Wanneer treedt de EU AI Act in werking voor mijn bedrijf?

De AI Act trad officieel in werking op 2 augustus 2024 met een gefaseerde invoering: verboden AI-praktijken per 2 februari 2025, verplichtingen voor GPAI-modellen per 2 augustus 2025, en hoog-risico verplichtingen per 2 augustus 2026. MKB-bedrijven die standaard AI-tools afnemen zijn primair geraakt door de transparantievereisten (beperkt risico) die nu al van kracht zijn.

Geldt de EU AI Act ook voor kleine ondernemingen?

Ja, maar de verplichtingen zijn proportioneel. MKB-bedrijven die AI-systemen inzetten als gebruiker (deployer) hebben lichtere verplichtingen dan providers die AI-systemen ontwikkelen. De zwaarste lasten liggen bij de fabrikant van het AI-systeem, niet bij de afnemer — mits u geen wezenlijke aanpassingen maakt aan het systeem.

Wat kost het als ik de AI Act schend?

Boetes voor inbreuken op verboden AI-praktijken: tot €35 miljoen of 7% van de wereldwijde jaaromzet. Voor hoog-risico verplichtingen: tot €15 miljoen of 3% omzet. Voor het verstrekken van onjuiste informatie aan toezichthouders: tot €7,5 miljoen of 1% omzet. Voor MKB gelden verlaagde maxima.

Hoe weet ik of mijn AI-chatbot als hoog risico wordt aangemerkt?

Een AI-chatbot voor klantenservice is doorgaans beperkt risico (transparantieverplichting: u moet kenbaar maken dat de gebruiker met AI communiceert). Alleen wanneer de chatbot geautomatiseerde beslissingen neemt met rechtsgevolgen — kredietverstrekking, HR-screening, toegang tot diensten — stijgt het risico naar hoog.

De EU AI Act in Kaart Gebracht voor het MKB

Op 12 juli 2024 werd de EU AI Act gepubliceerd in het Officieel Publicatieblad van de Europese Unie — de eerste uitgebreide AI-wetgeving ter wereld. Waar de wetgeving aanvankelijk werd gezien als iets voor grote techbedrijven, geldt zij voor elke organisatie die AI inzet binnen de EU — inclusief het MKB. Dit dossier legt uit wat de wet inhoudt, welke verplichtingen voor u gelden en hoe u compliant kunt opereren zonder uw digitale strategie te vertragen.

Het Fundament: Risicogebaseerde Aanpak

De EU AI Act werkt niet met een één-maat-past-allen systeem. De wetgeving hanteert een risicogebaseerde indeling: hoe hoger het potentiële risico voor mensen, hoe strenger de vereisten. Er zijn vier niveaus.

Onacceptabel Risico — Verboden per 2 februari 2025

Systemen die fundamentele rechten schenden zijn volledig verboden in de EU. Dit omvat:

Sociale scoringsystemen: AI die burgers of klanten beoordeelt op basis van sociaal gedrag of persoonlijke kenmerken om hen te bevoordelen of benadelen
Manipulatieve AI: Systemen die gebruik maken van onderbewuste technieken om gedrag te sturen op een manier die schade veroorzaakt
Real-time biometrische identificatie in publieke ruimte door wetshandhaving (met beperkte uitzonderingen)
Emotieherkenning op de werkvloer of in onderwijsinstellingen
Profilering die leidt tot discriminatie op basis van beschermde kenmerken

Voor het merendeel van het MKB zijn deze verboden geen praktisch knelpunt — de genoemde toepassingen vallen buiten de standaard bedrijfsvoering.

Hoog Risico — Zwaarste Verplichtingen

Hoog-risico AI-systemen vereisen vóór marktintroductie een conformiteitsbeoordeling, risicomanagementsysteem, technische documentatie en menselijk toezicht. De wet definieert hoog risico aan de hand van een lijst van specifieke sectoren en toepassingen:

Sector	Hoog-risico toepassingen
HR & Recruitment	AI-tools voor cv-screening, beoordeling van kandidaten, prestatiemonitoring
Kredietverlening	Geautomatiseerde kredietbeoordeling, fraudedetectie met rechtsgevolgen
Onderwijs	AI-systemen die leerlingprestaties beoordelen of onderwijstoegangen bepalen
Essentiële diensten	AI in gas-, water-, elektriciteitsnetbeheer, verkeer
Kritieke infrastructuur	Beveiligingssystemen, bewaking van publieke ruimte
Recht en bestuur	AI die rechters of bestuurders adviseert bij beslissingen met rechtsgevolgen

Belangrijk voor het MKB: U bent als deployer (gebruiker) van een hoog-risico systeem verplicht om menselijk toezicht te garanderen, het systeem te monitoren op risico's, incidenten te melden aan de toezichthouder, en een register bij te houden van uw gebruik. De provider van het systeem draagt de zwaarste last (technische documentatie, conformiteitsbeoordeling), maar uw gebruiksverplichtingen zijn niet triviaal.

Beperkt Risico — Transparantieverplichting

Dit is de categorie die het meest relevant is voor MKB-bedrijven die chatbots, AI-receptionisten of contentgeneratie inzetten.

Kernverplichting: Gebruikers moeten weten dat zij met een AI-systeem communiceren. Dit is de transparantieverplichting.

Concreet betekent dit:

Uw AI-chatbot moet zichzelf identificeren als AI (niet als "Onze medewerker Lisa")
Deepfake-achtige content moet worden gelabeld als AI-gegenereerd
AI-gegenereerde tekst in commerciële communicatie vereist een markering wanneer dit misleidend kan zijn

De transparantieverplichting is al van kracht. Controleer of uw chatbot-implementaties en e-mailautomatiseringen hieraan voldoen.

Minimaal Risico — Geen Specifieke Verplichtingen

AI-toepassingen zonder significant risico — spam-filters, aanbevelingssystemen voor producten, AI-schrijfhulpen — vallen in de categorie minimaal risico. Er zijn geen specifieke wettelijke verplichtingen, hoewel de Europese Commissie vrijwillige gedragscodes aanmoedigt.

Wie Is Verantwoordelijk: Provider vs. Deployer

De AI Act maakt een scherp onderscheid tussen twee rollen:

Provider: De organisatie die een AI-systeem ontwikkelt en op de markt brengt. Openai, Anthropic, Google — maar ook een softwarehuis dat een maatwerkoplossing bouwt. Providers dragen de zwaarste compliance-last.

Deployer: De organisatie die een AI-systeem integreert in haar eigen dienstverlening of bedrijfsprocessen. Het gemiddelde MKB-bedrijf is deployer, geen provider.

Als deployer heeft u de volgende kernverplichtingen:

Gebruik het systeem uitsluitend voor de doeleinden waarvoor het is ontworpen
Zorg voor voldoende menselijk toezicht, met name bij hoog-risico toepassingen
Monitor het systeem op risico's en meld incidenten aan uw provider en indien vereist aan de toezichthouder
Stel medewerkers in staat de AI veilig en effectief te bedienen (training)
Bescherm fundamentele rechten van betrokkenen

Let op: Als u een AI-systeem wezenlijk aanpast — de prompts herschrijft zodat de functionaliteit verandert, eigen trainingsdata toevoegt, of het systeem in een nieuwe context inzet — kunt u als provider worden aangemerkt voor die aanpassing.

General Purpose AI (GPAI) — De Nieuwe Categorie

De AI Act introduceert een aparte categorie voor zogenoemde General Purpose AI-modellen: grote taalmodellen (LLM's) die voor meerdere doelen inzetbaar zijn, zoals GPT-4, Claude of Gemini.

Providers van GPAI-modellen met "systemisch risico" (modellen getraind met meer dan 10^25 FLOPS, zoals de nieuwste GPT- en Claude-versies) hebben zware verplichtingen:

Publicatie van technische documentatie en evaluatieresultaten
Adversarial testing (red teaming) voor de introductie
Meldingsplicht bij incidenten
Beveiliging tegen cybersecurityrisico's

Als MKB bent u geen GPAI-provider, maar u profiteert indirect: uw AI-tools worden veiliger en beter gedocumenteerd doordat hun providers aan deze eisen moeten voldoen.

Compliancechecklist voor MKB-Deployers

Gebruik deze checklist om uw huidige AI-gebruik te toetsen:

Inventarisatie

Alle AI-tools en systemen binnen de organisatie zijn geïnventariseerd
Per tool is vastgesteld welke risicocategorie van toepassing is
Het onderscheid tussen hoog-risico en beperkt-risico toepassingen is gedocumenteerd

Transparantie (beperkt risico)

AI-chatbots en automatische communicatiesystemen identificeren zichzelf als AI
Medewerkers die AI-gegenereerde content publiceren, labelen dit waar van toepassing
Klanten worden geïnformeerd wanneer hun verzoek door een AI-systeem wordt afgehandeld

Hoog-risico verplichtingen (indien van toepassing)

Menselijk toezicht is gegarandeerd — een medewerker kan altijd ingrijpen of een beslissing corrigeren
Er is een intern incident-meldingsproces voor AI-gerelateerde fouten
Medewerkers die met het systeem werken zijn getraind in veilig gebruik
Gebruik is beperkt tot de doeleinden waarvoor het systeem is ontworpen

Contractueel

Verwerkersovereenkomsten zijn afgesloten met alle AI-providers die persoonsgegevens verwerken
De DPA's zijn gecontroleerd op conformiteit met AI Act vereisten (ondersteuning door provider bij compliance)

Tijdlijn: Wanneer Moet u Actie Ondernemen?

Datum	Verplichting
2 februari 2025	Verbod op onacceptabele AI-praktijken van kracht
2 augustus 2025	GPAI-provider verplichtingen van kracht
2 augustus 2026	Hoog-risico verplichtingen volledig van kracht
2 augustus 2027	Hoog-risico verplichtingen voor bijlage I systemen (bestaande regulering)

Voor MKB-deployers is de meest urgente actie nu: transparantie implementeren voor bestaande chatbots en AI-communicatiesystemen. Dat is al verplicht.

Toezicht en Handhaving in Nederland

De Autoriteit Persoonsgegevens (AP) is aangewezen als nationale toezichthouder voor de EU AI Act in Nederland. De AP werkt samen met de Rijksinspectie Digitale Infrastructuur (RDI) en sectorale toezichthouders (AFM, DNB, IGJ) voor handhaving in specifieke sectoren.

De AP heeft aangegeven de eerste handhavingsjaren te focussen op hoog-risico systemen en flagrante transparantieovertredingen. MKB-bedrijven die te goeder trouw werken aan compliance, lopen bij een eerste overtreding eerder risico op een waarschuwing dan een directe boete — maar dat is geen garantie.

Conclusie: Wetgeving als Kwaliteitsborging

De EU AI Act legt verplichtingen op, maar biedt ook een kader dat verantwoord AI-gebruik bevordert. Organisaties die nu investeren in governance, transparantie en menselijk toezicht, bouwen de gewoonten die in 2026 en daarna vanzelfsprekend moeten zijn. Begin met de transparantievereisten — dat is uitvoerbaar in weken, niet maanden.