Verboden
Onaanvaardbaar risico
Toepassingen die fundamentele rechten schenden zijn volledig verboden. Denk aan sociale scoring, realtime biometrische identificatie op openbare plaatsen en manipulatieve AI. Van kracht sinds 2 februari 2025.
Kennisartikel · AI Act, AVG & governance
Wat de wet van je vraagt, wat uitgesteld is en wat je nu concreet kunt regelen. Geen overbodige alarmbellen, wel een helder overzicht.
Laatst bijgewerkt 14 juni 2026 · door Arjan Woldring
De EU AI Act is een risicogebaseerde Europese wet voor kunstmatige intelligentie. Voor het MKB tellen nu twee concrete verplichtingen: de AI-geletterdheidsplicht (artikel 4, geldt sinds 2 februari 2025) en het verbod op onaanvaardbare AI (artikel 5). De zware hoog-risico-eisen zijn uitgesteld naar respectievelijk december 2027 en augustus 2028. Je hebt ruimte, maar geen reden om stil te staan.
Implementa
01 · Definitie
De EU AI Act (officieel: Verordening (EU) 2024/1689) is de eerste uitgebreide Europese wet die regels stelt voor de ontwikkeling, het op de markt brengen en het gebruik van systemen met kunstmatige intelligentie. De wet is in augustus 2024 in werking getreden en wordt gefaseerd van kracht.
De kern van de aanpak is risicogebaseerd: hoe groter het potentiële risico van een AI-toepassing voor mensen en de samenleving, hoe strenger de verplichtingen. Dat maakt de wet proportioneel: een organisatie die een chatbot gebruikt voor klantenservice, valt onder andere regels dan een zorginstelling die AI inzet bij diagnose of behandelbeslissingen.
De Autoriteit Persoonsgegevens heeft een uitgebreide themapagina over de EU AI Act, met uitleg over wat de wet betekent voor organisaties in Nederland.
02 · Risicocategorieen
De EU AI Act deelt AI-toepassingen in vier categorieen in. Voor het MKB is het essentieel om te weten in welke categorie jouw toepassingen vallen.
Verboden
Toepassingen die fundamentele rechten schenden zijn volledig verboden. Denk aan sociale scoring, realtime biometrische identificatie op openbare plaatsen en manipulatieve AI. Van kracht sinds 2 februari 2025.
Uitgesteld tot 2027-2028
AI bij HR-beslissingen, kritieke infrastructuur, onderwijs of medische diagnose. Zware documentatie- en controlevereisten, maar pas verplicht vanaf 2 december 2027 (Annex III) of 2 augustus 2028 (Annex I).
Transparantieplicht
Toepassingen zoals chatbots en AI-gegenereerde content. Hier geldt de transparantieplicht (artikel 50): het moet voor gebruikers duidelijk zijn dat zij met AI communiceren of dat content AI-gegenereerd is.
Vrijwel geen AI-Act-eisen
De meeste AI-toepassingen die het MKB dagelijks gebruikt vallen hier: spamfilters, aanbevelingssystemen, AI-schrijftools. Geen specifieke AI-Act-verplichtingen, maar de AVG en andere sectorwetgeving blijven gelden.
03 · Tijdlijn
De EU AI Act wordt gefaseerd ingevoerd en is tussentijds aangepast via de Digital Omnibus. Hieronder staat wat nu echt geldt en wat uitgesteld is.
Je hebt ruimte om verantwoord en in je eigen tempo op te bouwen. Zorg dat wat vandaag geldt, op orde is.
04 · Voor het MKB
De EU AI Act onderscheidt twee rollen: aanbieders (die AI-systemen op de markt brengen) en gebruikers/deployers (die ze inzetten). Voor de meeste MKB-organisaties geldt de lichtere rol van deployer.
Voor organisaties in de zorg geldt aanvullend dat de IGJ in februari 2025 opriep tot zorgvuldig gebruik van generatieve AI: menselijke controle en navolgbaarheid zijn leidend.
05 · Nu aan de slag
Je hoeft niet te wachten tot 2027. De organisaties die nu al werken aan AI-geletterdheid, transparantie en een heldere inventarisatie van hun AI-gebruik, staan straks veel sterker.
06 · Mythes
Rondom de EU AI Act circuleren hardnekkige misverstanden. Dit zijn de meest voorkomende:
Veelgestelde vragen
De EU AI Act is een Europese verordening die regels stelt voor het ontwikkelen en gebruiken van kunstmatige intelligentie. De wet werkt risicogebaseerd: hoe groter het risico van een AI-toepassing, hoe strenger de eisen.
Twee verplichtingen gelden al: de AI-geletterdheidsplicht (artikel 4, van kracht sinds 2 februari 2025) en het verbod op onaanvaardbare AI-toepassingen (artikel 5, ook van kracht sinds 2 februari 2025). De transparantieplicht (artikel 50) geldt als goed praktijkprincipe.
Ja. Via de Digital Omnibus zijn de hoog-risico-eisen verschoven: voor standalone hoog-risico AI (Annex III) naar 2 december 2027, voor hoog-risico AI in gereguleerde producten (Annex I) naar 2 augustus 2028.
De EU AI Act onderscheidt vier categorieen: onaanvaardbaar risico (verboden per 2 februari 2025), hoog risico (uitgesteld tot 2027-2028), beperkt risico (transparantieverplichting) en minimaal risico (geen specifieke AI-Act-eisen).
Zorg dat medewerkers die met AI werken aantoonbaar AI-geletterd zijn (artikel 4). Controleer of je AI-toepassingen verboden zijn onder artikel 5. Werk toe naar een helder AI-beleid en maak gebruik transparant naar klanten en medewerkers.
Nee, maar ze vullen elkaar aan. De AVG regelt de bescherming van persoonsgegevens. De EU AI Act regelt de veiligheid en betrouwbaarheid van AI-systemen zelf. Beide gelden tegelijk bij AI-verwerking van persoonsgegevens.
Ja, maar beperkt. De geletterdheidsplicht (artikel 4) geldt voor alle organisaties die AI gebruiken, ook kleine. De zware hoog-risico-eisen gelden pas vanaf 2027. Voor de meeste MKB-organisaties is de prioriteit nu: geletterdheid aantonen en transparant zijn.
Over de auteur
Arjan Woldring
oprichter Implementa
Arjan Woldring is oprichter van Implementa B.V. en begeleidt organisaties bij het verantwoord invoeren van AI. Hij werkt met name voor MKB-bedrijven en zorgorganisaties die AI willen benutten zonder in te leveren op controle, privacy of compliance.
Lees ook
Wat de Digital Omnibus verschoof en wat nu geldt.
Lees verderWanneer een toepassing als hoog-risico telt.
Lees verderDe plicht die sinds februari 2025 al geldt.
Lees verder