Direct naar inhoud

Kennisartikel · AI Act, AVG & governance

EU AI Act uitgelegd voor het MKB (stand 2026)

Wat de wet van je vraagt, wat uitgesteld is en wat je nu concreet kunt regelen. Geen overbodige alarmbellen, wel een helder overzicht.

Laatst bijgewerkt 14 juni 2026 · door Arjan Woldring

De EU AI Act is een risicogebaseerde Europese wet voor kunstmatige intelligentie. Voor het MKB tellen nu twee concrete verplichtingen: de AI-geletterdheidsplicht (artikel 4, geldt sinds 2 februari 2025) en het verbod op onaanvaardbare AI (artikel 5). De zware hoog-risico-eisen zijn uitgesteld naar respectievelijk december 2027 en augustus 2028. Je hebt ruimte, maar geen reden om stil te staan.

Implementa

01 · Definitie

Wat is de EU AI Act?

De EU AI Act (officieel: Verordening (EU) 2024/1689) is de eerste uitgebreide Europese wet die regels stelt voor de ontwikkeling, het op de markt brengen en het gebruik van systemen met kunstmatige intelligentie. De wet is in augustus 2024 in werking getreden en wordt gefaseerd van kracht.

De kern van de aanpak is risicogebaseerd: hoe groter het potentiële risico van een AI-toepassing voor mensen en de samenleving, hoe strenger de verplichtingen. Dat maakt de wet proportioneel: een organisatie die een chatbot gebruikt voor klantenservice, valt onder andere regels dan een zorginstelling die AI inzet bij diagnose of behandelbeslissingen.

De Autoriteit Persoonsgegevens heeft een uitgebreide themapagina over de EU AI Act, met uitleg over wat de wet betekent voor organisaties in Nederland.

02 · Risicocategorieen

Vier risicocategorieen, vier niveaus van verplichtingen

De EU AI Act deelt AI-toepassingen in vier categorieen in. Voor het MKB is het essentieel om te weten in welke categorie jouw toepassingen vallen.

Verboden

Onaanvaardbaar risico

Toepassingen die fundamentele rechten schenden zijn volledig verboden. Denk aan sociale scoring, realtime biometrische identificatie op openbare plaatsen en manipulatieve AI. Van kracht sinds 2 februari 2025.

Uitgesteld tot 2027-2028

Hoog risico

AI bij HR-beslissingen, kritieke infrastructuur, onderwijs of medische diagnose. Zware documentatie- en controlevereisten, maar pas verplicht vanaf 2 december 2027 (Annex III) of 2 augustus 2028 (Annex I).

Transparantieplicht

Beperkt risico

Toepassingen zoals chatbots en AI-gegenereerde content. Hier geldt de transparantieplicht (artikel 50): het moet voor gebruikers duidelijk zijn dat zij met AI communiceren of dat content AI-gegenereerd is.

Vrijwel geen AI-Act-eisen

Minimaal risico

De meeste AI-toepassingen die het MKB dagelijks gebruikt vallen hier: spamfilters, aanbevelingssystemen, AI-schrijftools. Geen specifieke AI-Act-verplichtingen, maar de AVG en andere sectorwetgeving blijven gelden.

03 · Tijdlijn

Wat geldt nu, wat is uitgesteld?

De EU AI Act wordt gefaseerd ingevoerd en is tussentijds aangepast via de Digital Omnibus. Hieronder staat wat nu echt geldt en wat uitgesteld is.

Geldt nu al (stand juni 2026)

  • Verbod op onaanvaardbare AI (artikel 5): van kracht sinds 2 februari 2025.
  • AI-geletterdheidsplicht (artikel 4): van kracht sinds 2 februari 2025. Organisaties moeten zorgen dat medewerkers die met AI werken er voldoende verstand van hebben en dat aantoonbaar maken.
  • Regels voor algemene-doel-AI (GPAI): van toepassing sinds 2 augustus 2025. Dit raakt vooral de aanbieders van grote AI-modellen.

Uitgesteld via de Digital Omnibus

  • Hoog-risico AI, standalone (Annex III): verschoven naar 2 december 2027.
  • Hoog-risico AI in gereguleerde producten (Annex I): verschoven naar 2 augustus 2028.

Je hebt ruimte om verantwoord en in je eigen tempo op te bouwen. Zorg dat wat vandaag geldt, op orde is.

04 · Voor het MKB

Wat betekent dit voor het MKB?

De EU AI Act onderscheidt twee rollen: aanbieders (die AI-systemen op de markt brengen) en gebruikers/deployers (die ze inzetten). Voor de meeste MKB-organisaties geldt de lichtere rol van deployer.

  • Geletterdheidsplicht (artikel 4): dit geldt voor iedereen. Als jouw medewerkers AI-tools gebruiken, moet je zorgen dat ze begrijpen hoe die werken, wat de risico's zijn en hoe je er verantwoord mee omgaat. En je moet dat aantoonbaar kunnen maken.
  • Transparantie (artikel 50): als je een chatbot richting klanten of medewerkers inzet, moet duidelijk zijn dat zij met AI communiceren.
  • AVG blijft onverkort gelden: bij elke AI-verwerking waarbij persoonsgegevens betrokken zijn, gelden de regels van de AVG. Grondslag, doelbinding, beveiliging en een verwerkersovereenkomst met je AI-leverancier zijn verplichtingen, geen opties.

Voor organisaties in de zorg geldt aanvullend dat de IGJ in februari 2025 opriep tot zorgvuldig gebruik van generatieve AI: menselijke controle en navolgbaarheid zijn leidend.

05 · Nu aan de slag

Wat kun je nu concreet doen?

Je hoeft niet te wachten tot 2027. De organisaties die nu al werken aan AI-geletterdheid, transparantie en een heldere inventarisatie van hun AI-gebruik, staan straks veel sterker.

  • Inventariseer je AI-gebruik: welke AI-tools gebruiken je medewerkers, voor welke taken en met welke data?
  • Zorg voor aantoonbare geletterdheid: artikel 4 vereist dat je dit kunt aantonen. Training en bewustwording zijn een goede eerste stap.
  • Maak transparantie concreet: communiceer helder wanneer klanten of medewerkers met een AI-systeem interacteren.
  • Stel een eenvoudig AI-beleid op: wie mag welke AI-tools gebruiken, met welke data en binnen welke grenzen?
  • Check je contracten: heb je een verwerkersovereenkomst met je AI-leveranciers? Bij verwerking van bijzondere persoonsgegevens is een DPIA mogelijk verplicht.

06 · Mythes

Mythes ontkracht over de EU AI Act

Rondom de EU AI Act circuleren hardnekkige misverstanden. Dit zijn de meest voorkomende:

  • Mythe: de AI Act geldt pas over een paar jaar. Deels onjuist. Artikel 4 (geletterdheid), artikel 5 (verbod) en het AVG-kader gelden al. Alleen de hoog-risico-eisen zijn uitgesteld.
  • Mythe: de AI Act geldt alleen voor techbedrijven. Onjuist. Elke organisatie die AI inzet, valt als deployer onder de wet. De zwaardere eisen gelden voor aanbieders, maar geletterdheid en transparantie gelden voor iedereen.
  • Mythe: wij gebruiken geen hoog-risico AI, dus de wet raakt ons niet. Onjuist. Artikel 4 en de AVG gelden ook bij laag-risico gebruik. Controleer bovendien altijd of een toepassing toch als hoog-risico kwalificeert.
  • Mythe: compliance is een eenmalig project. Onjuist. AI-governance vraagt om voortdurende aandacht: de wet, de tools en je eigen gebruik veranderen. Borging en monitoring zijn onderdeel van verantwoord AI-gebruik.

Veelgestelde vragen

FAQ: EU AI Act voor het MKB

Wat is de EU AI Act?

De EU AI Act is een Europese verordening die regels stelt voor het ontwikkelen en gebruiken van kunstmatige intelligentie. De wet werkt risicogebaseerd: hoe groter het risico van een AI-toepassing, hoe strenger de eisen.

Welke verplichtingen gelden er nu al voor het MKB?

Twee verplichtingen gelden al: de AI-geletterdheidsplicht (artikel 4, van kracht sinds 2 februari 2025) en het verbod op onaanvaardbare AI-toepassingen (artikel 5, ook van kracht sinds 2 februari 2025). De transparantieplicht (artikel 50) geldt als goed praktijkprincipe.

Zijn de hoog-risico-eisen uitgesteld?

Ja. Via de Digital Omnibus zijn de hoog-risico-eisen verschoven: voor standalone hoog-risico AI (Annex III) naar 2 december 2027, voor hoog-risico AI in gereguleerde producten (Annex I) naar 2 augustus 2028.

Wat zijn de vier risicocategorieen van de EU AI Act?

De EU AI Act onderscheidt vier categorieen: onaanvaardbaar risico (verboden per 2 februari 2025), hoog risico (uitgesteld tot 2027-2028), beperkt risico (transparantieverplichting) en minimaal risico (geen specifieke AI-Act-eisen).

Wat moet een MKB-bedrijf nu concreet doen?

Zorg dat medewerkers die met AI werken aantoonbaar AI-geletterd zijn (artikel 4). Controleer of je AI-toepassingen verboden zijn onder artikel 5. Werk toe naar een helder AI-beleid en maak gebruik transparant naar klanten en medewerkers.

Is de EU AI Act hetzelfde als de AVG?

Nee, maar ze vullen elkaar aan. De AVG regelt de bescherming van persoonsgegevens. De EU AI Act regelt de veiligheid en betrouwbaarheid van AI-systemen zelf. Beide gelden tegelijk bij AI-verwerking van persoonsgegevens.

Heeft mijn kleine organisatie echt last van de EU AI Act?

Ja, maar beperkt. De geletterdheidsplicht (artikel 4) geldt voor alle organisaties die AI gebruiken, ook kleine. De zware hoog-risico-eisen gelden pas vanaf 2027. Voor de meeste MKB-organisaties is de prioriteit nu: geletterdheid aantonen en transparant zijn.

Over de auteur

Arjan Woldring

oprichter Implementa

Arjan Woldring is oprichter van Implementa B.V. en begeleidt organisaties bij het verantwoord invoeren van AI. Hij werkt met name voor MKB-bedrijven en zorgorganisaties die AI willen benutten zonder in te leveren op controle, privacy of compliance.

Volg op LinkedIn Vakinhoudelijk gecontroleerd op Vakinhoudelijk gecontroleerd op 14 juni 2026

Lees ook

Lees ook.

Zijn de AI Act-deadlines uitgesteld?

Wat de Digital Omnibus verschoof en wat nu geldt.

Lees verder

Hoog-risico AI: wat valt eronder?

Wanneer een toepassing als hoog-risico telt.

Lees verder

AI-geletterdheidsplicht (art. 4)

De plicht die sinds februari 2025 al geldt.

Lees verder