De AVG geldt onverkort
Zet je AI in op persoonsgegevens, dan gelden de gewone AVG-eisen: een grondslag, dataminimalisatie en vaak een DPIA. Bij gezondheidsgegevens geldt extra bescherming.
Pilaar · AI Act & AVG
Wat geldt er nu echt voor het MKB, wat is uitgesteld, en hoe blijf je aantoonbaar in control? De feiten op een rij, actueel en zonder deadline-paniek.
Laatst bijgewerkt 14 juni 2026 · door Arjan Woldring
AI-governance is het geheel van afspraken, rollen en controles waarmee je AI verantwoord inzet: binnen de AVG, je kwaliteitskader en de EU AI Act. Voor het MKB telt in 2026 vooral wat nú geldt, de AI-geletterdheidsplicht (artikel 4), de transparantieplicht (artikel 50) en de AVG. De zware hoog-risico-eisen zijn uitgesteld naar 2027 en 2028.
Implementa
01 · Wat het is
AI-governance is de manier waarop je organisatie grip houdt op kunstmatige intelligentie. Het is het geheel van beleid, rollen, afspraken en controles dat ervoor zorgt dat AI wordt ingezet op een manier die werkt én te verantwoorden is. Geen losse maatregel, maar een samenhangend kader.
Voor het MKB hoeft dat geen zware bureaucratie te zijn. Drie kaders bepalen het speelveld: de AVG voor persoonsgegevens, je sectorale kwaliteitskader (in de zorg het Landelijk Kwaliteitsstatuut en het IGJ-toezicht) en de EU AI Act voor AI-systemen. Goede governance vertaalt die kaders naar werkbare keuzes.
Veel berichtgeving over de AI Act gaat over deadlines en boetes. De praktijk is rustiger: de zwaarste verplichtingen zijn uitgesteld, en wat nu geldt is goed te doen. Door vandaag de basis op orde te brengen, ben je aantoonbaar in control en houd je ruimte om in je eigen tempo op te bouwen.
02 · Stand 2026
Een aantal verplichtingen geldt vandaag, andere zijn verschoven. De stand van zaken in 2026, als ruimte, niet als deadline-angst.
Zet je AI in op persoonsgegevens, dan gelden de gewone AVG-eisen: een grondslag, dataminimalisatie en vaak een DPIA. Bij gezondheidsgegevens geldt extra bescherming.
De AI-geletterdheidsplicht (artikel 4) geldt sinds februari 2025: je mensen moeten genoeg van AI begrijpen. De transparantieplicht (artikel 50) vraagt dat duidelijk is wanneer iemand met AI praat.
De zware hoog-risico-verplichtingen zijn via de Digital Omnibus uitgesteld: Annex III naar 2 december 2027 en Annex I naar 2 augustus 2028. Je hebt dus tijd om verantwoord op te bouwen.
03 · Verdieping
Zes onderwerpen waarmee je de AI Act en de AVG vertaalt naar je eigen praktijk.
Wat de wet inhoudt en wat hij betekent voor een mkb-organisatie, in begrijpelijke taal.
Lees verderWat de Digital Omnibus verschoof, en wat nog wel gewoon geldt.
Lees verderWanneer een toepassing als hoog-risico telt, en wat dat in de praktijk betekent.
Lees verderWat artikel 50 vraagt als je een AI-chatbot of -assistent inzet.
Lees verderHoe je vastlegt welke AI je gebruikt, en waarom dat helpt om in control te blijven.
Lees verderDe AVG-basis voor wie AI inzet op persoonsgegevens, met DPIA en verwerkersafspraken.
Lees verder04 · Veelgestelde vragen
Deels. De AI-geletterdheidsplicht (artikel 4), de transparantieplicht (artikel 50) en het verbod op onaanvaardbaar risico gelden al. De zware hoog-risico-verplichtingen zijn uitgesteld naar 2 december 2027 en 2 augustus 2028.
Ja. Via de Digital Omnibus is hoog-risico AI verschoven: Annex III naar 2 december 2027 en Annex I naar 2 augustus 2028. De geletterdheids- en transparantieplicht en de AVG gelden wel gewoon.
De AVG gaat over de verwerking van persoonsgegevens. De AI Act gaat over AI-systemen en het risico dat ze vormen. Ze gelden naast elkaar: zet je AI in op persoonsgegevens, dan heb je met allebei te maken.
Geen van beide is een losstaande wettelijke plicht, maar in de praktijk zijn ze vrijwel onmisbaar om aantoonbaar in control te zijn richting de AVG en artikel 4 van de AI Act.
De meeste mkb-toepassingen vallen niet onder hoog-risico. Doet een toepassing dat wel, dan gelden zwaardere eisen, maar die gaan pas in 2027 en 2028 in. Je hebt dus tijd om je voor te bereiden.
Met een beknopt AI-beleid, een register van je AI-toepassingen, een risicobeoordeling (en een DPIA waar nodig), menselijke controle en een vaste evaluatie. Implementa helpt dit op te zetten en te borgen.
Over de auteur
Arjan Woldring
oprichter Implementa
Arjan is oprichter van Implementa. Hij helpt organisaties AI verantwoord invoeren binnen de kaders die er vandaag toe doen: de AVG, het kwaliteitskader en de EU AI Act. Geen deadline-angst, maar een werkbare route om aantoonbaar in control te zijn.
Kennismaken
In dertig minuten brengen we in kaart waar je staat met de AVG en de AI Act, en wat een werkbare volgende stap is. Geen verkooppraatje, wel een eerlijk beeld.