De EU AI Act is de eerste grote AI-regulering ter wereld. Sinds 2025 gefaseerd van kracht, volledig toegepast vanaf augustus 2026. Voor veel mkb-eigenaren klinkt het als “alweer regels” die pas over een paar jaar relevant worden.
Dat is deels waar. Voor de meeste mkb-AI-toepassingen valt de impact mee. Voor enkele specifieke use-cases is het substantieel. Deze post: wat precies voor jou geldt, en wat je in 2026 moet hebben geregeld.
De vier risicocategorieën
De EU AI Act deelt AI-systemen in vier categorieën:
1. Verboden — AI-toepassingen die in de EU simpelweg niet mogen. Voorbeelden: social scoring door overheden, real-time biometrische identificatie in publieke ruimte, manipulatieve technieken die schade veroorzaken.
2. Hoog-risico — AI in kritieke domeinen. Onderwijstoetsing, werving & selectie, credit-scoring, kritieke infrastructuur, rechtshandhaving. Strenge eisen: risk management, datagovernance, transparantie, menselijke oversight, logging.
3. Beperkt-risico — AI waar transparantie belangrijk is. Chatbots, deepfakes, AI-gegenereerde content. Eis: duidelijk maken dat een gebruiker met AI te maken heeft.
4. Minimaal-risico — De meeste AI-toepassingen. Spam-filters, inventarisbeheer, productiviteit-tools. Geen specifieke verplichtingen onder de AI Act.
Voor de meeste mkb valt alles in categorie 3 of 4. Maar het hangt af van wat je doet.
Hoe bepaal je jouw categorie?
Beantwoord deze vier vragen:
1. Gebruik je AI voor HR of recruitment-beslissingen? Zo ja → hoog-risico. Denk aan AI die cv’s selecteert, kandidaten scoort, interviews analyseert. Hier moet je aan alle eisen van hoog-risico voldoen.
2. Gebruik je AI voor credit-scoring of financiële beslissingen over personen? Zo ja → hoog-risico. Geldt ook als het alleen intern is voor leveranciers-betrouwbaarheid.
3. Gebruik je AI die met klanten/gebruikers communiceert (chatbot, voice-assistant)? Zo ja → beperkt-risico. Eis: duidelijke disclosure dat het AI is. Een simpel regeltje “dit is een AI-assistent” bij het begin van de chat volstaat.
4. Gebruik je AI die media genereert (afbeeldingen, tekst, video) die als menselijk kunnen worden ervaren? Zo ja → beperkt-risico. Eis: disclosure dat content AI-gegenereerd is. Met AI geschreven social posts vallen hieronder.
Als je geen ja op 1-4 hebt, zit je in minimaal-risico en zijn de specifieke AI Act-eisen niet op jou van toepassing (al geldt AVG natuurlijk wel).
Wat moet je regelen per categorie?
Minimaal-risico
Geen AI-specifieke eisen. Wel:
- AVG compliance voor persoonsgegevens die door AI worden verwerkt
- Interne governance: wie weet wat voor AI er draait?
Beperkt-risico (chatbots, gen-AI content)
Concrete eisen:
Disclosure bij chatbots. De eerste interactie moet duidelijk maken dat het een AI is. “Hoi, ik ben Sam, de AI-assistent van [bedrijf]” is voldoende. Geen disclosure = boete mogelijk.
AI-gegenereerde content labelen. Als je AI-gegenereerde social media posts, afbeeldingen of video’s produceert waar de ontvanger niet kan zien dat het AI is, moet je dat duidelijk maken.
Interne documentatie. Leg vast welke AI-tools je gebruikt, waarvoor, en welke data erin gaat. Simpel document (Google Doc volstaat).
Hoog-risico
Substantieel werk. Als je hierin valt, is het verstandig externe compliance-hulp in te schakelen. Kort samengevat:
- Risk management systeem — gedocumenteerde risico-analyse
- Data governance — bronnen, kwaliteit, bias-analyse
- Technische documentatie — hoe werkt het systeem
- Record keeping — logging van beslissingen voor audit
- Menselijke oversight — mens kan altijd ingrijpen
- Accuracy, robustness, cybersecurity — technische eisen
- Conformity assessment — externe beoordeling
Praktische stappen voor een standaard mkb
Als je in beperkt-risico valt (bijv. je gebruikt een chatbot op je site of genereert content met AI), dan is dit een haalbaar 4-uur-project:
Stap 1 — Inventarisatie (30 min) Maak een lijstje van alle AI-tools die je gebruikt, intern én extern. Intercom AI, ChatGPT abonnement, Canva AI, Zapier AI-stappen, etc.
Stap 2 — Chatbot-disclosure (30 min) Check elke klantgerichte chatbot of AI-tool: staat er duidelijk dat het AI is? Voeg anders één regel toe.
Stap 3 — Content-disclosure beleid (1 uur) Maak interne richtlijn: welke AI-gegenereerde content label je (“Deze afbeelding is AI-gegenereerd”) en welke niet (tekst die door een mens is geredigeerd hoef je niet per se te labelen).
Stap 4 — Interne AI-inventaris (1 uur) Maak een simpel document dat beschrijft welke AI-tools je gebruikt, waar, voor wat, en welke data erin gaat. Dit is niet verplicht maar zeer verstandig voor governance.
Stap 5 — Medewerkers informeren (1 uur) Korte training (team-meeting) over wat mag en niet mag: welke data mag wel/niet in ChatGPT, wat doen we met output, wanneer labelen.
Handhaving en boetes
De boetes onder de AI Act kunnen hoog oplopen: tot 7% van de wereldwijde omzet voor verboden AI-gebruik, tot 3% voor andere overtredingen. Voor mkb in beperkt-risico-categorie zijn boetes in 2026 waarschijnlijk gering — maar de trend is strenger. Autoriteit Persoonsgegevens (AP) in Nederland is al proactief aan het toezien.
Wat wij adviseren
Voor AI-first agencies zoals wij en voor mkb die AI serieus gebruikt: zie compliance niet als obstakel maar als hygiëne. Drie principes:
- Transparantie standaard — gebruikers mogen altijd weten dat ze met AI praten
- Interne documentatie — iemand moet weten welke AI er draait en waar
- Data-governance — niet elke data mag in elke AI
Met die drie op orde val je in 2026 niet op als laggard, maar ook niet als overcompliant-verlamd.
Wanneer ben je niet-zelfsturend?
Externe hulp inschakelen als:
- Je valt in hoog-risico categorie
- Je bedrijfsomvang >€50M of >250 FTE (strengere eisen)
- Je bouwt zelf AI-producten die je aan derden levert
- Je hebt internationale gebruikers buiten EU
Verder
Onzeker over jouw AI Act-status? We doen een snelle compliance-scan. Bel 06 81 38 36 01 of plan een gesprek.
Tags
Geschreven door
Jorian Wientjens
Developer en technisch specialist bij Agensea. Bouwt al jaren websites en maatwerk software, en kent het hele speelveld — van hosting en DNS tot performance en code-architectuur.