Wat is de AI Act? Heldere uitleg voor het Nederlandse MKB

De AI Act is geen toekomstmuziek meer

Brussel onderhandelde jaren, in 2024 werd de EU AI Act aangenomen, en sinds 2 februari 2025 zijn de eerste verplichtingen actief. Voor een MKB-bedrijf in Nederland betekent dat: er gelden vanaf nu verboden, vanaf nu verplichte AI-geletterdheid voor je medewerkers, en vanaf 2026-2027 zwaarder werk als je hoog-risico-AI gebruikt of bouwt. De wet is geen agenda-item voor 2027 meer. Hij is er, en jouw organisatie raakt hem vrijwel zeker.

Dit artikel legt het uit zonder juridisch jargon. Voor de volledige hub met tools en checks zie /ai-act. Wil je snel weten waar je staat, dan doe je de zelfscan op /ai-act-checker.

De AI Act in een paar zinnen

De AI Act is de eerste brede AI-wetgeving ter wereld. De aanpak is risico-gebaseerd: niet elke toepassing krijgt dezelfde regels, maar de verplichtingen schalen mee met wat de AI doet en waar hij ingezet wordt. De wet geldt voor iedereen die AI op de EU-markt aanbiedt of in de EU gebruikt. Dus ook voor Amerikaanse leveranciers die hier verkopen, en voor een Nederlands bedrijf dat externe AI inzet in zijn bedrijfsvoering.

Twee rollen moet je goed uit elkaar houden. Provider is wie de AI maakt of in de markt zet. Deployer is wie de AI gebruikt in zijn organisatie. De meeste MKB-bedrijven zijn deployer. Alleen organisaties die zelf AI-modellen of AI-systemen op de markt brengen, zijn provider.

De vier risicocategorieen

De wet kent vier categorieen, oplopend in zwaarte.

1. Onaanvaardbaar risico (verboden, sinds 2 februari 2025). Toepassingen die fundamentele rechten schenden. Voorbeelden: social scoring door overheden, real-time biometrische surveillance in publieke ruimten zonder strikte uitzonderingen, manipulatieve AI gericht op kwetsbare groepen, emotie-herkenning op de werkvloer of in onderwijs (met uitzonderingen voor medische of veiligheidsdoeleinden). Het MKB komt hier zelden in aanraking, maar ken het verbod zodat je weet wanneer je ervan af moet blijven.

2. Hoog risico (verplichtingen vanaf augustus 2026). AI met directe gevolgen voor mensen, hun rechten of veiligheid. Voorbeelden: AI in werving en selectie, AI bij kredietverstrekking, AI in onderwijs-evaluatie, AI in zorg-diagnostiek, AI in kritieke infrastructuur. Voor deze categorie geldt een uitgebreid pakket: risicomanagement, datasetkwaliteitscontrole, technische documentatie, transparantie naar gebruikers, menselijk toezicht, robuustheid, accuraatheid en cybersecurity. Zet je AI in voor je HR-proces of klantscreening? Dan is dit hoofdstuk voor jou het belangrijkste.

3. Beperkt risico (transparantie-verplichtingen). AI die met mensen interacteert (chatbots, voicebots) moet duidelijk maken dat het AI is. AI-gegenereerde content (deepfakes, gemanipuleerde tekst, afbeeldingen) moet als zodanig herkenbaar zijn. Heb je een chatbot, een AI-stem-receptie of publiceer je AI-content? Regel die transparantie nu in.

4. Minimaal risico (geen specifieke verplichtingen). De grote meerderheid van AI-toepassingen valt hier: spamfilters, AI in zoekmachines, productaanbevelingen, AI-features in office-software. Geen specifieke verplichtingen onder de AI Act, wel de algemene plicht (art. 4) tot AI-geletterdheid voor je mensen.

Het tijdpad: wat is nu en wat komt nog?

Voor het MKB is augustus 2026 de scharnierdatum. Vanaf dan gelden de zware verplichtingen voor hoog-risico-AI, en handhaving start in stappen.

Artikel 4: AI-geletterdheid is nu verplicht

Het meest concrete dat sinds februari 2025 voor elk bedrijf geldt: artikel 4 van de AI Act. Iedere organisatie die AI inzet (provider of deployer) moet zorgen dat haar medewerkers en betrokken externe partijen "een passend niveau van AI-geletterdheid" hebben. Geen drempel op grootte. Een tienpersoons MKB met ChatGPT-gebruik valt onder deze plicht net zo goed als een multinational met agent-systemen.

Wat houdt dat concreet in? Je medewerkers moeten weten wat AI is, hoe het op hoofdlijnen werkt, wat de risico's zijn (hallucinaties, bias, datalek-risico) en hoe je het verantwoord inzet. Voor risicovollere toepassingen vraagt dat diepere training, voor kantoorgebruik volstaat een basisintroductie. Documenteer wat je doet: trainingen, beleid, prompts en richtlijnen. Als een toezichthouder ooit aanklopt, wil je kunnen laten zien dat je het hebt geregeld.

Voor de uitwerking met praktische trainingen zie /ai-training. Wil je dieper in artikel 4? Lees AI Act art. 4 voor MKB.

Wat moet je nu doen? (zes stappen voor MKB)

Stap 1: Inventariseer waar je AI gebruikt. Niet alleen ChatGPT en Copilot, ook AI-features in tools die je al had (Hubspot, Salesforce, Mailchimp, recruitment-software, customer-support-tools). Maak een lijstje per afdeling.

Stap 2: Categoriseer per use case. Per toepassing: minimaal, beperkt, hoog, of onaanvaardbaar risico? In de meeste gevallen zit je in minimaal of beperkt. Check op hoog-risico bij HR (selectie), credit-checks, onderwijs-evaluatie, zorg-output of klant-scoring.

Stap 3: Regel de transparantie voor beperkt risico. Chatbot? Maak duidelijk dat het AI is. Voicebot? Idem. AI-gegenereerde marketing-content op een schaal waar je doelgroep dat moet weten? Label het.

Stap 4: Train je medewerkers. Een basis-AI-geletterdheid-training voor iedereen die AI gebruikt. Documenteer aanwezigheid en inhoud. Typisch 90 minuten interactief, met sectorvoorbeelden, prompt-basics, risico's en intern beleid.

Stap 5: Documenteer je beleid. Een kort intern AI-policy-document: welke tools mogen, welke data wel of niet, wanneer escaleer je naar IT, wat doe je bij incidenten. Houd het bondig (twee tot drie A4'tjes) en houd het levend.

Stap 6: Plan voor 2026. Zitten er hoog-risico-toepassingen in jullie use cases? Begin nu met technische documentatie, dataset-controle en de governance-structuur die je in augustus 2026 op orde moet hebben.

Wat de AI Act per sector betekent (in praktijk)

De wet ziet er abstract uit, maar in klantgesprekken komen telkens dezelfde sector-specifieke vragen terug. Vier veelgehoorde scenario's en wat ze concreet betekenen.

HR en recruitment. Gebruik je AI om CV's te screenen, kandidaten te scoren of geautomatiseerd voor te selecteren? Dat is hoog-risico. Vanaf augustus 2026: documenteer je dataset (welke voorbeelden trainen het systeem, hoe waarborg je dat het niet onbedoeld discrimineert), zorg voor menselijk toezicht op elke afwijzing, en informeer kandidaten dat AI in het proces zit. Veel ATS-leveranciers (Werken bij, Recruitee, Greenhouse) hebben hier hulpfuncties, maar als deployer blijf je zelf verantwoordelijk.

Zorg. AI in diagnostiek, behandeladvies of triage is hoog-risico. Een huisartsenpraktijk die een chatbot inzet voor klachtuitvraag valt al snel in deze categorie als de output meeweegt in spreekkamerbeslissingen. Aanpak: technische documentatie van het AI-systeem, klinische validatie, menselijk toezicht hard ingebakken in het proces, en transparantie naar de patient.

Juridisch en accountancy. AI die juridisch of fiscaal advies genereert valt onder generative AI met transparantie-eisen, niet automatisch onder hoog-risico. Maar de tuchtrechtelijke verantwoordelijkheid voor de output blijft bij de adviseur. Praktisch: gebruik AI-output altijd als concept, doe een professionele review, en informeer klanten over AI-gebruik in je werkproces. Voor accountants zie ook AI voor accountants.

Onderwijs. AI voor evaluatie van studenten, examencorrectie of toelatingsbesluiten is hoog-risico. Voor lesondersteuning (een leerling-chatbot, een AI-tutor) zit je in beperkt risico met transparantie-eisen. Voor gerichte uitleg per onderwijsstap zie AI in het onderwijs.

Hoe handhaving in Nederland werkt

In Nederland zijn meerdere toezichthouders betrokken. De Autoriteit Persoonsgegevens (AP) is de gecoordineerde markttoezichthouder, met sector-specifieke autoriteiten daarnaast: DNB voor financieel, IGJ voor zorg, Inspectie van het Onderwijs voor onderwijs, ACM op consumentenkanten. De boetes zijn fors: tot 35 miljoen euro of 7% van wereldwijde omzet voor verboden AI-praktijken, en lager maar nog steeds significant tot 15 miljoen of 3% omzet voor andere overtredingen.

Praktisch betekent dit voor het MKB: handhaving begint pas echt vanaf 2026 op hoog-risico, en toezichthouders communiceren in 2025 nog vooral via guidance en voorlichting. Maar wachten tot je een brief krijgt is geen strategie, dat is uitstellen. De inhaalbeweging die overheidsdiensten gaan maken is voorspelbaar. Wie nu zijn documentatie op orde brengt, heeft straks rust.

Hoe DataDream helpt

DataDream begeleidt Nederlandse MKB-organisaties op vier concrete punten.

1. Compliance-scan. Een gestructureerde inventarisatie van jullie AI-gebruik en classificatie per use case. Resultaat: een risico-overzicht en een prioriteitenlijst. Begin via /ai-act-checker voor een eerste self-assessment.

2. AI-geletterdheid trainingen. Live of online, 90 minuten of een dagdeel, met sectorvoorbeelden uit jullie wereld. Inclusief presentielijst en certificering voor je dossier. Zie /ai-training.

3. AI-beleid en governance. Een werkbaar intern AI-policy-document, een rolverdeling (DPO, AI-officer, decision-makers) en escalatiepaden. Past in twee weken naast jullie bestaande compliance-werk. Zie /ai-strategie.

4. Implementatie van controlemaatregelen. Voor hoog-risico-toepassingen: technische documentatie, monitoring-set-up, incident-response, audit-trail. Maatwerk per use case.

Een eerlijke samenvatting

De AI Act is geen reden tot paniek voor het MKB, wel een reden om nu de basis op orde te krijgen. AI-geletterdheid is verplicht, transparantie naar gebruikers van chatbots is verplicht, en als je AI inzet in HR of klant-scoring, heb je tot augustus 2026 om de zwaardere verplichtingen klaar te hebben. Wie in 2026 nog niets heeft gedaan, loopt risico op boetes (tot 35 miljoen euro of 7% van wereldwijde omzet voor de zwaarste overtredingen) en op reputatieschade.

Begin klein. Een compliance-scan, een training, een policy-document. Dat is het minimum. Voor de bredere context (welke verplichtingen, welke deadlines, welke sectoren) zie /ai-act. Voor een gratis self-assessment zie /ai-act-checker. Wil je hulp bij de uitvoering? Plan een gratis gesprek.