Direct naar inhoud

Pilaar · AI Act & AVG

AI Act, AVG en governance, zonder de angst.

Wat geldt er nu echt voor het MKB, wat is uitgesteld, en hoe blijf je aantoonbaar in control? De feiten op een rij, actueel en zonder deadline-paniek.

Laatst bijgewerkt 14 juni 2026 · door Arjan Woldring

AI-governance is het geheel van afspraken, rollen en controles waarmee je AI verantwoord inzet: binnen de AVG, je kwaliteitskader en de EU AI Act. Voor het MKB telt in 2026 vooral wat nú geldt, de AI-geletterdheidsplicht (artikel 4), de transparantieplicht (artikel 50) en de AVG. De zware hoog-risico-eisen zijn uitgesteld naar 2027 en 2028.

Implementa

01 · Wat het is

Wat is AI-governance?

AI-governance is de manier waarop je organisatie grip houdt op kunstmatige intelligentie. Het is het geheel van beleid, rollen, afspraken en controles dat ervoor zorgt dat AI wordt ingezet op een manier die werkt én te verantwoorden is. Geen losse maatregel, maar een samenhangend kader.

Voor het MKB hoeft dat geen zware bureaucratie te zijn. Drie kaders bepalen het speelveld: de AVG voor persoonsgegevens, je sectorale kwaliteitskader (in de zorg het Landelijk Kwaliteitsstatuut en het IGJ-toezicht) en de EU AI Act voor AI-systemen. Goede governance vertaalt die kaders naar werkbare keuzes.

Waarom dit nu rust geeft, geen druk

Veel berichtgeving over de AI Act gaat over deadlines en boetes. De praktijk is rustiger: de zwaarste verplichtingen zijn uitgesteld, en wat nu geldt is goed te doen. Door vandaag de basis op orde te brengen, ben je aantoonbaar in control en houd je ruimte om in je eigen tempo op te bouwen.

02 · Stand 2026

Wat geldt nu, en wat is uitgesteld?

Een aantal verplichtingen geldt vandaag, andere zijn verschoven. De stand van zaken in 2026, als ruimte, niet als deadline-angst.

geldt nu

De AVG geldt onverkort

Zet je AI in op persoonsgegevens, dan gelden de gewone AVG-eisen: een grondslag, dataminimalisatie en vaak een DPIA. Bij gezondheidsgegevens geldt extra bescherming.

geldt nu

AI Act: artikel 4 en 50

De AI-geletterdheidsplicht (artikel 4) geldt sinds februari 2025: je mensen moeten genoeg van AI begrijpen. De transparantieplicht (artikel 50) vraagt dat duidelijk is wanneer iemand met AI praat.

uitgesteld

Hoog-risico is verschoven

De zware hoog-risico-verplichtingen zijn via de Digital Omnibus uitgesteld: Annex III naar 2 december 2027 en Annex I naar 2 augustus 2028. Je hebt dus tijd om verantwoord op te bouwen.

03 · Verdieping

Verdiepende artikelen.

Zes onderwerpen waarmee je de AI Act en de AVG vertaalt naar je eigen praktijk.

EU AI Act

De EU AI Act uitgelegd voor het MKB

Wat de wet inhoudt en wat hij betekent voor een mkb-organisatie, in begrijpelijke taal.

Lees verder
Actualiteit

Zijn de AI Act-deadlines uitgesteld?

Wat de Digital Omnibus verschoof, en wat nog wel gewoon geldt.

Lees verder
Risico

Hoog-risico AI: wat valt eronder?

Wanneer een toepassing als hoog-risico telt, en wat dat in de praktijk betekent.

Lees verder
Transparantie

Transparantieplicht voor chatbots

Wat artikel 50 vraagt als je een AI-chatbot of -assistent inzet.

Lees verder
Governance

AI-register: wat en waarom

Hoe je vastlegt welke AI je gebruikt, en waarom dat helpt om in control te blijven.

Lees verder
Privacy

AVG en AI: grondslagen, DPIA, verwerkers

De AVG-basis voor wie AI inzet op persoonsgegevens, met DPIA en verwerkersafspraken.

Lees verder

04 · Veelgestelde vragen

Veelgestelde
vragen.

Moet mijn organisatie nu al aan de EU AI Act voldoen?

Deels. De AI-geletterdheidsplicht (artikel 4), de transparantieplicht (artikel 50) en het verbod op onaanvaardbaar risico gelden al. De zware hoog-risico-verplichtingen zijn uitgesteld naar 2 december 2027 en 2 augustus 2028.

Zijn de AI Act-deadlines echt uitgesteld?

Ja. Via de Digital Omnibus is hoog-risico AI verschoven: Annex III naar 2 december 2027 en Annex I naar 2 augustus 2028. De geletterdheids- en transparantieplicht en de AVG gelden wel gewoon.

Wat is het verschil tussen de AVG en de AI Act?

De AVG gaat over de verwerking van persoonsgegevens. De AI Act gaat over AI-systemen en het risico dat ze vormen. Ze gelden naast elkaar: zet je AI in op persoonsgegevens, dan heb je met allebei te maken.

Hebben we een AI-beleid of AI-register nodig?

Geen van beide is een losstaande wettelijke plicht, maar in de praktijk zijn ze vrijwel onmisbaar om aantoonbaar in control te zijn richting de AVG en artikel 4 van de AI Act.

Wat betekent hoog-risico AI voor het MKB?

De meeste mkb-toepassingen vallen niet onder hoog-risico. Doet een toepassing dat wel, dan gelden zwaardere eisen, maar die gaan pas in 2027 en 2028 in. Je hebt dus tijd om je voor te bereiden.

Hoe blijf ik aantoonbaar in control?

Met een beknopt AI-beleid, een register van je AI-toepassingen, een risicobeoordeling (en een DPIA waar nodig), menselijke controle en een vaste evaluatie. Implementa helpt dit op te zetten en te borgen.

Over de auteur

Arjan Woldring

oprichter Implementa

Arjan is oprichter van Implementa. Hij helpt organisaties AI verantwoord invoeren binnen de kaders die er vandaag toe doen: de AVG, het kwaliteitskader en de EU AI Act. Geen deadline-angst, maar een werkbare route om aantoonbaar in control te zijn.

Volg op LinkedIn Vakinhoudelijk gecontroleerd op Vakinhoudelijk gecontroleerd op 14 juni 2026

Kennismaken

Onzeker of je voldoet?

In dertig minuten brengen we in kaart waar je staat met de AVG en de AI Act, en wat een werkbare volgende stap is. Geen verkooppraatje, wel een eerlijk beeld.