EU AI Act voor MKB Nederland 2026 — wat moet u nu regelen
De Europese AI-verordening (EU AI Act) is sinds februari 2025 gefaseerd in werking en geldt voor elk Nederlands MKB-bedrijf dat AI inzet — van een eenvoudige WhatsApp-bot tot een AI-receptionist. In 2026 lopen de eerste deadlines af voor transparantie, logging en AI-literacy training. In dit artikel: welke verplichtingen gelden voor uw bedrijf, in welke risico-categorie uw AI valt, een 8-stappen compliance-checklist en de boetes bij niet-naleving (tot 35 miljoen euro of 7 procent wereldwijde omzet).
Wat is de EU AI Act in een notendop
De EU AI Act (verordening 2024/1689) is de eerste alomvattende AI-wetgeving ter wereld. Doel: zorgen dat AI in de EU veilig, transparant en in lijn met grondrechten wordt ingezet. De wet werkt risico-gebaseerd: hoe groter het risico van een AI-toepassing, hoe zwaarder de eisen. Voor het Nederlandse MKB betekent dit dat de meeste AI-tools (klantgesprek-AI, document-automatisering, recommendation-engines) onder de licht-risico of geen-risico categorie vallen, maar er gelden wel transparantie-verplichtingen en een verplichte AI-literacy training voor medewerkers.
De wet werd gepubliceerd op 12 juli 2024 en is gefaseerd in werking getreden. Vanaf 2 februari 2025 zijn verboden AI-praktijken (zoals social scoring of emotie-herkenning op werkvloer) onmiddellijk verboden, en moet elk bedrijf basis AI-literacy trainen. Vanaf 2 augustus 2025 gelden regels voor General Purpose AI providers (OpenAI, Anthropic, Google). Vanaf 2 augustus 2026 worden high-risk AI-systemen volledig gereguleerd. Op 2 augustus 2027 is de wet volledig van kracht.
Toezichthouder in Nederland is de Autoriteit Persoonsgegevens (AP) voor AI in combinatie met persoonsgegevens, plus de Rijksinspectie Digitale Infrastructuur (RDI) voor andere AI-toepassingen. De AP heeft inmiddels een aparte AI-afdeling met handhavingscapaciteit. Boetes bij overtreding lopen op tot 35 miljoen euro of 7 procent wereldwijde jaaromzet voor verboden praktijken, 15 miljoen of 3 procent voor andere overtredingen, en 7,5 miljoen of 1 procent voor onjuiste informatie aan de toezichthouder.
De vier risico-categorieen — waar valt uw AI in?
Unacceptable risk (verboden, sinds 2 februari 2025): social scoring door overheden, real-time biometrische identificatie in publieke ruimtes (met uitzonderingen), emotie-herkenning op werkvloer of in onderwijs, manipulatieve AI gericht op kwetsbare groepen. Deze toepassingen zijn volledig verboden. Voor regulier MKB niet relevant — geen enkele klantgesprek-AI valt hieronder. Boete bij gebruik: tot 35 miljoen euro of 7 procent omzet.
High risk (zware compliance, vanaf 2 augustus 2026): AI in werving en selectie van personeel, kredietbeoordeling, biometrische identificatie, scoring van examens, beslissingen over toegang tot essentiele diensten, kritieke infrastructuur, justitie en grenscontrole. High-risk vereist: risk-management systeem, data governance, technische documentatie, logging, transparantie, menselijke supervisie, accuracy-tests en conformity assessment. Voor MKB relevant alleen als u AI inzet voor solliciatie-screening of kredietbesluit — anders niet van toepassing.
Limited risk (transparantie-plicht, vanaf 2 februari 2025): AI-systemen die met mensen interageren (chatbots, voicebots, AI-receptionisten), AI die content genereert (deepfake-detectie, AI-generated tekst en beeld), emotie-herkenning, biometrische categorisatie. Verplichting: gebruiker informeren dat hij met AI praat of dat content AI-gegenereerd is. Marco AI receptionist en Emma WhatsApp bot vallen hieronder. Implementatie: 1 zin aan begin van elk gesprek of bericht.
Minimal risk (geen verplichtingen): AI in spam-filters, AI in games, AI-tools voor optimalisatie van interne processen zonder klant-impact, AI-spellingscheckers. Vrijwillige codes of conduct mogelijk maar geen wettelijke verplichtingen. De meeste AI in MKB-software valt hier — denk aan AI-features in Office 365, automatisch antwoord-suggesties in Outlook, AI-tagging in foto-software.
Voor het gemiddelde MKB-bedrijf geldt: 90 procent van de gebruikte AI valt in limited risk of minimal risk. Alleen wanneer u AI specifiek inzet voor sollicitanten-screening, kredietbeslissingen of medische triage komt high-risk in beeld — en zelfs dan zijn er vaak limited-risk-alternatieven.
Concrete voorbeelden — welke MKB-tool in welke categorie
Marco AI receptionist (klantgesprek-AI): limited risk. Verplichting: opening-statement met AI-disclosure (u spreekt met de virtuele receptionist). Aanloop AI heeft dit standaard geconfigureerd. Geen conformity assessment nodig. Logging is standaard ingebouwd voor audit. AI-literacy training voor uw kantoor-medewerkers wel verplicht (1 uur e-learning).
Emma AI WhatsApp bot: limited risk. Verplichting: bij eerste contact in conversatie melden dat het een AI-assistent is. Standaard configuratie: hallo, ik ben de digitale assistent van bedrijf, voor complexe vragen verbind ik u door met een collega. Verder geen extra verplichtingen.
AI-document automation (factuur OCR, contract-extractie): minimal risk. Geen verplichtingen onder AI Act. Wel relevant: AVG-vereisten blijven van toepassing voor persoonsgegevens in documenten. Aanloop AI's document-AI verwerkt op EU-servers en gebruikt geen klantdata voor training.
AI in CRM (lead-scoring, next-best-action): meestal minimal risk, soms limited risk als de output direct aan de klant getoond wordt. Praktisch: documenteer in uw verwerkingsregister dat u AI-features in HubSpot of Pipedrive gebruikt en welke datatypes verwerkt worden.
AI-sollicitatie-screening: high risk. Volledige compliance-stack vereist vanaf 2 augustus 2026: risk management, data governance, conformity assessment, monitoring, transparantie naar sollicitanten, en menselijke supervisie bij elke beslissing. Aanbeveling voor MKB: gebruik AI alleen ondersteunend (CV-samenvatting, eerste filtering) en houd alle beslissingen nadrukkelijk bij mens.
AI in webshop (product-recommendations, personalisatie): minimal tot limited risk. Algemene recommendation-engines: minimal risk. Persoonsgebonden personalisatie: limited risk met transparantie-plicht. Praktisch: in privacy statement noemen dat u recommendation-AI gebruikt.
8-stappen compliance-checklist voor MKB
(1) AI-inventarisatie: lijst alle AI-tools in uw organisatie. Niet alleen de obvious (Marco, Emma, ChatGPT-account), ook AI-features in bestaande software (Office Copilot, HubSpot AI, Salesforce Einstein, Outlook automatisch beantwoorden). Doorlooptijd: 1 dag.
(2) Risico-classificatie: per tool de categorie bepalen aan de hand van de wet-checklist. De meeste klantgesprek-AI is limited risk; de meeste interne tools zijn minimal risk. Documenteer uw classificatie schriftelijk; dit is uw bewijs van due diligence. Doorlooptijd: 1 dag.
(3) Transparantie-disclaimers: voor elke limited-risk AI een AI-disclosure inrichten. Bij voicebot: opening-statement. Bij chatbot: eerste-bericht-disclaimer. Bij AI-generated content op website: subtiele label. Aanloop AI heeft dit standaard geconfigureerd voor Marco en Emma. Doorlooptijd: 0,5 dag.
(4) Logging en audit-trail: elke AI-interactie wordt gelogd met input, output, timestamp, escalatie, modelversie. Bewaartermijn minimaal 6 maanden, voor audit-doelen liefst 24 maanden. Aanloop AI's instances loggen automatisch in een gestructureerde database die op verzoek exporteerbaar is. Doorlooptijd: 0 (bestaande klanten), 1 dag (nieuwe).
(5) Menselijke escalatie standaard: elke AI heeft een betekenisvolle menselijke escalatie-pad. Voor klantgesprek: bij sentiment-detectie, klacht-keywords, of expliciete vraag van gebruiker direct doorverbinden. Voor document-AI: bij confidence onder 80 procent naar mens. Voor sollicitatie-AI (high risk): elke beslissing menselijk geverifieerd. Doorlooptijd: 1 dag.
(6) AI-literacy training: alle medewerkers die AI gebruiken krijgen een verplichte basistraining (1 tot 2 uur). Onderwerpen: hoe werkt AI op hoofdlijnen, wat zijn beperkingen (hallucinatie, bias), wanneer wel of niet vertrouwen, hoe rapporteer je een AI-fout. Aanloop AI levert een Nederlandstalige e-learning bij onboarding inclusief certificaat per medewerker. Doorlooptijd: 1 dag voor team van 10.
(7) Verwerkersovereenkomsten herzien: bestaande AVG-DPA aanvullen met AI-specifieke clausules: garantie op geen-modeltraining op klantdata, notification bij major modelupdates, recht op uitleg bij betekenisvolle AI-beslissingen, handelswijze bij modelfouten of bias-detectie. Aanloop AI levert standaard een AI Act-conforme DPA. Doorlooptijd: 1 tot 2 dagen.
(8) Klantcommunicatie en privacy statement: uw privacy statement aanvullen met een AI-paragraaf (welke AI gebruikt u, voor welke doeleinden, welke garanties). Optioneel: een aparte AI-policy pagina (/ai-policy) met overzicht. Dit bouwt vertrouwen en is bewijs van proactieve compliance. Doorlooptijd: 0,5 dag.
Totale doorlooptijd voor een gemiddeld MKB met 1 tot 5 AI-tools: 6 tot 8 werkdagen verspreid over 2 tot 4 weken. Voor Aanloop AI-klanten: stappen 3, 4, 5 en 7 zijn al ingericht — u hoeft alleen 1, 2, 6 en 8 zelf te doen (circa 3 dagen werk).
Tijdlijn — welke deadlines moet u halen
2 februari 2025 (verstreken): verboden AI-praktijken zijn onmiddellijk verboden. AI-literacy training is verplicht voor alle medewerkers die AI gebruiken. Als u dit nog niet heeft geregeld, doe dit deze maand — handhaving begint actief in tweede helft 2025.
2 augustus 2025 (verstreken): General Purpose AI Providers (OpenAI, Anthropic, Google, Mistral, Meta) hebben transparantie- en documentatie-verplichtingen. Praktisch impact voor MKB: u kunt op verzoek bij uw AI-leverancier vragen om een GPAI-compliance-statement. Aanloop AI gebruikt GPAIs via gecertificeerde providers en kan dit direct leveren.
2 februari 2026 (toezichthouders operationeel): nationale toezichthouders moeten volledig operationeel zijn. In Nederland: Autoriteit Persoonsgegevens AI-afdeling plus RDI. Vanaf deze datum kunt u verwachten dat klachten en onderzoeken in behandeling worden genomen. Eerste boete-besluiten worden in 2026 verwacht — vooral bij verboden praktijken en grove transparantie-overtredingen.
2 augustus 2026: high-risk AI-systemen zijn volledig gereguleerd. Indien u high-risk AI gebruikt (sollicitatie-screening, kredietbeoordeling): conformity assessment moet zijn doorlopen, technische documentatie volledig, risk management systeem operationeel. Voor de meeste MKB niet relevant; check uw inventarisatie.
2 augustus 2027 (volledige inwerking): alle bepalingen van de AI Act volledig van kracht, inclusief overgangsbepalingen voor reeds in gebruik zijnde high-risk AI. Vanaf nu kunt u boetes verwachten voor elk type overtreding, niet alleen voor verboden praktijken.
Voor de meeste MKB-bedrijven is de praktische deadline 2 februari 2026 — vanaf dan zijn toezichthouders actief en wordt handhaving zichtbaar. Tot die tijd loont elke maand voorbereiding; we adviseren om uiterlijk december 2025 de 8-stappen-checklist volledig afgerond te hebben.
Boetes en handhaving — wat staat er op het spel
De AI Act kent drie niveaus van boetes, gebaseerd op de zwaarte van de overtreding. Categorie 1 (verboden praktijken): tot 35 miljoen euro of 7 procent van wereldwijde jaaromzet (welke hoger is). Voor een MKB met 1 miljoen euro omzet is dit theoretisch 70.000 euro, maar bij nationale CEOs van grote bedrijven kan dit oplopen tot honderden miljoenen.
Categorie 2 (overtreding andere verplichtingen): tot 15 miljoen euro of 3 procent wereldwijde omzet. Dit is de meest waarschijnlijke categorie voor MKB-overtredingen — bijvoorbeeld geen transparantie-disclaimer, geen logging, of geen menselijke escalatie-pad. Voor kleine MKB realistisch: 25.000 tot 250.000 euro per overtreding.
Categorie 3 (onjuiste informatie aan toezichthouder): tot 7,5 miljoen euro of 1 procent omzet. Bij MKB realistisch: 5.000 tot 50.000 euro. Vermijdbaar door eerlijk en volledig te documenteren — onbedoelde fouten worden meestal niet beboet, opzettelijke misleiding wel.
In de praktijk hanteert de AP voor AVG-overtredingen al een glijdende schaal waarbij MKB-bedrijven aanmerkelijk lagere boetes krijgen dan grote ondernemingen, en first-time offenders met goede compliance-intentie vaak een waarschuwing of voorschrift tot herstel krijgen voordat een boete volgt. We verwachten dezelfde aanpak voor AI Act-handhaving.
Naast directe boetes zijn er andere risicos: reputatieschade bij publicatie van een toezichthoudersbesluit, civiele aansprakelijkheid bij schade aan klant door AI-fout, contractuele consequenties (klanten kunnen ontbinden bij niet-compliance van uw AI), en verzekeringsdekking die kan vervallen bij niet-naleving van wettelijke vereisten.
Aanloop AIs compliance-status onder de AI Act
Aanloop AI heeft sinds februari 2025 een end-to-end EU AI Act compliance-stack ingericht voor alle klantimplementaties. Marco AI receptionist en Emma WhatsApp bot vallen onder limited risk en hebben standaard transparantie-disclaimers, gestructureerde logging en menselijke escalatie-paden. AI-document automation valt onder minimal risk maar heeft wel logging voor audit-trail.
Onze GPAI-providers (Anthropic Claude, OpenAI GPT-4o) hebben hun GPAI-compliance-statements gepubliceerd en zijn EU AI Act-compliant per 2 augustus 2025. Aanloop AI kan deze statements doorleveren aan klanten op verzoek. Voor klantdata: gegarandeerd geen modeltraining (contractueel vastgelegd), EU-only verwerking (Frankfurt of Amsterdam), volledige data-export bij contract-einde.
AI-literacy training: alle Aanloop-klanten krijgen bij onboarding een Nederlandstalige e-learning van 60 tot 90 minuten met certificaat per medewerker. Onderwerpen: werking en beperkingen van AI, herkennen van AI-fouten, escalatie-procedures, klant-communicatie over AI. Bij major modelupdates (bijv. GPT-5 release): refresh-training inbegrepen.
Documentatie: elke klant ontvangt bij ondertekening een AI Act compliance-pakket met: risico-classificatie van de geleverde AI, technische beschrijving, logging-policy, escalatie-protocol, AI-disclosure templates, AI-paragraaf voor uw privacy statement, en GPAI-statements. Dit is uw bewijs van due diligence bij eventueel toezichthouder-onderzoek.
Onze high-risk service: voor klanten die AI willen inzetten in werving en selectie, kredietbeoordeling, of medische triage leveren we een aparte high-risk implementatie met conformity assessment, formele risk management, en uitgebreide documentatie. Doorlooptijd: 12 tot 16 weken, prijs op aanvraag. We raden de meeste MKB aan om deze processen voorlopig niet volledig te automatiseren.
Veelgemaakte fouten bij AI Act compliance
Fout 1: alleen de zichtbare AI inventariseren. Veel MKB-bedrijven kijken naar Marco of Emma maar vergeten de AI-features in Office 365, in Outlook, in HubSpot of in Salesforce. Deze tools hebben hun eigen compliance-stack, maar u bent als deployer verantwoordelijk om te weten welke AI u gebruikt.
Fout 2: AI-literacy training overslaan. Dit lijkt een formele pro-forma, maar is sinds februari 2025 hard verplicht. Toezichthouder kan op elk moment vragen om een training-overzicht. Een 1-uurs e-learning met certificaten is gemakkelijk te leveren en vermijdt boetes.
Fout 3: transparantie-disclaimer te subtiel. Wettelijke vereiste is duidelijke en herkenbare AI-disclosure. Een microscoop-letter onder een form, of powered by AI in een footer is onvoldoende. Beste practice: 1 zin in begroeting van AI-systeem.
Fout 4: geen documentatie van AI-keuzes. Bij toezichthouder-onderzoek moet u kunnen aantonen dat u bewust hebt nagedacht over AI-impact. Een schriftelijke risico-classificatie en compliance-checklist is uw bewijs. Aanloop AI levert templates die u kunt invullen.
Fout 5: AI als black box behandelen. AI Act vereist dat u kunt uitleggen waarom AI een bepaalde uitkomst gaf, zeker bij betekenisvolle beslissingen. Werk alleen met AI-leveranciers die explainability bieden — dus niet met platforms waar u niet kunt zien welke kennisbank-bron werd gebruikt.
Wat te doen als u nog niet compliant bent
Als u na het lezen van dit artikel constateert dat uw bedrijf nog gaten heeft, raak niet in paniek. De handhaving is in 2026 nog mild en first-time offenders krijgen meestal eerst een waarschuwing met termijn voor herstel voordat een boete volgt. Belangrijker dan paniek is een gestructureerde aanpak om binnen 4 tot 8 weken volledig compliant te worden.
Stap 1 (deze week): inventariseer alle AI-tools die u gebruikt en classificeer ze per risico-categorie. Documenteer dit schriftelijk in een eenvoudig spreadsheet. Stap 2 (volgende week): voor elke limited-risk AI een transparantie-disclaimer inrichten. Voor klantgesprek-AI van Aanloop AI: dit is al actief. Stap 3 (week 3): AI-literacy training voor alle medewerkers — kan een 1-uurs e-learning zijn met certificaat. Stap 4 (week 4 tot 6): privacy statement aanvullen, verwerkersovereenkomsten herzien, documentatie compleet maken.
Voor Aanloop AI-klanten is dit aanmerkelijk eenvoudiger: stappen 2 (transparantie), 4 (logging), 5 (escalatie) en 7 (DPA) zijn standaard ingericht. U hoeft alleen 1 (inventarisatie van AI buiten Aanloop), 3 (literacy training), 6 (training) en 8 (privacy statement) te regelen — circa 3 dagen werk. We helpen u op verzoek met een 1-uurs compliance-walkthrough waarin we uw situatie doornemen en concrete acties identificeren.
Plan een gratis 30-minuten compliance-scan via onze gratis AI-scan of bel ons direct via +31 6 247 415 97. We bespreken uw AI-stack, identificeren de gaten en geven een concreet stappenplan — kosteloos, geen verplichtingen.
Ondersteunende dienst
EU AI Act check als onderdeel van uw AI-implementatie
Bij elke nieuwe Marco of Emma implementatie van Aanloop AI is een EU AI Act compliance-check standaard inbegrepen. We classificeren uw AI, configureren transparantie-disclaimers, leveren AI-literacy training met certificaten, en bouwen logging plus escalatie-paden. Geen extra kosten — onderdeel van het Starter (197 euro per maand) of Growth (497 euro per maand) pakket.
Veelgestelde vragen
FAQ EU AI Act
Vanaf wanneer is de EU AI Act van toepassing op mijn MKB?
De wet is gefaseerd ingevoerd. Verboden AI-praktijken: vanaf 2 februari 2025. AI-literacy verplichting: 2 februari 2025. General Purpose AI rules: 2 augustus 2025. High-risk AI: 2 augustus 2026. Volledige werking: 2 augustus 2027. Voor MKB met klantgesprek-AI (Marco of Emma): u moet nu transparantie-verplichtingen en AI-literacy training geregeld hebben.
In welke risico-categorie valt een AI receptionist of WhatsApp bot?
Limited risk. Klantgesprek-AI heeft een transparantie-verplichting (gebruiker informeren dat hij met AI praat) maar geen high-risk verplichtingen zoals risk-management-systeem of conformity assessment. Marco en Emma van Aanloop AI zijn standaard EU AI Act compliant binnen de limited-risk categorie.
Wat zijn de boetes bij niet-naleving van de AI Act?
Boetes lopen op tot 35 miljoen euro of 7 procent wereldwijde jaaromzet (welke hoger is) voor verboden AI-praktijken. Voor andere overtredingen: 15 miljoen euro of 3 procent omzet. Voor MKB realistisch: 50.000 tot 500.000 euro afhankelijk van de overtreding en omzet. Toezichthouder in Nederland: Autoriteit Persoonsgegevens (AP) plus AI-toezichthouder (in oprichting per AI Act).
Wat is AI-literacy en waarom moet ik training organiseren?
AI-literacy is basiskennis over hoe AI werkt, wat het wel en niet kan, en welke risicos er zijn. Vanaf 2 februari 2025 verplicht voor alle medewerkers die AI gebruiken. Doel: voorkomen dat medewerkers AI-output blind vertrouwen of verkeerd interpreteren. Aanloop AI levert een 1-uurs Nederlandstalige e-learning gratis bij elke implementatie.
Vallen ChatGPT en Claude onder de AI Act?
Ja, als General Purpose AI (GPAI) modellen. Vanaf 2 augustus 2025 hebben OpenAI, Anthropic en Google verplichtingen rond modeldocumentatie, copyright-policy en transparantie. Als MKB-gebruiker valt u onder de deployer-verplichtingen, niet de provider-verplichtingen. Praktisch betekent dit transparantie-disclaimer plus logging plus AI-literacy training.
Moet ik een conformity assessment doen voor mijn AI-tool?
Alleen voor high-risk AI (gebruik in werving en selectie, kredietbeoordeling, biometrische identificatie, kritieke infrastructuur). Klantgesprek-AI valt hier niet onder, dus geen conformity assessment nodig. Wel: documenteer uw risico-classificatie zelf — dit is bewijs van due diligence bij eventueel onderzoek door toezichthouder.
Verder lezen
Verder verdiepen.
Geschreven door
Daan Verhoeven
Oprichter en CEO Aanloop AI. Begeleidt 80+ Nederlandse MKB-bedrijven met implementatie van AI-receptionisten, WhatsApp-assistenten en workflow automatisering.