AI Act art. 4: wat moet je als MKB-werkgever nu regelen?

De deadline is allang verstreken, en de meeste MKB-bedrijven weten van niets

Op 2 februari 2025 werd artikel 4 van de Europese AI Act bindend. Niet "stap voor stap ingevoerd". Niet "een richtsnoer voor later". Gewoon: vanaf die dag moet elke EU-werkgever zorgen dat medewerkers die AI gebruiken er ook genoeg verstand van hebben. Inmiddels zijn we ruim een jaar verder, en de meeste MKB-bedrijven die ChatGPT, Copilot of Claude gebruiken hebben dit nog niet eens op de radar.

De wet is kort. Artikel 4 vraagt om een "passend niveau van AI-geletterdheid" bij iedereen die binnen jouw organisatie AI-systemen gebruikt of namens jou bedient. Geen vrijblijvende intentie, maar een wettelijke verplichting met handhavingsbevoegdheid bij de Autoriteit Persoonsgegevens en boetes die in theorie kunnen oplopen tot enkele miljoenen euro's.

Dit artikel legt uit wat art. 4 letterlijk vraagt, voor wie het geldt, wat een passend niveau is voor jouw MKB-team, en hoe je het pragmatisch regelt zonder een consultancy-circus op te tuigen. Ook als je nog niets hebt gedaan: het is geen ramp, maar je moet wel beginnen.

Wat staat er in artikel 4?

De officiële tekst is kort: "Aanbieders en gebruiksverantwoordelijken van AI-systemen nemen maatregelen om, voor zover mogelijk, een toereikend niveau van AI-geletterdheid te waarborgen bij hun personeel en andere personen die namens hen AI-systemen exploiteren en gebruiken, rekening houdend met hun technische kennis, ervaring, opleiding en achtergrond, alsook met de context waarin de AI-systemen zullen worden gebruikt en de personen of groepen personen ten aanzien van wie de AI-systemen zullen worden gebruikt."

Drie dingen om uit te halen:

1. De plicht ligt bij twee partijen. Bij de aanbieder (provider, vaak een softwareleverancier) én bij de gebruiksverantwoordelijke (deployer, dat ben jij als bedrijf dat AI inzet). Voor het overgrote deel van het MKB ben je deployer, niet provider. Je gebruikt ChatGPT of Copilot, je bouwt het zelf niet.
2. Het niveau is "passend". Niet "iedereen op universitair niveau". Wat passend is, hangt af van rol, type AI en risico. Een marketingmedewerker die ChatGPT gebruikt voor blogposts heeft een ander niveau nodig dan een HR-manager die AI inzet om sollicitanten te screenen.
3. Het geldt voor iedereen die namens jou AI gebruikt. Niet alleen vaste medewerkers. Ook stagiairs, freelancers en uitzendkrachten die voor jou werken vallen eronder.

De handhaving in Nederland ligt bij de Autoriteit Persoonsgegevens (AP), die door het kabinet is aangewezen als markttoezichthouder voor algoritmes en AI. De AP heeft een eigen handreiking gepubliceerd ("Aan de slag met AI-geletterdheid") en is duidelijk dat dit geen papieren tijger is.

Voor wie geldt dit precies in jouw bedrijf?

Hier gaan veel MKB-werkgevers de fout in. Ze denken: "Wij gebruiken geen AI." En dan blijkt bij navraag dat:

• de marketingmanager dagelijks ChatGPT gebruikt voor copy, e-mails en nieuwsbrieven
• de office manager AI-functies in Microsoft 365 of Google Workspace inzet (Copilot in Outlook, Gemini in Gmail)
• de financieel medewerker AI-tools gebruikt voor mutatieverwerking of voor het samenvatten van rapporten
• de recruiter sollicitatiebrieven door AI laat samenvatten of cv's laat screenen
• de klantenservice met AI-chatbots werkt of antwoorden door AI laat suggereren
• het CRM-systeem AI-functionaliteit heeft (HubSpot AI, Salesforce Einstein) die actief wordt gebruikt
• developers Copilot of Cursor in de IDE hebben

Negen van de tien MKB-bedrijven onderschatten hoeveel AI er al in hun processen zit. Het hoeft niet een groot AI-platform te zijn om onder art. 4 te vallen. Eén medewerker die ChatGPT gebruikt voor klantcommunicatie is al genoeg om de plicht te activeren.

Stagiairs en freelancers tellen mee. De wet spreekt over "personen die namens hen AI-systemen exploiteren en gebruiken". Als een externe copywriter voor jouw merk schrijft met AI, of een ZZP'er klantsupport doet via een AI-tool, dan hoor jij als opdrachtgever te zorgen dat zij AI-geletterd zijn voor die taak.

Wat is een "passend niveau" voor jouw team?

Art. 4 vraagt geen uniforme cursus voor iedereen. Het vraagt context-passende kennis. Een werkbaar model is om je team in lagen te denken:

Basislaag (alle medewerkers, ook zij die AI niet dagelijks gebruiken). Wat is AI eigenlijk, hoe werkt een large language model op hoofdlijnen, wat zijn de risico's (hallucinaties, bias, datalekken), wanneer mag je AI niet gebruiken (klantgegevens in een gratis ChatGPT-account is geen goed idee), en hoe meld je een incident. Dit kun je in een uur of twee aftikken voor het hele team.

Gebruikerslaag (medewerkers die AI dagelijks of wekelijks gebruiken). Tool-specifiek: hoe werkt ChatGPT/Copilot/Claude, wat is een goede prompt, hoe valideer je de output (AI verzint feiten), wanneer juist niet gebruiken, hoe ga je om met AVG-gevoelige data. Reken op een halve tot hele dag per gebruiker, plus een prompt-bibliotheek met goede voorbeelden voor jouw werk.

Verantwoordelijkenlaag (MT, AI-champion, IT-lead). Governance: welke tools toesta je, welke afspraken maak je met leveranciers, hoe documenteer je dat je voldoet, welke transparantieplichten richting klanten hebben jullie. Dit is meer een werksessie dan een training: je legt beleid vast.

Risico-rollaag (HR, finance, juridisch, klantenservice). Wie AI gebruikt voor beslissingen over mensen (recruitment, kredietbeoordeling, klantsegmentatie) raakt high-risk gebied onder de AI Act. Daar gelden extra regels: documentatieplicht, menselijke controle, transparantie naar de betrokkenen. Specifieke training nodig per rol.

Deze lagen zijn niet opvolgend. Ze lopen parallel naar verschillende doelgroepen.

Hoe regel je dit pragmatisch

Geen consultancy-circus nodig. Een gestructureerde aanpak in vijf stappen werkt voor de meeste MKB-bedrijven.

Stap 1: inventariseer wie welke AI-tools gebruikt. Stuur een korte vragenlijst rond, of doe een rondje langs de afdelingen. Vrijwel altijd kom je tot een lijst die langer is dan je dacht. Dit is meteen waardevolle input voor je AVG-register.

Stap 2: maak een korte AI-policy van één tot twee pagina's. Niet een handboek van 40 pagina's. Wel: welke tools zijn toegestaan, welke data mag erin (en welke absoluut niet), wanneer moet je een mens laten meekijken, hoe meld je incidenten, en wie is binnen je bedrijf het aanspreekpunt voor AI-vragen.

Stap 3: regel training in de drie lagen. Basis voor iedereen, gebruikers-training voor de actieve gebruikers, governance-werksessie voor het MT. Dit hoef je niet allemaal extern in te kopen. De Autoriteit Persoonsgegevens biedt zelf een handreiking. Open-source materiaal is volop beschikbaar. Voor specifieke rollen of grotere teams loont externe begeleiding.

Stap 4: incident-meldproces. Net als bij AVG: bij twijfel meld je het. Een AI die per ongeluk klantgegevens lekt, een sollicitatie-screening die structureel mensen met een bepaalde achternaam afwijst, een chatbot die onjuiste juridische informatie geeft: dat zijn incidenten. Wie meldt het waar? Leg dat van tevoren vast.

Stap 5: jaarlijkse herijking. AI verandert snel, regelgeving ook. De AI Act zelf rolt gefaseerd uit (high-risk verplichtingen vanaf augustus 2026, sommige verplichtingen pas in 2027). Eén keer trainen en klaar werkt niet.

Veelgemaakte misvattingen

"Onze medewerkers gebruiken geen AI." Bijna altijd onwaar. Browser-extensies van ChatGPT, AI-functies in M365 en Google Workspace, AI in CRM-systemen: het sluipt overal binnen. Eén rondvraag toont dat aan.

"Eén keer een training en we voldoen." Nee. Art. 4 vraagt om een passend niveau dat blijft kloppen bij hoe het werk en de tools veranderen. Jaarlijkse herijking hoort erbij.

"Alleen IT-mensen hoeven AI-geletterd te zijn." Onjuist. De wet geldt voor iedereen die AI gebruikt of bedient namens jou. Een marketingmedewerker zonder enige technische achtergrond valt er net zo goed onder.

"Het is alleen voor grote bedrijven." Onjuist. De AI Act geldt voor elke EU-werkgever die AI inzet, ongeacht omvang. Wel houdt de Europese Commissie rekening met grootte en risico bij handhaving en boete-hoogte. De eerste handhavingsacties richten zich naar verwachting eerder op grote spelers met evidente schendingen, maar dat ontslaat MKB niet van de plicht.

"AVG-training dekt het al." Onjuist. AVG en de AI Act overlappen op privacy-aspecten, maar AI-geletterdheid vraagt aanvullende kennis: hoe werkt een model, wat zijn hallucinaties, wat is bias in trainingsdata, wanneer is menselijke controle vereist. Dat zit niet in een AVG-training.

"Onze leverancier regelt het wel." Deels. Een softwareleverancier (provider) heeft eigen plichten, maar dat ontslaat jou als deployer niet van jouw verantwoordelijkheid voor je eigen medewerkers. De wet wijst beide partijen aan, niet alleen de provider.

Wat als je niets doet?

De praktische gevolgen lopen op drie sporen.

Toezichthouder. In Nederland is de Autoriteit Persoonsgegevens aangewezen als markttoezichthouder voor algoritmes en AI. De AP doet onderzoek, kan handhavingsbesluiten nemen en boetes opleggen. Bij overtredingen van art. 4 (en aanverwante artikelen) gelden de boete-niveaus uit artikel 99 van de AI Act: tot €15 miljoen of 3% van de wereldwijde jaaromzet, afhankelijk van wat hoger is. In de praktijk richt de AP zich naar verwachting eerst op grote spelers en evidente schendingen, niet op een MKB'er die net zijn AI-policy aan het opzetten is. Maar de bevoegdheid is er.

Aansprakelijkheid en schade. Een werknemer die zonder training AI gebruikt en daarmee een klant schade berokkent (verkeerde juridische informatie, datalek, discriminerende beslissing): jij bent als werkgever de hoofdverantwoordelijke. Geen aantoonbare AI-geletterdheid is dan een verzwarende omstandigheid. Schadeclaims, reputatieschade en relatieschade volgen.

Reputatie. Nederland is streng op AVG-handhaving en bekend met privacyschandalen die bedrijven jaren achtervolgen (toeslagenaffaire, SyRI-uitspraak). Een AI-incident bij een MKB-bedrijf zonder beleid haalt sneller de pers dan je denkt. Dat geldt zeker als je in B2B met grotere klanten werkt die zelf compliance-eisen stellen aan hun leveranciers.

Hoe DataDream hierbij kan helpen

Geen pakket dat je móet afnemen, wel een aantal manieren om versneld te beginnen.

• Gratis AI-scan. Korte vragenlijst die laat zien waar je staat: welke AI je waarschijnlijk al gebruikt, welke risico's daar acuut zijn, en waar je het beste kunt beginnen.
• AI Quickscan via /ai-strategie. Werksessie waarin we per afdeling inventariseren wie wat gebruikt, een conceptbeleid opzetten, en de trainingsbehoefte per rol vaststellen. Klein begonnen, in fases uit te rollen.
• AI-trainingen die expliciet voldoen aan art. 4. In de drie lagen: basis voor iedereen, gebruiker-training voor actieve gebruikers, governance-sessie voor het MT. Op locatie of online, in jouw context (we gebruiken jouw use cases, niet een generieke slide-deck).
• Specifieke begeleiding voor HR-recruitment-AI. Recruitment-AI is high-risk onder de AI Act. Hier gelden zwaardere documentatie- en transparantieplichten. Aparte aanpak nodig.

Wat we niet doen: een 40-pagina handboek aanleveren waar niemand iets mee doet. Wat wel: een werkbare policy, een team dat begrijpt wat het doet, en documentatie die aantoont dat je aan art. 4 voldoet. Dat is wat de AP wil zien als ze ooit langskomt, en het is wat klanten van je vragen als ze AI-compliance opnemen in inkoopvoorwaarden.

Veelgestelde vragen

Wat is AI-geletterdheid precies?

AI-geletterdheid is de combinatie van vaardigheden, kennis en begrip die nodig is om AI-systemen verantwoord in te zetten. Dat omvat technische basis (hoe werkt een AI-model), risico-bewustzijn (hallucinaties, bias, privacy), juridische context (AVG, AI Act) en praktisch gebruik (prompting, output-validatie). Het niveau hangt af van de rol: een eindgebruiker heeft minder diepe kennis nodig dan een AI-champion of MT-lid die governance regelt.

Wanneer moet ik aan art. 4 voldoen?

De plicht is sinds 2 februari 2025 rechtstreeks toepasbaar. Er is geen overgangsperiode meer. Als je nu niets hebt geregeld, ben je technisch in overtreding. De praktische focus van de toezichthouder ligt op grote spelers en duidelijke schendingen, maar dat ontslaat je niet van de plicht. Begin nu.

Hoe lang duurt zo'n traject voor een MKB-team van 20?

Hangt af van waar je staat en hoe diep je gaat. Een werkbare basis (inventarisatie, korte AI-policy, basistraining voor het hele team, gebruiker-training voor de zware gebruikers) is in een paar weken op te zetten als iedereen meewerkt. Diepere governance, documentatie en risico-rolspecifieke training neemt meer tijd. Je hoeft niet alles in één keer perfect te hebben: begin klein, in fases.

Mag ik dit zelf intern regelen of moet ik een externe partij inhuren?

Mag je zelf doen. De wet schrijft geen externe partij voor. De Autoriteit Persoonsgegevens biedt een handreiking die voor veel MKB-bedrijven een prima vertrekpunt is. Externe begeleiding loont vooral als je intern niemand hebt die AI én juridische kennis combineert, of als je in een gereguleerde sector werkt waar de eisen zwaarder liggen.

Wat als een medewerker zonder training toch AI gebruikt? Ben ik dan aansprakelijk?

Ja, in beginsel wel. Als werkgever ben je verantwoordelijk voor wat je medewerkers in functie doen. Geen aantoonbare AI-geletterdheid is een verzwarende factor bij een incident. Een AI-policy plus aantoonbare training is je beste verdediging. Een policy hebben en het niet handhaven helpt niet: er moet ook bewijs zijn dat het beleid leeft.

Geldt art. 4 ook voor freelancers die voor mij werken?

Ja. De wet spreekt over "personen die namens hen AI-systemen exploiteren en gebruiken". Als een freelancer voor jouw merk werkt met AI, moet jij er als opdrachtgever voor zorgen dat zij AI-geletterd zijn voor die taak. Dat kun je oplossen door ze toegang te geven tot dezelfde training, of door in het contract op te nemen dat ze zelf voor adequate AI-geletterdheid zorgen.

Hoe documenteer ik dat ik aan art. 4 voldoe?

Drie dingen op orde houden. Eén: een AI-policy met datum en versienummer. Twee: een register van wie welke training heeft gevolgd, wanneer, en op welk niveau. Drie: een logboek van AI-incidenten en hoe ze zijn afgehandeld. Houd het simpel, maar bijgewerkt. Een Excel-bestand of een sectie in je intranet werkt prima voor het MKB.

Beginnen met een eerste stap

Als je dit artikel leest en denkt "we hebben hier nog niets aan gedaan": dat is geen ramp, mits je nu begint. De meeste MKB-bedrijven zitten in dezelfde situatie. Een eerste werkbare versie van inventarisatie + AI-policy + basistraining kun je in een paar weken neerzetten.

Geen idee waar te beginnen? Doe de gratis AI-scan om te zien hoe het er bij jouw bedrijf voor staat. Wil je begeleiding bij beleid en strategie: bespreek de aanpak op /ai-strategie. Voor team-trainingen die expliciet voldoen aan art. 4: /ai-training.