AI Wetgeving Nederland: Wat de EU AI Act Betekent voor Jouw Bedrijf

De EU AI Act is de eerste uitgebreide AI-wet ter wereld — en hij geldt ook voor jouw bedrijf. Sinds 2 augustus 2024 is de verordening in werking getreden, en de eerste verplichtingen gelden al. Of je nu een AI chatbot op je website hebt, automatisering gebruikt voor je sales, of nadenkt over AI agents: je moet weten waar je aan toe bent.

De EU AI Act is een Europese verordening die AI-systemen indeelt in risicocategorieën en per categorie specifieke verplichtingen oplegt aan aanbieders en gebruikers van die systemen. De wet geldt voor alle bedrijven die AI ontwikkelen of gebruiken in de EU — inclusief het MKB.

Wat is de EU AI Act?

De EU AI Act (officieel: Verordening (EU) 2024/1689) is de eerste bindende AI-wetgeving ter wereld. De Europese Unie heeft deze verordening aangenomen om ervoor te zorgen dat AI-systemen in Europa veilig, transparant en betrouwbaar zijn — zonder innovatie onnodig te remmen.

Tijdlijn

• Augustus 2024: Verordening treedt in werking
• Februari 2025: Verboden AI-praktijken gelden
• Augustus 2025: Verplichtingen voor general-purpose AI (zoals ChatGPT-achtige modellen)
• Augustus 2026: Volledige handhaving voor hoog-risico AI-systemen

Dit is geen toekomstmuziek. De eerste regels gelden nu al, en de rest volgt binnen anderhalf jaar.

Waarom het ertoe doet

De boetes zijn serieus: tot 35 miljoen euro of 7% van de wereldwijde omzet voor de zwaarste overtredingen. Voor het MKB gelden proportionele boetes, maar ook die kunnen flink oplopen. Belangrijker nog: als je klanten of partners vragen stellen over AI-compliance en je hebt geen antwoord, verlies je vertrouwen.

Bedrijven die nu al bezig zijn met AI implementeren doen er goed aan om compliance vanaf dag één mee te nemen.

Wie valt eronder?

De AI Act geldt niet alleen voor bedrijven die AI-systemen bouwen. Hij geldt ook voor bedrijven die AI-systemen gebruiken — en dat zijn de meeste MKB-bedrijven. Als je een AI chatbot op je website hebt, gebruik je een AI-systeem. Als je medewerkers ChatGPT gebruiken voor klantcommunicatie, gebruik je een AI-systeem. Als je een tool als HubSpot inzet die AI-gestuurde lead scoring doet, gebruik je een AI-systeem.

De verordening maakt onderscheid tussen "aanbieders" (die het AI-systeem ontwikkelen) en "deployers" (die het systeem inzetten). Als MKB-bedrijf ben je bijna altijd een deployer. Je verplichtingen zijn lichter dan die van een aanbieder, maar ze bestaan wel. Onwetendheid is geen excuus — net zoals bij de AVG.

Risicocategorieën uitgelegd

De kern van de EU AI Act is een risicogebaseerde aanpak. Niet alle AI is gelijk — een spamfilter heeft andere regels dan een AI die sollicitanten screent. De wet deelt AI-systemen in vier categorieën in:

Onaanvaardbaar risico (verboden)

Deze AI-toepassingen zijn simpelweg verboden in de EU:

• Social scoring door overheden (denk aan het Chinese systeem)
• Manipulatieve AI die kwetsbare groepen uitbuit — denk aan AI die gericht speelgoedadvertenties toont aan kinderen met technieken die hun beoordelingsvermogen omzeilen
• Real-time biometrische identificatie in openbare ruimten (met uitzonderingen voor opsporing)
• Emotieherkenning op de werkplek en in het onderwijs — een camera die de stemming van medewerkers analyseert om productiviteit te meten, is verboden
• Voorspellend politiewerk gebaseerd puur op profilering — AI die voorspelt wie een misdrijf zal plegen op basis van persoonlijke kenmerken

Voor de meeste MKB-bedrijven is dit niet relevant — maar het is goed om te weten dat deze grens er is. Het toont aan dat de EU het serieus meent met AI-regulering.

Hoog risico

Dit is de categorie die de meeste aandacht verdient. Hoog-risico AI-systemen zijn toegestaan, maar moeten voldoen aan strenge eisen. Voorbeelden:

• AI voor werving en selectie (CV-screening, sollicitantbeoordeling)
• AI voor kredietbeoordeling en verzekeringsbeslissingen
• AI in kritieke infrastructuur (energie, water, transport)
• AI voor onderwijs (toetsbeoordeling, toegangsbeslissingen)
• AI voor toegang tot essentiële diensten (sociale zekerheid, nooddiensten)

Als jouw bedrijf AI inzet voor beslissingen die directe impact hebben op mensen, val je waarschijnlijk in deze categorie.

Concreet MKB-voorbeeld 1: Een uitzendbureau dat AI gebruikt om cv's automatisch te ranken en kandidaten uit te sluiten, valt onder hoog risico. De AI neemt een beslissing die directe gevolgen heeft voor een persoon — namelijk of diegene uitgenodigd wordt voor een gesprek. Het uitzendbureau moet documenteren hoe de AI werkt, testen op bias, en zorgen dat een recruiter elke afwijzing kan overrulen.

Concreet MKB-voorbeeld 2: Een financieel adviesbureau dat AI-software gebruikt om automatisch te bepalen welke klanten in aanmerking komen voor een lening. Omdat dit direct invloed heeft op iemands financiële mogelijkheden, is dit hoog risico. Het bureau moet kunnen uitleggen waarom de AI een aanvraag afwijst, en een menselijke adviseur moet de mogelijkheid hebben om de beslissing te corrigeren.

Concreet MKB-voorbeeld 3: Een beveiligingsbedrijf dat AI-camera's inzet die automatisch personen identificeren op basis van gezichtsherkenning. Afhankelijk van de context (privéterrein versus openbare ruimte) kan dit hoog risico of zelfs verboden zijn.

Beperkt risico (transparantieverplichtingen)

Hier vallen de meeste AI-toepassingen voor het MKB:

• Chatbots — gebruikers moeten weten dat ze met AI praten
• AI-gegenereerde content — moet als zodanig worden gemarkeerd
• Deepfakes — moeten duidelijk worden gelabeld

Als je een AI chatbot op je website hebt, moet je bezoekers informeren dat ze met AI communiceren. Dat is het. Geen uitgebreide compliance-documentatie, geen audits — gewoon transparantie. Lees ons gedetailleerde artikel over de AI-transparantieplicht voor bedrijven voor de volledige uitleg van Art. 50 verplichtingen. Wil je weten wat een chatbot kost? Lees ons artikel over AI chatbot kosten in 2026.

Concreet MKB-voorbeeld: Een webshop met een AI-gestuurde chatbot die klanten helpt met productadvies. De enige verplichting: een duidelijke melding als "Je praat met onze AI-assistent, geen medewerker." Geen audits, geen documentatie — gewoon eerlijk zijn naar je klanten. Als de chatbot ook productaanbevelingen doet, is dat nog steeds beperkt risico zolang de aanbeveling geen significante impact heeft op de klant.

Minimaal risico (geen extra verplichtingen)

De overgrote meerderheid van AI-toepassingen valt hier:

• Spamfilters
• AI-gestuurde productaanbevelingen
• Voorraadoptimalisatie
• Interne procesautomatisering
• AI voor routeoptimalisatie
• AI voor e-mailonderwerpregels en A/B-testing

Geen extra verplichtingen — alleen de bestaande wetgeving (AVG, consumentenrecht) blijft van kracht. De meeste vormen van bedrijfsprocessen automatiseren vallen in deze categorie.

Concreet MKB-voorbeeld: Een logistiek bedrijf dat AI gebruikt om routes te optimaliseren en voorraadniveaus te voorspellen. Dit heeft geen impact op individuele personen, dus er gelden geen extra verplichtingen. Hetzelfde geldt voor een marketingbureau dat AI inzet voor e-mailonderwerpregels of A/B-test analyse, of voor een webshop die AI gebruikt om producten aan te bevelen op basis van browsegedrag.

Wat betekent dit voor jouw bedrijf?

Laten we het concreet maken. Als MKB-bedrijf gebruik je waarschijnlijk AI op één of meer van deze manieren:

AI chatbots op je website

Risicocategorie: Beperkt risico. Wat je moet doen: Vermeld duidelijk dat de bezoeker met een AI-systeem communiceert. Een melding als "Je chat met onze AI-assistent" is voldoende. Zorg ook dat je chatbot geen misleidende informatie geeft over producten of diensten — dat was al verplicht onder consumentenrecht, maar de AI Act benadrukt dit.

Waar het misgaat: Sommige bedrijven laten hun chatbot zich voordoen als een menselijke medewerker, compleet met een naam en foto. Dat is een directe overtreding. De oplossing is simpel: wees eerlijk. Klanten waarderen transparantie — onderzoek laat zien dat gebruikers die weten dat ze met AI praten, niet minder tevreden zijn.

Geautomatiseerde sales en lead scoring

Risicocategorie: Meestal minimaal risico. Wat je moet doen: Zolang de AI geen autonome beslissingen neemt die directe juridische gevolgen hebben voor personen (zoals automatisch een offerte weigeren), is er geen extra verplichting. Gebruik je AI om leads te scoren en te prioriteren? Minimaal risico. Gebruik je AI om automatisch contracten af te wijzen? Dan schuif je richting hoog risico. Meer over sales automatisering en hoe je het veilig opzet.

AI agents voor bedrijfsprocessen

Risicocategorie: Afhankelijk van de toepassing. Wat je moet doen: Een AI agent die e-mails beantwoordt of facturen verwerkt, valt meestal onder beperkt of minimaal risico. Een AI agent die HR-beslissingen neemt of klanten automatisch blokkeert, kan als hoog risico worden aangemerkt. De sleutel is: heeft de AI autonomie over beslissingen die mensen direct raken?

AI-tools die medewerkers zelf gebruiken

Risicocategorie: Afhankelijk van het gebruik. Wat je moet doen: Als medewerkers ChatGPT of Copilot gebruiken om e-mails te schrijven, rapporten op te stellen, of klanten te adviseren, is dat een AI-toepassing van jouw bedrijf. Je bent als werkgever verantwoordelijk voor hoe AI wordt ingezet in je organisatie. Stel een AI-beleid op dat duidelijk maakt welke tools zijn toegestaan, hoe ze mogen worden gebruikt, en welke output altijd menselijk gecontroleerd moet worden.

Verplichtingen per risicocategorie

Wat moet je concreet regelen? Hier een overzicht per categorie:

Voor beperkt risico (chatbots, AI-content)

Dat is het. Twee verplichtingen. Voor de meeste MKB-bedrijven met een AI chatbot is dit alles wat nodig is.

Voor hoog risico (HR-AI, kredietbeoordeling)

Dit klinkt als veel, maar het komt neer op: documenteer wat je bouwt, test of het werkt, en zorg dat een mens kan ingrijpen. Als je nu al netjes bouwt — met testfases, documentatie, en een mens-in-de-loop — ben je halverwege.

Wat als je een extern AI-systeem gebruikt?

Veel MKB-bedrijven bouwen geen eigen AI, maar kopen het in. In dat geval is de aanbieder (de softwareleverancier) primair verantwoordelijk voor de technische compliance — documentatie, testing, risicomanagement. Maar als deployer heb je nog steeds verplichtingen:

• Je moet het systeem gebruiken volgens de instructies van de aanbieder
• Je moet menselijk toezicht regelen als het systeem dat vereist
• Je moet incidenten melden aan de aanbieder en eventueel aan de toezichthouder
• Je moet gebruikers informeren dat ze met AI te maken hebben

De vergelijking met de AVG gaat hier op: ook bij persoonsgegevens ben je als verwerkingsverantwoordelijke verantwoordelijk, zelfs als je de verwerking uitbesteedt aan een verwerker. Zorg dat je verwerkersovereenkomsten ook AI-specifieke clausules bevatten.

Veelgemaakte fouten bij AI-compliance

Bij het werken met MKB-bedrijven aan AI-compliance zien we steeds dezelfde fouten terugkomen. Voorkom ze:

1. "Wij gebruiken geen AI" — terwijl medewerkers dat wél doen

De meest voorkomende blinde vlek. Medewerkers gebruiken ChatGPT, Copilot of andere AI-tools voor e-mails, rapporten of klantcommunicatie. Dat valt ook onder de AI Act. Als een medewerker ChatGPT gebruikt om een offerte op te stellen en die zonder controle verstuurt, is dat een AI-toepassing van je bedrijf.

Uit onderzoek blijkt dat 68% van de medewerkers in Nederland AI-tools gebruikt voor werk, maar slechts 24% van de werkgevers hiervan op de hoogte is. Die kloof is een compliance-risico dat je nu moet dichten.

Oplossing: Inventariseer niet alleen de AI-tools die je bedrijf officieel heeft aangeschaft, maar ook wat medewerkers zelf gebruiken. Maak een AI-beleid dat duidelijk maakt welke tools zijn toegestaan en hoe ze gebruikt mogen worden. Stuur een korte enquête uit: "Welke AI-tools gebruik je voor je werk?" De antwoorden zullen je verrassen.

2. Transparantie vergeten bij je chatbot

Veel bedrijven installeren een AI chatbot en vergeten de verplichte melding. De bezoeker praat met AI maar denkt met een medewerker te chatten. Dit is een directe overtreding van de transparantieverplichting.

Oplossing: Voeg een duidelijke melding toe bij het eerste bericht: "Je praat met onze AI-assistent." Dit kost vijf minuten en voorkomt problemen. Voeg ook een disclaimer toe dat de bot fouten kan maken, en bied altijd de mogelijkheid om een menselijke medewerker te bereiken.

3. Aannemen dat "minimaal risico" betekent dat je niets hoeft te doen

De AI Act legt geen extra verplichtingen op voor minimaal-risico AI, maar de AVG geldt nog steeds. Als je AI persoonsgegevens verwerkt — ook voor minimaal-risico toepassingen — moet je voldoen aan de AVG. Denk aan: verwerkersovereenkomsten, privacyverklaringen, en een register van verwerkingsactiviteiten.

Oplossing: Bekijk je AI-toepassingen niet alleen door de lens van de AI Act, maar ook door de AVG-lens. Heb je hulp nodig bij het in kaart brengen? Onze AI readiness-check is een goede start.

4. Compliance als eenmalige checkbox behandelen

De AI Act vereist doorlopende compliance. Je risicomanagementsysteem moet up-to-date blijven, je documentatie moet meegroeien, en je moet nieuwe AI-toepassingen toetsen voordat je ze uitrolt. Een eenmalige audit is niet genoeg.

Oplossing: Plan een jaarlijkse AI-compliance review, net als je AVG-review. Combineer ze als je beide hebt — er is veel overlap.

5. De risicocategorie verkeerd inschatten

Veel bedrijven onderschatten het risiconiveau van hun AI-toepassing. Een tool die "alleen maar" cv's filtert, klinkt onschuldig, maar valt onder hoog risico omdat het directe gevolgen heeft voor de kansen van sollicitanten. Lees ons uitgebreide artikel over AI in recruitment: regels en risico's voor een complete analyse van deze hoog-risico toepassing. Een AI die "alleen maar" klantsegmentatie doet, kan hoog risico zijn als die segmentatie bepaalt wie wel en niet toegang krijgt tot bepaalde diensten.

Oplossing: Stel bij elke AI-toepassing de vraag: "Heeft deze AI invloed op beslissingen die mensen direct raken?" Als het antwoord ja is, of als je twijfelt, behandel het dan als hoog risico totdat je het tegendeel hebt vastgesteld.

Praktische stappen voor MKB-compliance

Compliance klinkt als een groot en intimiderend project, maar voor het MKB is het behapbaar als je het stap voor stap aanpakt. Hier is een concreet actieplan:

Week 1–2: AI-inventarisatie

Maak een complete lijst van alle AI-toepassingen in je bedrijf. Denk breder dan je verwacht:

• Officiële tools: Chatbots, CRM met AI-functies (HubSpot, Salesforce), marketing automation, AI-gestuurde analytics
• Ingekochte software met AI-componenten: Boekhoudsoftware met automatische categorisering, HR-tools met matchingalgoritmes, e-commerce platforms met personalisatie
• Medewerker-gestuurde tools: ChatGPT, Copilot, Gemini, Claude, Midjourney, DALL-E
• Geautomatiseerde processen: Workflows die AI-API's aanroepen, geautomatiseerde besluitvorming

Per toepassing noteer je: wat doet het, wie gebruikt het, welke data verwerkt het, en welke beslissingen neemt het (of ondersteunt het)?

Week 3: Risicoanalyse

Loop je lijst langs en bepaal per toepassing:

1. Verwerkt het persoonsgegevens? Zo ja, AVG-verplichtingen gelden.
2. Neemt het autonome beslissingen die mensen raken? Zo ja, mogelijk hoog risico.
3. Communiceert het direct met klanten? Zo ja, transparantieverplichtingen.
4. Is er menselijk toezicht? Zo nee, dat moet je mogelijk toevoegen.

Maak een eenvoudige tabel met drie kolommen: toepassing, risicocategorie, benodigde actie.

Week 4: Quick wins implementeren

De meeste MKB-bedrijven kunnen 80% van hun compliance in een week regelen:

• Voeg transparantiemededelingen toe aan alle chatbots en AI-interacties
• Stel een AI-beleid op voor medewerkers (1–2 pagina's volstaat)
• Voeg AI-clausules toe aan je verwerkersovereenkomsten
• Documenteer je AI-toepassingen in een register (vergelijkbaar met je AVG-register)

Maand 2–3: Hoog-risico systemen aanpakken

Als je hoog-risico AI gebruikt, begin dan met:

• Documenteer het doel, de werking, en de beperkingen van het systeem
• Test op bias en discriminatie (vooral bij HR- en financiële toepassingen)
• Zorg dat een mens elke AI-beslissing kan overrulen
• Stel een logboek in dat AI-beslissingen registreert
• Maak een plan voor doorlopende monitoring

Doorlopend: jaarlijkse review

Plan een jaarlijkse AI-compliance review, gecombineerd met je AVG-review. Controleer:

• Zijn er nieuwe AI-toepassingen bijgekomen?
• Zijn bestaande risicocategorieën nog correct?
• Is de documentatie up-to-date?
• Werkt het menselijk toezicht naar behoren?
• Zijn er incidenten geweest die actie vereisen?

Hoe bereid je je voor?

Vijf concrete stappen die je deze maand nog kunt nemen:

1. Inventariseer je AI-gebruik

Maak een lijst van alle AI-toepassingen in je bedrijf. Denk aan:

• Chatbots op je website
• AI-functies in je CRM of marketing-tools (zoals HubSpot, Mailchimp)
• Geautomatiseerde processen die AI gebruiken
• AI-tools die medewerkers individueel gebruiken (ChatGPT, Copilot)

Die laatste wordt vaak vergeten. Als medewerkers zelfstandig AI-tools gebruiken voor klantcommunicatie of besluitvorming, valt dat ook onder de AI Act.

2. Classificeer per risicocategorie

Loop je lijst langs en bepaal per toepassing de risicocategorie. De meeste zullen minimaal of beperkt risico zijn. Noteer welke toepassingen mogelijk hoog risico zijn — dat zijn je prioriteiten.

3. Implementeer transparantiemaatregelen

Voor elke chatbot of AI-interactie: voeg een duidelijke melding toe. Dit kost een middag en bespaart je een hoop gedoe later.

4. Documenteer hoog-risico systemen

Als je hoog-risico AI gebruikt: begin met documenteren. Beschrijf het doel, de werking, de trainingsdata, en de maatregelen voor menselijk toezicht. Dit hoeft geen juridisch document van 100 pagina's te zijn — een helder technisch document volstaat.

5. Plan een compliance-review

Zet een jaarlijkse review in je agenda. De AI Act is geen eenmalige checkbox — het is doorlopende compliance. Combineer dit met je bestaande AVG-review als je die hebt.

Wil je weten of jouw bedrijf klaar is voor AI? Die readiness-check helpt je ook bij het identificeren van compliance-risico's. Of gebruik onze AI compliance checklist voor het MKB om stap voor stap te controleren of je aan alle eisen voldoet.

En voor een praktische aanpak van AI-implementatie die direct rekening houdt met compliance, lees ons artikel over AI implementeren in je bedrijf. Overweeg je ook automatisering? Dan is het goed om te weten welke kosten bij bedrijfsautomatisering komen kijken en wat de compliance-implicaties zijn.

Conclusie

De EU AI Act is geen reden tot paniek — het is een reden tot actie. Voor de meeste MKB-bedrijven komt het neer op drie dingen:

1. Weet welke AI je gebruikt (inclusief de tools die medewerkers zelf inzetten)
2. Wees transparant naar gebruikers (vooral bij chatbots en AI-gegenereerde content)
3. Documenteer en test als je AI inzet voor beslissingen die mensen raken

Bedrijven die nu beginnen met compliance, hebben straks een concurrentievoordeel. Ze bouwen vertrouwen bij klanten, vermijden boetes, en zijn beter voorbereid op toekomstige regelgeving. In aanbestedingen en B2B-partnerships wordt AI-compliance steeds vaker een selectiecriterium — bedrijven die het nu regelen, hebben daar straks profijt van.

De sleutel is: bouw compliance in vanaf het begin, niet achteraf. Dat bespaart tijd, geld, en stress. Net als bij de AVG: de bedrijven die het vroeg serieus namen, hadden het minst werk toen de handhaving begon.

Meer over hoe de juridische sector zelf AI inzet lees je in AI voor advocaten en juristen.

Klaar om je AI-gebruik compliant te maken? Volg onze stapsgewijze AI compliance checklist. En met de volledige handhaving voor hoog-risico systemen in augustus 2026: lees onze AI Act deadline 2026 checklist voor concrete stappen per maand.