ENNL
Gratis consult
Home / Inzichten / EU AI Act voor het mkb in Nederland: nuchtere gids
Compliance

EU AI Act voor het mkb in Nederland: nuchtere gids

Tom Joseph · AI Consultant 3 juni 2026 · 11 min lezen

De EU AI Act geldt voor vrijwel elk Nederlands mkb-bedrijf, maar voor de meeste is het veel minder werk dan de krantenkoppen suggereren. De wet reguleert AI op basis van risico, niet op basis van bedrijfsgrootte: een handvol toepassingen is verboden, een smalle groep is hoog risico, en de meeste mkb-tools - chatbots, tekstgeneratoren, eenvoudige automatiseringen - vallen in de categorie beperkt risico of minimaal risico. Bij AI met beperkt risico is uw belangrijkste plicht transparantie: laat mensen weten wanneer ze met een AI praten of output van een AI zien. De verstandige zet is om in kaart te brengen waar u AI gebruikt, elk gebruik op risico te classificeren en basistransparantie toe te voegen - niet om uw AI-plannen stil te leggen.

Wat de EU AI Act precies is

De EU AI Act is de eerste brede Europese wet die kunstmatige intelligentie rechtstreeks reguleert. De wet is op 1 augustus 2024 in werking getreden en geldt in alle EU-lidstaten, dus ook in Nederland. Er komt geen aparte Nederlandse versie waar u op moet wachten - dezelfde regels gelden voor een eenmanszaak in Nieuwegein als voor een multinational in Amsterdam. Wat verschilt, is niet de wet maar hoeveel ervan u raakt, en voor de meeste mkb-bedrijven blijkt dat een dunne schil te zijn.

De wet rust op een eenvoudig idee: reguleer AI op basis van hoeveel risico een bepaald gebruik voor mensen oplevert, niet op basis van hoe slim de technologie is of hoe groot het bedrijf is dat haar inzet. Hetzelfde model - bijvoorbeeld een groot taalmodel achter een chatbot - kan in het ene gebruik nauwelijks gereguleerd zijn en in het andere streng. Dat hangt af van wat het beslist en wie het raakt. Dat is het nuttigste dat u kunt begrijpen voordat u nog één woord over compliance leest.

Een eerlijke kanttekening vooraf: dit is algemene informatie van een team dat AI implementeert, geen juridisch advies. Crux Digits bouwt en classificeert AI-systemen; wij zijn geen advocatenkantoor, geen functionaris voor gegevensbescherming en geen aangemelde instantie. Voor een bindend juridisch oordeel over uw specifieke situatie raadpleegt u een gekwalificeerde jurist. Waar wij goed in zijn, is u helpen in kaart te brengen waar u staat en systemen bouwen die van nature compliant zijn - en daar zit doorgaans toch het echte werk.

De vier risicocategorieën, in gewone taal

De wet plaatst elk AI-gebruik in een van vier bakjes. Weten in welk bakje elk van uw tools valt, vertelt u bijna alles over uw verplichtingen.

  • Onaanvaardbaar risico (verboden). Een korte lijst van toepassingen die simpelweg verboden zijn in de EU - zaken als social scoring van burgers, manipulatieve systemen die kwetsbaarheden uitbuiten en de meeste vormen van realtime biometrische identificatie in openbare ruimtes. Het overgrote deel van het mkb komt hier nooit in de buurt.
  • Hoog risico. AI die wordt ingezet op gevoelige terreinen: werving en cv-selectie, kredietbeoordeling, toegang tot essentiële diensten, veiligheidsonderdelen in producten en dergelijke. Deze categorie draagt de zwaarste verplichtingen - risicobeheer, datagovernance, menselijk toezicht, documentatie en conformiteitsbeoordeling. Sommige mkb-bedrijven belanden hier, meestal via HR- en wervingstools.
  • Beperkt risico. AI die met mensen interacteert of content genereert, waarbij de hoofdeis transparantie is. Hier zit het leeuwendeel van de mkb-tools: chatbots in klantcontact, AI die e-mails of marketingteksten opstelt, en systemen die beelden, audio of video genereren of bewerken.
  • Minimaal risico. Al het overige - spamfilters, AI in uw boekhoudsoftware, aanbevelingsfuncties, voorraadprognoses. De wet legt hier in wezen geen specifieke verplichtingen op. Het meeste van de AI die u nu al gebruikt zonder erbij stil te staan, valt in deze categorie.

De praktische conclusie: de categorie wordt bepaald door het *gebruik*, niet door de *tool*. Dezelfde chatbot is beperkt risico wanneer hij productvragen beantwoordt, en schuift richting hoog risico als u hem inzet om sollicitanten te screenen. Classificeer elk gebruik apart.

Wat de meeste Nederlandse mkb-bedrijven daadwerkelijk hebben

Als u een doorsnee mkb-bedrijf runt - een adviesbureau, een webshop, een logistiek bedrijf, een kliniek, een maakbedrijf - en u heeft de afgelopen twee jaar AI omarmd, dan ziet uw portfolio er vrijwel zeker zo uit: een klant- of website-chatbot, een paar generatieve-AI-hulpjes voor tekst en beeld, en een handvol automatiseringen achter de schermen die classificeren, samenvatten of voorspellen. In risicotermen is dat grotendeels beperkt risico en minimaal risico. De schrikbarende hoog-risicoverplichtingen gelden voor specifieke, met name genoemde toepassingen, en u moet er actief een uitvoeren om eronder te vallen.

Voor systemen met beperkt risico is de plicht transparantie, en die is werkelijk bescheiden. Als iemand met een AI interacteert - een chatbot, een voicebot - moet diegene dat te horen krijgen, tenzij het uit de context al duidelijk is. Publiceert u door AI gegenereerde of bewerkte beelden, audio of video, dan moet die content doorgaans gemarkeerd worden als kunstmatig gegenereerd. Verstuurt u door AI geschreven communicatie die voor menselijk kan doorgaan, dan geldt dezelfde logica van eerlijke kenbaarheid. Niets hiervan vraagt om een complianceafdeling; het vraagt om een duidelijk label en een zin of twee aan kenbaarheid.

Systemen met minimaal risico dragen helemaal geen specifieke AI Act-verplichtingen. Toch is 'geen AI Act-verplichting' niet hetzelfde als 'geen verplichting'. Als uw AI persoonsgegevens verwerkt, geldt de AVG onverkort - en voor veel mkb-bedrijven is de AVG de zwaardere, meer directe beperking. Het is goed om helder te zien dat de AI Act bovenop bestaande wetgeving komt, niet in plaats daarvan. Wilt u een diepere, algemene uitleg van de compliancemechaniek, dan behandelt onze aanvullende gids over EU AI Act-compliance in Nederland het volledige plaatje voorbij de mkb-specifieke invalshoek hier.

De belangrijke data: gefaseerde invoering tot 2027

De wet gaat niet in één klap aan. Hij wordt over meerdere jaren gefaseerd ingevoerd, en dat is goed nieuws - het geeft u tijd om u te organiseren in plaats van te moeten haasten.

  • 2 februari 2025 - de verboden op AI met onaanvaardbaar risico zijn ingegaan, samen met nieuwe verplichtingen rond AI-geletterdheid voor medewerkers die op het werk met AI-systemen werken.
  • 2 augustus 2025 - de regels voor AI-modellen voor algemene doeleinden (de grote basismodellen van aanbieders als OpenAI, Google en anderen) zijn van toepassing geworden. Voor de meeste mkb-bedrijven landt dit bij uw leveranciers, niet rechtstreeks bij u.
  • 2 augustus 2026 - de transparantieverplichtingen onder artikel 50 gaan gelden. Dit is de datum die het meest relevant is voor het gemiddelde mkb-bedrijf: het is het moment waarop de plicht om chatbots, AI-interacties en door AI gegenereerde content kenbaar te maken afdwingbaar wordt.
  • 2 augustus 2027 - het gros van de hoog-risicoverplichtingen, inclusief die voor AI die is ingebed in gereguleerde producten, bereikt de volledige deadline.

Onthoud u één datum, maak er dan 2 augustus 2026 van. Voor de categorie beperkt risico met transparantie, waar de meeste mkb-bedrijven zitten, is dat uw praktische horizon. Ver genoeg weg om niet in paniek te raken, en dichtbij genoeg dat het de verstandige zet is om dit de komende maanden rustig op orde te brengen.

Uw praktische eerste stappen als mkb-bedrijf

U heeft geen consultant nodig om te beginnen - u heeft een middag en een spreadsheet nodig. Dit is de volgorde die wij met mkb-klanten doorlopen.

1. Breng uw AI-toepassingen in kaart. Maak een lijst van elke plek waar AI uw bedrijf raakt: de voor de hand liggende tools (chatbots, ChatGPT-achtige assistenten, beeldgeneratoren) en de ingebedde (AI-functies in uw CRM, marketingplatform, boekhoudpakket, supportdesk). U kunt niet classificeren wat u niet heeft geïnventariseerd, en de meeste teams schrikken van hoe lang de lijst wordt zodra ze er goed naar kijken.

2. Classificeer elk gebruik op risico. Loop de lijst af en geef elk item een label: minimaal, beperkt, hoog of verboden. Wees eerlijk over de hoog-risicotriggers - werving, krediet, toegang tot diensten, biometrie. Voor de meeste mkb-bedrijven is het resultaat een lange staart van minimaal risico, een korte lijst van beperkt risico en nul of één hoog-risico-item dat een nadere blik verdient.

3. Voeg basistransparantie toe waar die nodig is. Voor uw items met beperkt risico voert u de kenbaarheid in: een duidelijke melding dat de chatbot een AI is, een label op door AI gegenereerd beeld, eerlijke kadering bij door AI ondersteunde communicatie. Dit is doorgaans een paar uur tekst- en configuratiewerk, geen project.

4. Doe due diligence bij leveranciers. De meeste mkb-bedrijven bouwen hun AI niet zelf - ze kopen die in. Een groot deel van uw compliance rust dus op uw leveranciers. Vraag leveranciers hoe hun tool is geclassificeerd, of ze de transparantie en documentatie ondersteunen die u nodig heeft, en hoe ze omgaan met de regels voor AI-modellen voor algemene doeleinden. Bewaar de antwoorden in uw dossier. Kan een leverancier niet antwoorden, dan is dat op zichzelf al een nuttig signaal.

Leg de inventarisatie en uw classificatiebeslissingen vast, al is het globaal. Mocht een toezichthouder of een klant er ooit naar vragen, dan is 'we hebben hiernaar gekeken, en zo hebben we geredeneerd' een veel sterkere positie dan een verbaasde blik - en het bijhouden van de aantekening kost u onderweg vrijwel niets.

Hoe u niet in paniek raakt - en het ook niet negeert

Er zijn twee manieren om de mist in te gaan met de AI Act, en ze trekken in tegengestelde richtingen. De eerste is paniek: AI-projecten bevriezen, ervan uitgaan dat u een volledige compliancevernieuwing nodig heeft, of geloven dat elke tool een hoog-risicoaansprakelijkheid is. Voor het doorsnee mkb-bedrijf landt de wet daar simpelweg niet, en uw AI-routekaart uit angst bevriezen geeft een voorsprong aan concurrenten die tien minuten namen om de risicocategorieën daadwerkelijk te lezen.

De tweede manier om de mist in te gaan is negeren: aannemen dat de regels u niet bereiken omdat u klein bent. Dat doen ze wel - de wet geldt ongeacht bedrijfsgrootte, en transparantieverplichtingen bij beperkt risico zijn juist makkelijk over het hoofd te zien omdat ze makkelijk na te leven zijn. De kosten van de kenbaarheid zijn verwaarloosbaar; de kosten van het bedrijf dat zelfverzekerd een AI-bot voor een mens liet doorgaan, zijn evenzeer reputatie- als juridisch.

De kalme middenweg is de juiste. Behandel de AI Act zoals u elke andere compliancekwestie behandelt: doe de inventarisatie één keer, classificeer, voeg het handvol kenbaarheidsmeldingen toe dat u verschuldigd bent, houd een licht papieren spoor bij, en kom erop terug wanneer u iets werkelijk nieuws aanschaft - zeker iets dat werving of ander hoog-risicoterrein raakt. Dat is een paar uur werk verspreid over het komende jaar, geen existentiële bedreiging. Bouw het in in de manier waarop u AI aanschaft in plaats van het achteraf erop te schroeven, en het regelt zichzelf grotendeels.

Waar compliance en goed bouwen samenvallen

Het geruststellende is dat het meeste van wat de AI Act vraagt ook gewoon goede praktijk is. Weten wat uw systemen doen, eerlijk zijn tegen gebruikers, een register van beslissingen bijhouden, leveranciers kiezen die achter hun tools kunnen staan - dat zijn de gewoonten van een goed geleide AI-operatie, los van de wet. Compliance en kwalitatief bouwen wijzen veel vaker dezelfde kant op dan dat ze botsen.

Juist daar betaalt het zich uit om dingen meteen goed te bouwen. Wanneer u een generatieve AI-functie of een automatisering vanaf het begin met transparantie en traceerbaarheid in gedachten ontwerpt, is de compliancemelding een bijproduct van schoon ontwerp in plaats van een aanpassing achteraf. Het is veel goedkoper om een duidelijke melding 'u praat met een AI-assistent' toe te voegen terwijl u de chatbot bouwt dan om die later over een live systeem heen te lappen, en hetzelfde geldt voor het loggen van wat een model heeft besloten en waarom.

Dit is ook waarom een gestructureerde AI-routekaart ertoe doet. Bent u nog bezig in kaart te brengen waar AI in uw bedrijf past, dan is een traject voor AI-audit en strategie de natuurlijke plek om risicoclassificatie in de planning op te nemen - u beslist wat u bouwt en u classificeert het in hetzelfde gesprek, in plaats van compliance als een aparte, latere kopzorg te behandelen.

Waar Crux Digits helpt

Crux Digits is een boutique AI-consultancy in Nieuwegein, in de provincie Utrecht, dat werkt met mkb-bedrijven in heel Nederland en Europa. Wij zijn bouwers - wij bouwen AI-systemen en classificeren ze als onderdeel van het bouwen. Wij zijn geen advocatenkantoor en geen aangemelde instantie, dus wij overhandigen u geen juridisch oordeel, maar wij helpen u het praktische werk goed te doen: uw AI-toepassingen inventariseren, elk gebruik op risicocategorie classificeren, de transparantie vanaf het begin meeontwerpen en systemen neerzetten die compliant zijn omdat ze goed gebouwd zijn.

Wij werken in projecten met vaste scope en transparante prijzen, zodat u weet waar u zich aan verbindt voordat u begint. Een traject voor AI-audit en strategie tegen een vaste EUR 2.500 is voor een mkb-bedrijf vaak het juiste startpunt: het levert u in één keer de inventarisatie, de risicoclassificatie en een heldere routekaart. Van daaruit kan een Proof of Concept of een Production Launch de daadwerkelijke systemen bouwen met compliance ingebakken in plaats van eraan vastgeschroefd. Hoe de trajecten zijn opgebouwd, ziet u op onze pagina met diensten.

Weegt u af waar AI in uw bedrijf past en wilt u de AI Act als onderdeel van het plan geregeld hebben in plaats van als een aparte zorg, dan is een vrijblijvend kennismakingsgesprek een verstandige eerste stap. Neem uw lijst met AI-tools mee - of uw vragen over het bouwen ervan - en wij helpen u helder te zien waar u staat. U bereikt ons via de pagina contact wanneer u er klaar voor bent.

Veelgestelde vragen

Geldt de EU AI Act voor kleine bedrijven in Nederland?

Ja. De EU AI Act geldt in de hele EU ongeacht bedrijfsgrootte, dus Nederlandse mkb-bedrijven vallen er net zo goed onder als grote ondernemingen. Wat met de grootte verandert, is niet of de wet geldt maar hoeveel ervan u raakt - en voor de meeste kleine bedrijven zijn de relevante verplichtingen de lichte transparantieregels van de categorie beperkt risico, niet de zware hoog-risico-eisen.

In welke risicocategorie valt een klantchatbot onder de EU AI Act?

Een doorsnee chatbot voor klantenservice of een website is een AI-systeem met beperkt risico. De hoofdverplichting is transparantie: gebruikers moeten te horen krijgen dat ze met een AI interacteren in plaats van met een mens, tenzij dat al duidelijk is uit de context. De categorie kan wel met het gebruik veranderen - zou u dezelfde bot inzetten om sollicitanten te screenen, dan kan dat gebruik hoog risico worden.

Wanneer gaan de transparantieregels van de EU AI Act in voor het mkb?

De transparantieverplichtingen onder artikel 50 gelden vanaf 2 augustus 2026. Dit is de meest relevante datum voor het gemiddelde mkb-bedrijf, omdat het gaat over het kenbaar maken van chatbots, AI-interacties en door AI gegenereerde content. De verboden op verboden AI gingen in op 2 februari 2025, en de meeste hoog-risicoverplichtingen bereiken hun volledige deadline op 2 augustus 2027.

Wat is de eerste stap om mijn mkb-bedrijf voor te bereiden op de EU AI Act?

Begin met een inventarisatie: maak een lijst van elke plek waar AI uw bedrijf raakt, inclusief de AI-functies die zijn ingebed in tools die u al gebruikt. Classificeer vervolgens elk gebruik op risicocategorie - minimaal, beperkt, hoog of verboden. U kunt pas bepalen welke compliance u verschuldigd bent als u weet welke AI u daadwerkelijk draait, en de meeste teams merken dat de lijst langer is dan ze verwachtten.

Heb ik een jurist nodig om aan de EU AI Act te voldoen?

Voor de meeste mkb-bedrijven vraagt het praktische werk - inventarisatie, risicoclassificatie en basistransparantiemeldingen - geen jurist en kan het intern of met een AI-implementatiepartner worden afgehandeld. Een jurist is de moeite waard voor een bindend juridisch oordeel, voor werkelijk hoog-risicotoepassingen zoals wervings- of kredietbeslissingen, of wanneer u zekerheid nodig heeft over een grensgeval. Dit artikel is algemene informatie, geen juridisch advies.

Hoe verhoudt de EU AI Act zich tot de AVG voor Nederlandse mkb-bedrijven?

De twee liggen op elkaar in plaats van dat ze elkaar vervangen. De AI Act regelt hoe AI-systemen worden gebouwd en gebruikt naar risiconiveau, terwijl de AVG regelt hoe u met persoonsgegevens omgaat. Verwerkt uw AI persoonsgegevens - wat vaak het geval is - dan gelden beide, en voor veel mkb-bedrijven is de AVG eigenlijk de zwaardere dagelijkse beperking van de twee.

Iets hiervan toepassen in uw bedrijf?

Wij maken van deze concepten werkende tools — gegrond, veilig en meetbaar. Begin met een gratis consult.

Gratis consult boeken →