Wat is de AI Act? Heldere uitleg voor het Nederlandse MKB

De AI Act is geen toekomstmuziek meer

In Brussel werd jaren onderhandeld; in 2024 werd de EU AI Act aangenomen; sinds 2 februari 2025 zijn de eerste verplichtingen actief. Voor het Nederlandse MKB betekent dat: er gelden vanaf nu verboden, vanaf nu verplichte AI-geletterdheid voor medewerkers, en vanaf 2026-2027 zwaarder werk voor wie hoog-risico-AI gebruikt of bouwt. De wet is niet langer iets om "in 2027 mee aan de slag te gaan". Hij is er, en je organisatie raakt hem hoogstwaarschijnlijk.

Dit artikel geeft een heldere uitleg in plaats van juridisch jargon. Voor de volledige hub met tools en checks zie /ai-act; voor een snelle compliance-zelfscan zie /ai-act-checker.

De AI Act in een paar zinnen

De AI Act is de eerste brede AI-wetgeving ter wereld. De aanpak is risico-gebaseerd: niet elke AI-toepassing krijgt dezelfde regels, maar afhankelijk van wat de AI doet en waar hij ingezet wordt, vallen verplichtingen zwaarder of lichter uit. De wet geldt voor iedereen die AI op de EU-markt aanbiedt of in de EU gebruikt, dus ook voor Amerikaanse leveranciers die hun product hier verkopen, en voor Nederlandse bedrijven die externe AI inzetten in hun bedrijfsvoering.

In de wet bestaan twee rollen die je goed moet onderscheiden: provider (wie de AI maakt of in de markt zet) en deployer (wie de AI gebruikt in zijn organisatie). De meeste MKB-bedrijven zijn deployer; alleen organisaties die AI-modellen of AI-systemen op de markt brengen, zijn provider.

De vier risicocategorieen

De wet kent vier categorieen, oplopend in zwaarte:

1. Onaanvaardbaar risico (verboden, sinds 2 februari 2025). AI-toepassingen die fundamentele rechten schenden. Voorbeelden: social scoring door overheden, real-time biometrische surveillance in publieke ruimten zonder strikte uitzonderingen, manipulatieve AI gericht op kwetsbare groepen, emotie-herkenning op de werkvloer of in onderwijs (met uitzonderingen voor medische of veiligheidsdoeleinden). Het MKB komt zelden in aanraking met deze categorie, maar ken het verbod zodat je weet wanneer je ervan af moet blijven.

2. Hoog risico (verplichtingen vanaf augustus 2026). AI-toepassingen die directe gevolgen kunnen hebben voor mensen, hun rechten of veiligheid. Voorbeelden: AI in werving en selectie, AI bij kredietverstrekking, AI in onderwijs-evaluatie, AI in zorg-diagnostiek, AI in kritieke infrastructuur. Voor deze categorie geldt een uitgebreide verplichtingen-set: risico-management, dataset-kwaliteit-controle, technische documentatie, transparantie naar gebruikers, menselijk toezicht, robuustheid, accuraatheid en cybersecurity. Voor MKB-organisaties die AI inzetten in hun HR-proces of bij klant-screening: dit hoofdstuk is het meest relevant.

3. Beperkt risico (transparantie-verplichtingen). AI die met mensen interacteert (chatbots, voicebots) moet duidelijk maken dat het een AI is. AI-gegenereerde content (deepfakes, gemanipuleerde tekst, afbeeldingen) moet als zodanig herkenbaar zijn. Voor MKB-organisaties met chatbots, AI-stem-receptie of AI-content-publicatie: regel deze transparantie nu in.

4. Minimaal risico (geen specifieke verplichtingen). De grote meerderheid van AI-toepassingen valt hier: spamfilters, AI in zoekmachines, productaanbevelingen, AI-features in office-software. Geen specifieke verplichtingen onder de AI Act, wel de algemene verplichting (art. 4) tot AI-geletterdheid voor je medewerkers.

Het tijdpad: wat is nu en wat komt nog?

Voor MKB-organisaties is augustus 2026 de scharnier-datum: vanaf dan gelden de zware verplichtingen voor hoog-risico-AI, en handhaving start in stappen.

Artikel 4: AI-geletterdheid is nu verplicht

Het meest concrete dat sinds februari 2025 voor elk bedrijf geldt: artikel 4 van de AI Act. Iedere organisatie die AI inzet (provider of deployer) moet zorgen dat haar medewerkers en betrokken externe partijen "een passend niveau van AI-geletterdheid" hebben. Geen drempel op grootte. Een tienpersoons MKB met ChatGPT-gebruik valt onder deze plicht net zoals een multinational met agent-systemen.

Wat houdt het concreet in?

• Medewerkers moeten weten wat AI is, hoe het werkt op hoofdlijnen, wat de risico's zijn (hallucinaties, bias, datalek-risico) en hoe ze het verantwoord inzetten.
• Voor risicovollere toepassingen vraagt dat diepere training; voor kantoor-gebruik volstaat een basis-introductie.
• Documenteer wat je doet: trainingen, beleid, prompts en richtlijnen. Bij een eventuele toezichthouders-vraag wil je kunnen laten zien dat je het hebt geregeld.

Voor de uitwerking met praktische trainingen zie /ai-training; voor een dieper artikel zie AI Act art. 4 voor MKB.

Wat moet je nu doen? (zes stappen voor MKB)

Stap 1: Inventariseer waar je AI gebruikt. Niet alleen ChatGPT en Copilot, ook AI-features in tools die je al had (Hubspot, Salesforce, Mailchimp, recruitment-software, customer-support-tools). Maak een lijstje per afdeling.

Stap 2: Categoriseer per use case. Per AI-toepassing: is dit minimaal, beperkt, hoog, of onaanvaardbaar risico? In de meeste gevallen zit je in minimaal of beperkt; check op hoog-risico bij HR (selectie), credit-checks, onderwijs-evaluatie, zorg-output of klant-scoring.

Stap 3: Regel de transparantie voor beperkt risico. Chatbot? Maak duidelijk dat het een AI is. Voicebot? Idem. AI-gegenereerde marketing-content op een schaal waar je doelgroep dat moet weten? Label het.

Stap 4: Train je medewerkers. Een basis-AI-geletterdheid-training voor iedereen die AI gebruikt. Documenteer aanwezigheid en inhoud. Bij ons typisch 90 minuten interactief, met sectorvoorbeelden, prompt-basics, risico's en intern beleid.

Stap 5: Documenteer je beleid. Een kort intern AI-policy-document: welke tools mogen, welke data wel/niet, wanneer escaleer je naar IT, wat doe je bij incidenten. Houdt het bondig (twee tot drie A4'tjes) en houd het levend.

Stap 6: Plan voor 2026. Als er hoog-risico-toepassingen in jullie use cases zitten, begin nu met technische documentatie, dataset-controle en de governance-structuur die je in augustus 2026 op orde moet hebben.

Wat de AI Act per sector betekent (in praktijk)

De wet ziet er abstract uit, maar in klantgesprekken komen telkens dezelfde sector-specifieke vragen terug. Hieronder vier veelgehoorde scenario's en wat ze concreet betekenen.

HR en recruitment. Gebruik je AI om CV's te screenen, kandidaten te scoren of geautomatiseerd voor te selecteren? Dat is hoog-risico. Vanaf augustus 2026: documenteer je dataset (welke voorbeelden trainen het systeem, hoe waarborg je dat het niet onbedoeld discrimineert), zorg voor menselijk toezicht op elke afwijzing, en informeer kandidaten dat AI in het proces zit. Veel ATS-leveranciers (Werken bij, Recruitee, Greenhouse) hebben hier hulp-functies, maar je blijft als deployer verantwoordelijk.

Zorg. AI in diagnostiek, behandeladvies of triage is hoog-risico. Een huisartsenpraktijk die een chatbot inzet voor klachtuitvraag valt al snel in deze categorie als de output meeweegt in spreekkamerbeslissingen. Aanpak: technische documentatie van het AI-systeem, klinische validatie, menselijk toezicht hard ingebakken in het proces, en transparantie naar de patient.

Juridisch en accountancy. AI die juridisch advies of fiscaal advies genereert valt onder generative AI met transparantie-eisen, niet automatisch onder hoog-risico. Maar de tuchtrechtelijke verantwoordelijkheid voor de output blijft bij de adviseur. Praktisch: gebruik AI-output altijd als concept, doe een professionele review, en informeer klanten over AI-gebruik in je werkproces. Voor accountants zie ook AI voor accountants.

Onderwijs. AI voor evaluatie van studenten, examen-correctie of toelatings-besluiten is hoog-risico. Voor lesondersteuning (een leerling-chatbot, een AI-tutor) zit je in beperkt risico met transparantie-eisen. Voor gerichte uitleg per onderwijsstap zie AI in het onderwijs.

Hoe handhaving in Nederland werkt

In Nederland zijn meerdere toezichthouders betrokken: de Autoriteit Persoonsgegevens (AP) is de gecoordineerde markttoezichthouder, met sector-specifieke autoriteiten (DNB voor financieel, IGJ voor zorg, Inspectie van het Onderwijs voor onderwijs, ACM op consumentenkanten). De boetes zijn fors: tot 35 miljoen euro of 7% van wereldwijde omzet voor verboden AI-praktijken; lagere maar nog steeds significant tot 15 miljoen of 3% omzet voor andere overtredingen.

Praktisch betekent dit voor MKB: handhaving begint pas echt vanaf 2026 op hoog-risico, en toezichthouders communiceren in 2025 nog vooral via guidance en voorlichting. Maar wachten tot je een brief krijgt is geen strategie. De inhaalbeweging die overheidsdiensten doen is voorspelbaar; bedrijven die nu hun documentatie op orde brengen, hebben straks rust.

Hoe DataDream helpt

Wij begeleiden Nederlandse MKB- en scale-up-organisaties bij vier concrete stappen:

1. Compliance-scan. Een gestructureerde inventarisatie van jullie AI-gebruik en classificatie per use case. Resultaat: een risico-overzicht en een prioriteitenlijst. Begin via /ai-act-checker voor een eerste self-assessment.

2. AI-geletterdheid trainingen. Live of online, 90 minuten of een dagdeel, met sectorvoorbeelden uit jullie wereld. Inclusief presentielijst en certificering voor je dossier. Zie /ai-training.

3. AI-beleid en governance. Een werkbaar intern AI-policy-document, een rolverdeling (DPO, AI-officer, decision-makers) en escalatie-paden. Past in twee weken naast jullie bestaande compliance-werk. Zie /ai-strategie.

4. Implementatie van controlemaatregelen. Voor hoog-risico-toepassingen: technische documentatie, monitoring-set-up, incident-response, audit-trail. Maatwerk per use case.

Een eerlijke samenvatting

De AI Act is geen reden tot paniek voor het MKB, wel een reden om nu de basis op orde te krijgen. AI-geletterdheid is verplicht, transparantie naar gebruikers van chatbots is verplicht, en als je AI in HR of klant-scoring inzet, heb je tot augustus 2026 om de zwaardere verplichtingen klaar te hebben. Bedrijven die in 2026 nog niets hebben gedaan, lopen risico op boetes (tot 35 miljoen euro of 7% van wereldwijde omzet voor de zwaarste overtredingen) en op reputatie-schade.

Begin klein. Een compliance-scan, een training, een policy-document. Dat is het minimum. Voor de bredere context (welke verplichtingen, welke deadlines, welke sectoren) zie /ai-act. Voor een gratis self-assessment zie /ai-act-checker. Wil je hulp bij de uitvoering? Plan een gratis discovery-call.