AI Act voor Nederlandse mkb: wat moet je doen, en wanneer?

De AI Act, formeel Verordening (EU) 2024/1689, is de eerste horizontale AI-wet ter wereld. Hij is op 13 juni 2024 aangenomen, gepubliceerd in het Publicatieblad van de EU op 12 juli 2024, en in werking getreden op 1 augustus 2024. Vanaf die datum lopen verschillende verplichtingen in fases af, met volledige toepassing op 2 augustus 2026. De wet geldt direct in alle EU-lidstaten, dus ook in Nederland, zonder omzetting in nationale wetgeving.

De wet kent vier belangrijke datums. 2 februari 2025: verboden AI-praktijken (artikel 5) zijn van kracht en de plicht tot AI-geletterdheid (artikel 4) geldt voor alle organisaties die AI gebruiken. 2 augustus 2025: verplichtingen voor aanbieders van general-purpose AI-modellen (GPAI), zoals OpenAI, Anthropic, Google en Mistral, samen met de governance-bepalingen en de meeste sancties. 2 augustus 2026: de bulk van de wet, waaronder de regels voor hoog-risico-systemen (Bijlage III) en transparantieverplichtingen voor beperkt-risico-systemen. 2 augustus 2027: de regels voor hoog-risico-AI ingebed in producten onder bestaande EU-productwetgeving (Bijlage I, denk aan medische hulpmiddelen, machines en speelgoed).

De AI Act werkt risicogebaseerd. Onaanvaardbaar risico (verboden): social scoring door overheden, manipulatieve AI die kwetsbare groepen schade berokkent, biometrische categorisatie naar gevoelige kenmerken, real-time biometrische identificatie in publieke ruimtes (met enkele uitzonderingen voor wetshandhaving), emotieherkenning op werkvloer en in onderwijs. Volledig verboden vanaf 2 februari 2025. Hoog risico: systemen genoemd in Bijlage III (recruitment, kredietverlening, kritieke infrastructuur, onderwijs, biometrie zonder verbod, rechtshandhaving, migratie, justitie) en AI in producten onder Bijlage I. Zware verplichtingen: risicobeheersysteem, datagovernance, technische documentatie, logging, menselijk toezicht, robuustheid en cybersecurity. Beperkt risico: chatbots, deepfakes, AI-gegenereerde content. Verplicht: gebruikers informeren over AI-gebruik en content labelen. Minimaal risico: spamfilters, AI in videospellen, voorraadoptimalisatie. Geen specifieke AI Act-verplichtingen, AVG en gewoon recht blijven gelden.

De wet kent vier rollen. Aanbieders (providers): degenen die een AI-systeem ontwikkelen of laten ontwikkelen om het op de markt te brengen onder eigen naam. De zwaarste rol. Gebruikersverantwoordelijken (deployers): organisaties die een AI-systeem gebruiken in een professionele context. Hier zit het grootste deel van het Nederlandse mkb. Importeurs: bedrijven die een AI-systeem uit een derde land in de EU op de markt brengen. Distributeurs: bedrijven in de toeleveringsketen die AI-systemen op de markt aanbieden zonder ze zelf te hebben gemaakt of geimporteerd. Belangrijk: ook als deployer heb je verplichtingen, vooral bij hoog-risico-systemen (artikel 26): menselijk toezicht, logs bewaren, incidenten melden, en je werknemers AI-geletterd maken (artikel 4).

Artikel 4 verplicht aanbieders en deployers om naar beste vermogen te zorgen dat hun personeel en andere personen die namens hen AI-systemen gebruiken een voldoende niveau van AI-geletterdheid hebben. Dat moet rekening houden met de technische kennis van die personen, hun ervaring, opleiding, de context van het AI-gebruik, en wie er gevolgen ondervinden. In de praktijk: training op rolniveau, niet een algemene cursus voor iedereen. Een marketingmedewerker die ChatGPT gebruikt voor copy heeft een ander curriculum dan een HR-manager die een sollicitatiescreener inzet. De toezichthouders, in Nederland de Autoriteit Persoonsgegevens en de RDI, hebben aangegeven dat ze handhaven op aantoonbaarheid: documentatie, deelnemers, leerdoelen, evaluatie. Wij leveren dit als pakket via /ai-training.

Boetes zijn maximaal en gestaffeld. Tot 35 miljoen euro of 7% van de wereldwijde jaaromzet (de hoogste van de twee) voor het inzetten van verboden AI-praktijken (artikel 5). Tot 15 miljoen euro of 3% voor schending van de meeste andere verplichtingen, waaronder hoog-risico-eisen, transparantie en GPAI-aanbiedersregels. Tot 7,5 miljoen euro of 1% voor het verstrekken van onjuiste of misleidende informatie aan toezichthouders. Voor mkb en startups gelden specifieke bepalingen: lidstaten mogen lagere maxima hanteren voor kleinere ondernemingen, en de proportionaliteit van de boete moet worden meegewogen. In Nederland is de Autoriteit Persoonsgegevens aangewezen als belangrijkste toezichthouder, naast sectorale toezichthouders zoals de RDI, AFM en NZa.

Ze stapelen, ze vervangen elkaar niet. De AVG (GDPR) blijft volledig van kracht voor alles wat persoonsgegevens raakt. Een AI-systeem dat persoonsgegevens verwerkt moet aan de AVG voldoen (rechtsgrondslag, doelbinding, dataminimalisatie, betrokkenenrechten) en aan de AI Act (risicoclassificatie, documentatie, menselijk toezicht). NIS2, de cybersecurity-richtlijn voor essentiele en belangrijke entiteiten, raakt AI op het punt van technische beveiliging en incidentmelding. In de praktijk doe je je risico-inventarisaties geintegreerd: een DPIA voor AVG, een fundamental rights impact assessment (FRIA) voor hoog-risico-AI bij publieke deployers, en een NIS2-risicoanalyse, alle drie op basis van dezelfde input. Voor de NIS2-kant werken we samen met nis2-compliant.com.

De Autoriteit Persoonsgegevens (AP) is in Nederland aangewezen als markttoezichthouder voor de AI Act, naast haar bestaande rol als AVG-toezichthouder. De AP heeft een dedicated thema-pagina algoritmes en AI met richtsnoeren, FAQ en sectorrapporten. Belangrijke standpunten: AI-geletterdheid is geen formaliteit maar een serieuze plicht, deepfakes zonder duidelijke labeling zijn problematisch onder zowel AVG als AI Act, en automatische besluitvorming met juridische gevolgen valt onder zowel artikel 22 AVG als artikel 26 AI Act. De AP publiceert ieder kwartaal een rapportage over algoritmische risicos in Nederland.

Drie sporen, in deze volgorde. Spoor 1, snel beeld: AI-quickscan van een halfdag tot een dag, alle AI-systemen in kaart, classificatie naar risico, top-3 acties op een A4. Zie ook de gratis AI-scanner op /ai-scan voor een eerste indruk. Spoor 2, grondwerk: AI-register opzetten, AI-geletterdheidstraining uitrollen via /ai-training, AI-beleid en interne procedures schrijven, integratie met bestaand AVG-werk. Spoor 3, hoog risico of grootschalig: voor organisaties met echte hoog-risico-systemen of GPAI-bouwers stellen we een implementatietraject voor met risicobeheersysteem, technische documentatie, menselijk toezicht en post-market monitoring. Hier werken we samen met juristen via /ai-juridisch en, voor financieel-administratieve overlap, met accountants via /ai-accountants.

Wachten is een dure strategie. Drie redenen. Een: artikel 4 (AI-geletterdheid) en artikel 5 (verboden praktijken) zijn al van kracht sinds 2 februari 2025. Als je nu AI gebruikt zonder enige training of zonder check op verboden gebruik, sta je nu al in overtreding. Twee: hoog-risico-implementatie kost realistisch zes tot twaalf maanden voor risicobeheer, documentatie, datakwaliteit en audits. Als je per 2 augustus 2026 conform wilt zijn, moet je begin 2026 starten, niet in juli. Drie: leveranciers en klanten gaan al om bewijs vragen. Een grote inkoper die een AI-onderdeel afneemt wil documentatie zien, ook al handhaaft de wet nog niet volledig. Beginnen kost minder dan haasten. Een quickscan van een dag geeft je direct overzicht en een prioriteitenlijst.