 2025, en op 2 augustus 2026 volgt de volgende grote stap — transparantie-eisen en de regels voor hoog-risico-AI. Goed nieuws: voor MKB-bedrijven met low-risk AI-toepassingen (klantmail-samenvatten, content-generatie, offerte-templates) is de impact beperkt. Vijf concrete acties voorkomen 95% van de problemen. Hieronder de checklist die we bij klanten doorlopen, plus wat je expliciet niet hoeft te doen.
Volgende deadline: transparantie-eisen + regels voor hoog-risico-AI. AI-literacy en verboden praktijken gelden al sinds 2 feb 2025. Voor MKB met low-risk AI is voorbereiding ~16-24 uur werk.
Actie 1. Inventariseer je AI-gebruik
Maak een lijst van alle AI-tools die binnen je organisatie gebruikt worden. Niet alleen de "officiële", ook de tools die medewerkers zelf zijn gaan gebruiken. In de praktijk zien we dat MKB-bedrijven gemiddeld 12-18 verschillende AI-tools in gebruik hebben — terwijl management er meestal 3-5 weet.
Per tool noteer je:
- Naam van de tool en leverancier
- Welke data wordt erin gestopt (klantdata, content, code)
- Welk proces wordt ondersteund
- Wie de gebruiker is (rol, niet naam)
- Welk abonnement (Free, Team, Enterprise)
Deze inventarisatie is de basis voor stappen 2 t/m 5. Reken op 4-6 uur, inclusief korte rondvraag bij teamleden.
Actie 2. Risicoclassificatie per use-case
De AI Act onderscheidt vier risiconiveaus. Voor elke AI-toepassing in je inventarisatie bepaal je in welk niveau ze valt.
| Niveau | Wat valt erin | Voorbeeld MKB | Verplichtingen |
|---|---|---|---|
| Verboden | Sociale scoring, manipulatieve AI | Zeldzaam in MKB | Niet gebruiken |
| Hoog risico | HR-screening, kredietbeoordeling, kritieke infra | CV-screening tool | Conformiteitsbeoordeling, registratie |
| Beperkt risico | Chatbots, deepfakes, emotie-herkenning | Klantenservice-bot | Transparantie naar gebruiker |
| Minimaal risico | Spam-filter, voorraad-AI, content-tools | 95% van MKB-cases | AI-literacy + vrijwillige codes |
De meeste MKB-toepassingen vallen in "minimaal risico". Dat betekent: AI-literacy training en transparantie waar relevant, geen zware compliance-traject.
Actie 3. AI-literacy training voor medewerkers
Verplicht vanaf 2 februari 2025 (al actief): elke medewerker die AI gebruikt moet basis-AI-literacy hebben. Dat is geen 8-uurs cursus. Voor MKB volstaat een 2-uurs sessie per rol-niveau, gedocumenteerd.
Vuistregel: AI-literacy verplichting geldt nu al, sinds februari 2025. Wie er nog niets aan deed, loopt formeel achter. Praktische handhaving start naar verwachting na 2 augustus 2026.
Een minimaal AI-literacy document per rol-niveau bevat 4 onderdelen:
- Wat is AI en hoe werken LLMs op hoofdlijnen (10 min)
- Welke risico's kennen AI-systemen (hallucinaties, bias, privacy) (20 min)
- Hoe gebruiken wij het binnen ons bedrijf (verwijzing naar AI-policy) (15 min)
- Wat doe je bij twijfel of fout (intern meldproces) (10 min)
Sla af met 5 vragen om te checken dat het is opgenomen. Bewaar de aanwezigheidsregistratie. Daarmee voldoe je in basis aan art. 4 AI Act.
Actie 4. Transparency obligations naar klanten
Voor "beperkt risico" AI moet de gebruiker weten dat het een AI is. Concreet voor MKB:
- Chatbots: meld duidelijk dat het AI is, niet "Eva van customer service"
- AI-gegenereerde content: markeer met "geschreven met AI-assistentie" waar relevant
- Deepfakes/synthetische beelden: watermerk of bijschrift
- Emotie-herkenning: opt-in en uitleg vooraf
Voor "minimaal risico" toepassingen (de meeste MKB-AI) is dit niet verplicht, maar wel goede praktijk. Je voorkomt klantirritatie en bouwt vertrouwen op.
Actie 5. Documenteer in een AI-register
Een AI-register is geen wettelijke verplichting voor minimaal-risico systemen, maar wél een essentieel document om snel aan te tonen dat je weet wat er gebruikt wordt. Een eenvoudige Excel/Notion-tabel met de volgende kolommen volstaat:
| Kolom | Voorbeeld |
|---|---|
| Tool | ChatGPT Team |
| Use-case | Offerte-concepten genereren |
| Risiconiveau | Minimaal |
| Datatype | Klantnaam, productlijst (geen BSN) |
| Eigenaar | Sales-manager |
| Laatste review | Q2 2026 |
| DPA actief | Ja, OpenAI Enterprise DPA |
Wat je expliciet NIET hoeft te doen
Vanwege paniekverhalen in vakbladen krijgen we deze vragen wekelijks. Het korte antwoord: nee, dat is niet nodig.
- Geen "AI-veilig keurmerk" aanvragen. Bestaat (nog) niet als verplichting. Aanbieders die zo'n keurmerk verkopen voor €5.000-€15.000 zijn opportunistisch.
- Geen externe AI-auditor inschakelen. Voor minimaal-risico systemen is dit niet verplicht. Voor hoog-risico systemen wel; die hebben MKB-bedrijven zelden.
- Geen AI-officer aanstellen. Je DPO (privacy officer) of operations-manager kan deze rol prima oppakken in een uurtje per kwartaal.
- Geen elke AI-tool stoppen voor augustus. Inventarisatie + classificatie + literacy = voldoende start. Stoppen pas bij hoog-risico toepassingen zonder grondslag.
- Geen €25k consultancy-traject. Een MKB-traject voor AI Act compliance kost €1.500-€4.000 inclusief documentatie. Daarboven betaal je voor uitleg, niet voor compliance.
Drie verschillende consultants probeerden ons een "AI Act compliance traject" van €18k tot €40k te verkopen. We hebben uiteindelijk de inventarisatie en literacy zelf gedaan in 2 dagen, en een externe jurist een halfdag laten meekijken voor €750. Klaar.— Eigenaar, MKB-handelsbedrijf 22 medewerkers
Tijdsplanning richting 2 augustus 2026
Een realistische voorbereiding voor een MKB-bedrijf:
- Week 1-2: Inventarisatie AI-gebruik + risicoclassificatie (8u)
- Week 3-4: AI-literacy materiaal opstellen + sessies plannen (8u)
- Week 5-6: Sessies geven + register inrichten (6u)
- Week 7-8: Transparency-aanpassingen op website + chatbot (4u)
Totaal: 16-24 uur, te verdelen over 8 weken. Geen €30k traject nodig. Geen revolutie. Wel: documenteer wat je doet, zodat bij een eventuele controle alles op tafel ligt.
De vuistregel
Voor MKB-bedrijven met overwegend minimaal-risico AI: inventariseren + AI-literacy + register = voldoende. Hoog-risico AI is in MKB-context zeldzaam (CV-screening is de bekendste uitzondering). De handhaving zal in 2026-2027 vooral op hoog-risico systemen en grote bedrijven gericht zijn — wat niet betekent dat het MKB de regels mag overslaan, wel dat een proportionele aanpak realistisch is.