De EU AI Act is geen toekomstmuziek meer. Sinds februari 2025 zijn bepaalde verboden praktijken al strafbaar, en de verplichting tot AI-geletterdheid geldt al sinds diezelfde datum. Voor veel MKB-ondernemers voelt dit als een plotselinge waarschuwing: je bent niet voorbereid, en je blijkt niet alleen te zijn.
Dit artikel geeft je een helder overzicht van wat de EU AI Act betekent, welke deadlines je moet kennen, en vooral: wat je nu moet doen om compliant te worden zonder je bedrijf op zijn kop te zetten.
Wat is de EU AI Act (en waarom zou je het moeten weten)?
De EU AI Act is de eerste wetgeving ter wereld die kunstmatige intelligentie daadwerkelijk reguleert. Het gaat niet om een paar richtlijnen of aanbevelingen—het is bindende wet, met boetes tot 35 miljoen euro of 7% van je wereldwijde jaaromzet (de hoogste van de twee geldt).
Het kernidee is slim: de wet hanteert een risicogebaseerde aanpak met vier niveaus — verboden AI-systemen, hoog-risico AI, beperkt-risico AI, en laag-risico AI. Elk niveau krijgt eigen eisen. Voor MKB's geldt vooral: je hoeft niet alles meteen perfect in te richten, maar je moet wel kunnen aantonen dat je het serieus neemt.
Dat bewijs heet AI Governance. Een systeem waarmee je vastlegt welke AI-systemen je gebruikt, welke risico's ze dragen, en hoe je ze beheert. Niet alleen om voor toezichthouders indruk te maken (hoewel dat ook helpt), maar omdat je risicobesef scherp moet zijn voor je eigen bedrijf.
De timeline: wanneer gelden welke regels?
De EU AI Act rolt uit in fases. Dit is cruciaal om goed in je hoofd te hebben:
Februari 2025 – Verboden praktijken zijn al van kracht
Dit is nu actief. Bepaalde AI-praktijken zijn per direct niet meer toegestaan:
- Social scoring systemen (AI die burgers een 'score' geeft op basis van gedrag)
- Real-time biometrische herkenning in openbare ruimtes (tenzij zeer specifieke uitzonderingen)
- AI die gericht minderjarigen exploiteert
- Voorspellend politiewerk (predictive policing) op basis van persoonsgegevens
Voor de meeste MKB's is dit geen directe dreiging, tenzij je actief in surveillance of public services zit. Toch: je moet op de hoogte zijn en kunnen bewijzen dat je ze niet gebruikt.
Februari 2025 – AI-geletterdheid verplicht (Artikel 4)
Samen met de verboden praktijken is ook de verplichting tot AI-geletterdheid ingegaan. Organisaties moeten hun medewerkers trainen in AI-risico's. Ze moeten begrijpen wat AI kan en niet kan, welke vooroordelen het kan hebben, en hoe je het verantwoord inzet. Dit is minder technisch dan je zou verwachten—het gaat om bewustzijn en basiskennis.
Augustus 2025 – Sanctieregels van kracht
Vanaf augustus 2025 kunnen nationale toezichthouders daadwerkelijk boetes opleggen. Ook gelden vanaf deze datum de verplichtingen voor aanbieders van general-purpose AI-modellen (denk aan de bedrijven achter ChatGPT en vergelijkbare diensten). Voor MKB's belangrijk: de handhavingsinfrastructuur staat dan op poten.
Augustus 2026 – Volledige naleving
Dit is de eerste grote deadline. Tegen deze datum moet je:
- Een AI Register hebben (wat AI-systemen gebruik je en waarom?)
- Risicoanalyses voor hoog-risico systemen
- Documentatie op orde hebben
- Auditpaden en logs kunnen tonen
- Privacy Impact Assessments waar nodig
Mis-concepties: 'het geldt niet voor mij'
Er zijn twee grote misverstanden waar ik veel MKB's tegen aan loop:
Misverstand 1: "Wij gebruiken geen AI, dus het geldt niet voor ons"
Dit is vrijwel nooit waar. De kans is heel groot dat jij en je team wel AI gebruiken, maar het niet eens zo noemen. ChatGPT, Copilot, Google Gemini in je Gmail, LinkedIn's recruiter-tools, e-mailfilters, fraudedetectie in je betaalsysteem—het zijn allemaal AI-systemen. De EU AI Act ziet ook die systemen, ook als ze van derden zijn (als deployer draag jij dan medeverantwoordelijkheid).
Misverstand 2: "Dit is een regelgeving voor Big Tech"
Deels waar—grote bedrijven voelen de druk het eerst. Maar de wet geldt ook voor het MKB. Het voordeel? Het MKB kan veel sneller schakelen. Je hoeft geen jarenlange bureaucratische processen in te richten. Een AI Governance programma van 12 weken is voor MKB's realistisch; voor enterprise duurt het jaren.
Wat moet jij als MKB-ondernemer NU doen?
Drie praktische stappen:
Stap 1: Inventory (nu – volgende week)
Leg alle AI-systemen op een rij die je bedrijf gebruikt. Spreadsheet is prima. ChatGPT door sales team? Schrijf het op. LinkedIn Recruiter? Dat ook. Chatbot op je website? Ook. De scan hoeft niet perfect, maar moet compleet genoeg zijn.
Stap 2: Risicoclassificatie (week 2-3)
Voor elke tool: welke risico's draagt het? Hoog risico (impact op veiligheid, gelijkheid, autonomie), beperkt risico (transparantie vereist), of laag risico? Voor de meeste MKB-tools: laag tot beperkt. Maar je moet het kunnen onderbouwen.
Stap 3: Beginnen met beleid (maand 1-2)
Schrijf een eenvoudig AI Governance beleid. Welke tools mogen we gebruiken? Wie keurt ze goed? Hoe gaan we om met data? Wie is eigenaar? Dit hoeft geen 100 pagina's te zijn—twee tot vijf pagina's is voor veel MKB's genoeg.
Waarom nu beginnen beter is dan wachten
Bedrijven die nu beginnen hebben een concurrentievoordeel:
- Snellere innovatie: governance geeft je controle, controle geeft je vrijheid om sneller nieuwe AI uit te rollen
- Minder paniek: je zit niet in de augustus 2026-rush met duizend anderen
- Betere medewerker-buy-in: je team begrijpt waarom je AI governance doet, niet omdat het moet, maar omdat het veilig werken oplevert
- Inzicht in je data: governance dwingt je om je data-assets goed te kennen—dat helpt ook met andere compliance (GDPR, NIS2)
De FAQ voor het MKB
V: Moet ik alle tools vervangen?
A: Nee. De meeste tools zijn al compliant of kunnen dat met kleine aanpassingen. Je hoeft niet ineens weg van ChatGPT, je hoeft alleen vast te stellen dat je het verantwoord gebruikt.
V: Kost dit niet miljoenen?
A: Voor het MKB niet. AI Governance is duur als je het als enterprise aanpakt (veel compliance-mensen, veel processen). Efficiënt ingericht kost dit voor een klein bedrijf een paar duizend euro; voor middelgrote bedrijven tot enkele tienduizenden. Niet gratis, maar absoluut te doen.
V: Wat als ik helemaal niks doe?
A: Je riskeert na augustus 2026 handhaving. Dat kan beginnen met waarschuwingen, maar kan uitlopen op boetes. Erger nog: je bedrijf loopt AI-risico's zonder ze te kennen. Dat leidt tot datalekken, bias-incidenten, of reputatieschade. Governance beschermt je niet alleen juridisch, maar ook operationeel.
Samenvatting
De EU AI Act is niet meer iets voor volgende jaar. Het is actief, het geldt voor jou, en je hebt tot augustus 2026 om compliance-ready te zijn. Dat klinkt als veel tijd, maar die gaat voorbij. Bedrijven die nu starten hebben voordelen: minder haast, beter begrip van hun AI-landschap, en een cultuur die veilig van AI profiteert. Benieuwd of jouw bedrijf al klaar is voor een autonome AI-agent? Lees dan ook 5 tekenen dat je bedrijf een AI-medewerker nodig heeft.
Start klein: inventariseer je AI, classificeer risico's, schrijf een eenvoudig beleid. Dat is genoeg voor de eerste fase. En dan ga je van chaos naar controle.