De AI Act komt eraan — wat jij als ondernemer moet regelen voor augustus 2026
Op 2 augustus 2026 gaat het volgende pakket AI-regels in. Gebruik je Copilot of ChatGPT voor je werk? Dan ben je officieel een AI-deployer. Dit is wat je in een middag kunt regelen — zonder jurist, zonder paniek.
Je gebruikt Microsoft Copilot om je e-mails samen te vatten. Of ChatGPT om offertes voor te bereiden. Misschien heeft je boekhouder een AI-tool voor factuurverwerking geïnstalleerd. Handig toch?
Wat je waarschijnlijk niet weet: sinds 2 februari 2025 ben je officieel een "AI-gebruiker" volgens de Europese AI-verordening. En op 2 augustus 2026 — over iets meer dan vier maanden — gaat het volgende pakket regels in. Dan moet je als ondernemer een aantal zaken op orde hebben. Niet omdat je een techbedrijf runt, maar simpelweg omdat je AI gebruikt.
Dit is geen paniekzaaierij. De meeste MKB'ers vallen onder de lichtste categorie en hoeven geen bergen papierwerk te produceren. Maar je moet wél een paar dingen geregeld hebben. En het goede nieuws: als je er nu mee begint, ben je in een middag klaar.
Wie valt er eigenlijk onder de AI Act?
De AI Act maakt onderscheid tussen drie rollen:
| Rol | Wie is dat? | Voorbeeld |
|---|---|---|
| Aanbieder (provider) | Wie de AI maakt of traint | OpenAI, Microsoft, Google |
| Gebruiker (deployer) | Wie de AI inzet in zijn bedrijfsproces | Jij, als je Copilot gebruikt |
| Eindgebruiker | Wie het resultaat ontvangt | Je klant die een AI-gegenereerde offerte krijgt |
Als ondernemer ben je bijna altijd een gebruiker/deployer. Dat geldt zodra je een AI-tool inzet voor je werk — ook als dat "alleen maar ChatGPT" is.
Belangrijk: Je valt hier niet onder als je AI puur privé gebruikt (thuis een recept opzoeken met ChatGPT). Maar zodra het zakelijk wordt — e-mails samenvatten, offertes schrijven, klantdata analyseren — ben je deployer.
De vier risicoclassificaties
De AI Act deelt AI-systemen in vier categorieën:
1. Onaanvaardbaar risico — verboden Denk aan social scoring, manipulatie, realtime biometrische identificatie in openbare ruimtes. Dit gaat je als MKB'er niet aan.
2. Hoog risico — strenge eisen AI voor personeelsselectie, kredietbeoordeling, medische diagnose, of onderwijs. Als je AI gebruikt om sollicitanten te screenen of automatisch te ranken, val je hier mogelijk onder. Dan gelden zwaardere verplichtingen.
3. Beperkt risico — transparantieplicht Chatbots, deepfakes, AI-gegenereerde content. Als je een chatbot op je website hebt, moet je bezoekers laten weten dat ze met AI praten. Dat is de belangrijkste eis.
4. Minimaal risico — nauwelijks verplichtingen De meeste zakelijke AI-tools: tekst genereren, samenvatten, vertalen, data analyseren. Hier valt het gros van het MKB-gebruik onder.
De kans is groot dat jij in categorie 3 of 4 zit. Maar ook dan heb je verplichtingen.
Wat je als MKB-ondernemer concreet moet regelen
Hier wordt het praktisch. Ongeacht je risicoclassificatie heb je als deployer een aantal basisverplichtingen. Ik zet ze op een rij in mensentaal.
1. AI-geletterdheid: zorg dat je team het snapt
Dit is de verrassendste verplichting en geldt voor alle deployers, ongeacht risicoclassificatie. Artikel 4 van de AI Act eist dat je medewerkers "voldoende AI-geletterd" zijn. Dat klinkt zwaar, maar het betekent in de praktijk:
- Je medewerkers weten welke AI-tools ze gebruiken
- Ze begrijpen in grote lijnen wat die tools wel en niet kunnen
- Ze weten dat AI-output niet blindelings overgenomen moet worden
- Ze snappen de basisrisico's (privacy, onjuiste informatie, bias)
Wat je moet doen:
- Maak een overzicht van welke AI-tools in je bedrijf worden gebruikt (ook als medewerkers ze op eigen initiatief gebruiken!)
- Organiseer een korte briefing of workshop — dit hoeft geen formele training te zijn
- Leg vast dát je dit hebt gedaan, en wanneer
- Herhaal dit bij het introduceren van nieuwe tools
Pro-tip: Vraag deze week eens rond in je team: "Welke AI-tools gebruik je voor je werk?" Je zult verrast zijn hoeveel er al gebruikt wordt zonder dat jij het weet.
2. Transparantie: wees eerlijk over AI-gebruik
Als je AI-gegenereerde content naar buiten brengt — een chatbot op je website, AI-geschreven marketingteksten, automatische e-mailreacties — dan moeten ontvangers weten dat er AI aan te pas komt.
Wat je moet doen:
- Zet bij je chatbot een melding: "Je praat met een AI-assistent"
- Overweeg een kort zinnetje op je website als je AI-tools gebruikt voor klantcommunicatie
- Bij AI-gegenereerde afbeeldingen of video's: vermeld dit
Dit is geen grote operatie. Een zin bij je chatbot en een korte passage in je algemene voorwaarden volstaan voor de meeste MKB'ers.
3. Menselijk toezicht: blijf zelf nadenken
De AI Act benadrukt dat een mens altijd eindverantwoordelijk blijft. AI mag ondersteunen, niet autonoom beslissen over zaken die mensen raken.
Wat je moet doen:
- Laat geen AI-beslissingen over klanten of medewerkers volledig automatisch verlopen
- Zorg dat iemand de AI-output checkt voordat het naar buiten gaat
- Documenteer wie verantwoordelijk is voor welke AI-toepassing
In de praktijk doe je dit waarschijnlijk al. Maar schrijf het op — dat is het verschil tussen "we doen het wel" en "we hebben het geregeld."
4. Data en privacy: let op wat je invoert
Dit is deels overlap met de AVG, die je als ondernemer al kent. Maar met AI komen er specifieke aandachtspunten bij:
Wat je moet doen:
- Voer geen klantgegevens of persoonsgegevens in bij publieke AI-tools (ChatGPT, Gemini) zonder zakelijk account met dataverwerkerovereenkomst
- Gebruik bij voorkeur de zakelijke/enterprise versies van AI-tools — die garanderen dat je data niet wordt gebruikt voor training
- Controleer of je AI-tools voldoen aan de AVG (de meeste grote aanbieders hebben dit inmiddels geregeld)
- Pas je privacyverklaring aan als je AI inzet voor het verwerken van persoonsgegevens
Concrete tip: ChatGPT Team (vanaf €23/maand/gebruiker) en Microsoft Copilot voor bedrijven garanderen dat je data niet wordt gebruikt voor modeltraining. De gratis versies doen dat niet.
5. Registratie: maak een eenvoudig AI-register
Dit is het deel dat het meest overweldigend klinkt, maar het meest meevalt. Maak een simpel overzicht — een Excel-bestand of Word-document is voldoende — met:
| Kolom | Voorbeeld |
|---|---|
| AI-tool | ChatGPT Team |
| Aanbieder | OpenAI |
| Waarvoor gebruikt | Offertes voorbereiden, e-mails samenvatten |
| Welke data gaat erin | Klantgegevens (bedrijfsnaam, projectomschrijving), geen BSN of medische data |
| Risicoclassificatie | Minimaal |
| Wie is verantwoordelijk | Joey, directeur |
| Medewerkers geïnformeerd | Ja, teammeeting 15 maart 2026 |
Dat is het. Geen 80 pagina's compliance-documentatie. Een overzichtelijk bestand dat je bijwerkt wanneer je een nieuwe tool introduceert.
Veelgemaakte fouten
"De AI Act geldt niet voor mij, ik ben maar een klein bedrijf"
De AI Act kent geen vrijstelling op basis van bedrijfsgrootte. Of je nu 5 of 500 medewerkers hebt, de verplichtingen gelden. Wél is de verwachting dat toezichthouders proportioneel handhaven — ze zullen niet als eerste bij een installateur met 8 man aankloppen. Maar dat is geen excuus om niks te regelen.
"Ik gebruik alleen gratis tools, dan telt het niet"
Het maakt niet uit of je betaalt of niet. Als je AI zakelijk inzet, ben je deployer.
"Mijn IT-leverancier regelt dit wel"
Je IT-leverancier kan helpen met de technische kant, maar de verantwoordelijkheid voor AI-geletterdheid, transparantie en menselijk toezicht ligt bij jou als ondernemer. Dit is vergelijkbaar met de AVG: je kunt de uitvoering uitbesteden, maar de verantwoordelijkheid niet.
"Dit gaat toch niet gehandhaafd worden"
De boetes onder de AI Act lopen op tot 35 miljoen euro of 7% van de jaarlijkse mondiale omzet — maar die cijfers zijn voor de ergste overtredingen door grote bedrijven. Realistischer voor MKB: de Autoriteit Persoonsgegevens (die ook de AI Act gaat handhaven) zal beginnen met waarschuwingen en verbeteradviezen. Maar je wilt niet de eerste zijn die zo'n brief ontvangt.
Jouw actieplan voor deze week
Je hoeft hier geen maanden mee bezig te zijn. Met deze vier stappen ben je in een middag klaar:
Stap 1 (30 min): Inventariseer welke AI-tools er in je bedrijf worden gebruikt. Vraag het je team.
Stap 2 (30 min): Maak het AI-register (het Excel-overzicht hierboven). Eén rij per tool.
Stap 3 (30 min): Plan een teammeeting van 30 minuten over AI-gebruik. Bespreek: welke tools gebruiken we, wat mag wel/niet erin, wie checkt de output. Leg vast dat je dit hebt gedaan.
Stap 4 (30 min): Check je klantcommunicatie. Gebruik je een chatbot of AI-gegenereerde content? Voeg een transparantiemelding toe.
Totaal: 2 uur. En je bent klaar voor augustus.
Waar je meer informatie vindt
- Ondernemersplein.nl — Regels voor AI — de officiële overheidsuitleg, redelijk toegankelijk
- Autoriteit Persoonsgegevens — AI — de toezichthouder, hier vind je de laatste richtlijnen
- De volledige wettekst staat op EUR-Lex, maar die raad ik niemand aan om te lezen
Een nuchter perspectief
De AI Act is niet bedoeld om het MKB het leven zuur te maken. Het is een poging om AI-gebruik in Europa veilig en verantwoord te laten verlopen. Voor de meeste kleine bedrijven komen de verplichtingen neer op: weet wat je gebruikt, vertel het je team, wees eerlijk naar klanten, en schrijf het op.
Dat is eigenlijk niet meer dan gezond ondernemersverstand. Nu staat het alleen ook in de wet.
