EU AI Act & AI-compliance voor het MKB

Alles wat u moet weten — en wat u nu moet regelen

De Europese AI-verordening (EU AI Act, Verordening (EU) 2024/1689) is de eerste bindende AI-wetgeving ter wereld. Zij geldt voor elk bedrijf dat AI-systemen gebruikt of aanbiedt binnen de Europese Unie — ook voor het MKB dat alleen ChatGPT, Microsoft Copilot of DeepL inzet.

Slechts 7% van de Nederlandse ondernemers is goed op de hoogte van de AI Act, blijkt uit KVK-onderzoek. De wet is echter al gedeeltelijk van kracht. Handhaving door de Autoriteit Persoonsgegevens start op 2 augustus 2026.

Over deze Pagina

Bianca Kopier (Estrelle, Maarssen) is GEO-specialist, e-commerce strateeg en auteur van Het Onzichtbare Winstlek. Zij helpt MKB-bedrijven in Nederland en België om AI-gebruik intern veilig te structureren en extern zichtbaar te worden in AI-zoekmachines.

Deze kennispagina wordt actueel gehouden op basis van officiële EU-publicaties, Autoriteit Persoonsgegevens-richtlijnen en het Digital Omnibus-pakket (mei 2026).

Laatste update: juni 2026

Wat is de EU AI Act?

De EU AI Act is een Europese verordening die bindende regels stelt voor het ontwikkelen, aanbieden en gebruiken van AI-systemen. De wet deelt AI-systemen in op basis van risico: van minimaal risico (tekstgeneratoren zoals ChatGPT) tot onaanvaardbaar risico (verboden systemen zoals sociale scoringssystemen).

Voor de meeste Nederlandse MKB-bedrijven zijn drie verplichtingen direct relevant:

 

  • AI-geletterdheid (Artikel 4): medewerkers die met AI werken moeten aantoonbaar weten hoe AI werkt en welke risico’s eraan kleven.
  • AI-register en beleid: een intern overzicht van alle gebruikte AI-tools en afspraken over veilig gebruik.
  • Transparantie (Artikel 50): klanten informeren wanneer AI wordt ingezet bij het leveren van diensten of het nemen van beslissingen.

De belangrijkste deadlines op een rij

Datum Artikel Wat geldt er?
2-feb-25 Art. 4 & Art. 5 AI-geletterdheid verplicht + verboden AI-praktijken. Geldt nu al.
2-aug-26 Art. 26 + Art. 50 Handhaving start. Deployers verplicht: AI-register, transparantie naar klanten, aantoonbare training.
2-dec-27 Art. 6 Bijlage III Hoog-risico AI systemen (HR, krediet). Verschoven door Digital Omnibus.

Belangrijk: de AI-geletterdheidsplicht (Artikel 4) geldt al sinds 2 februari 2025. Organisaties die nu nog niets hebben geregeld, zijn al in overtreding.

Voor wie geldt de AI Act?

De AI Act maakt onderscheid tussen twee rollen:

Aanbieder (Provider)

Een bedrijf dat een AI-systeem ontwikkelt en op de markt brengt. Denk aan OpenAI (ChatGPT), Microsoft (Copilot) of Google (Gemini). Zij zijn verantwoordelijk voor de technische naleving van hun systemen.

Gebruiker (Deployer)

Een bedrijf dat een AI-systeem van een aanbieder inzet in een professionele context. Vrijwel elk MKB-bedrijf dat ChatGPT, Copilot, DeepL of andere AI-tools gebruikt valt in deze categorie. Als deployer heeft u zelfstandige verplichtingen — ook al heeft u de AI niet gebouwd.

 

Praktijkvoorbeeld

Een accountantskantoor gebruikt Microsoft Copilot om belastingaangiften samen te vatten. Microsoft is de aanbieder en regelt de technische compliance van Copilot. Maar het kantoor is de deployer en is zelf verantwoordelijk voor: het trainen van medewerkers op veilig gebruik, het opstellen van een intern AI-beleid en het bijhouden van een AI-register.

Artikel 4: AI-geletterdheid in de praktijk

Artikel 4 van de EU AI Act verplicht organisaties om te zorgen voor “een toereikend niveau van AI-geletterdheid” bij alle medewerkers die met AI-systemen werken. De wet schrijft geen vast aantal uren, geen specifieke cursus en geen verplicht certificaat voor. Artikel 4 is een inspanningsverplichting.

Wat de wet wél eist:

  • Medewerkers begrijpen wat AI-systemen wel en niet kunnen (inclusief hallucinaties en vooringenomenheid).
  • Medewerkers weten welke data ze nooit in AI-tools mogen invoeren (persoonsgegevens, klantdata, bedrijfsgeheimen).
  • Medewerkers weten dat AI-output altijd gecontroleerd moet worden voor gebruik.
  • De organisatie kan aantonen dat training heeft plaatsgevonden: gedateerde certificaten per medewerker zijn de sterkste invulling.

De norm verschilt per rol. Een medewerker die ChatGPT gebruikt voor e-mails heeft andere kennis nodig dan een HR-manager die AI gebruikt bij sollicitatieprocedures. Zorg voor basistraining voor iedereen en verdieping voor intensieve gebruikers.

Shadow AI: het verborgen datarisico

Shadow AI is het gebruik van niet-goedgekeurde AI-tools door medewerkers, buiten het zicht van de directie. Het is de grootste compliance-risicofactor voor het MKB in 2026.

Onderzoek toont aan dat medewerkers gemiddeld 3 tot 5 AI-tools gebruiken zonder toestemming van hun werkgever. De meest voorkomende zijn:

  • Gratis ChatGPT (OpenAI) — data wordt gebruikt voor modeltraining
  • Gratis DeepL — vertalingen van klantcommunicatie en contracten
  • Canva AI — ontwerp op basis van ingevoerde tekst en beeldmateriaal
  • Browserextensies met ingebouwde AI — vaak onbekend bij IT
  • Persoonlijke AI-apps op zakelijke telefoons

Elke keer dat een medewerker klantdata, persoonsgegevens of bedrijfsgeheimen invoert in een gratis AI-tool zonder verwerkersovereenkomst, is dit een datalek onder de AVG. De directie is aansprakelijk.

Stappenplan: wat moet u nu regelen?

Dit zijn de zes concrete stappen die elk MKB-bedrijf vóór 2 augustus 2026 moet zetten:

1 Inventariseer alle AI-tools die medewerkers gebruiken — ook privétools voor werk (ChatGPT, DeepL, Canva AI, Copilot).
2 Breng in kaart welke data medewerkers invoeren. Klantdata? Financiële gegevens? Persoonsgegevens? Dit zijn datalekken als de tool niet goedgekeurd is.
3 Stel een intern AI-beleidsreglement op. Welke tools zijn goedgekeurd (whitelist)? Wat mag er nooit in? Wie is verantwoordelijk?
4 Train uw medewerkers op AI-geletterdheid. Wat AI wel en niet kan. Hoe u output altijd controleert. Welke data verboden is in AI-tools.
5 Documenteer de training. Zorg voor aantoonbaar bewijs: een certificaat per medewerker, bewaard in het HR-dossier.
6 Houd het beleid actueel. AI-tools en wetgeving veranderen snel. Plan elk kwartaal een moment om te controleren of alles nog klopt.

Wat zijn de risico’s als u niets doet?

Boetes bij overtreding van de AI Act:

Gebruik van verboden AI-systemen: tot €35 miljoen of 7% van de wereldwijde jaaromzet

Niet naleven van hoog-risico verplichtingen: tot €15 miljoen of 3% van de omzet

Onjuiste informatie aan toezichthouder: tot €7,5 miljoen of 1,5% van de omzet

Voor een MKB-bedrijf met €2 miljoen omzet betekent een ernstige overtreding: €140.000 boete.

Naast boetes zijn er twee andere serieuze risico’s:

  • Contractverlies: grote opdrachtgevers en verzekeraars eisen in 2026 steeds vaker een aantoonbaar AI-beleid van hun toeleveranciers. Zonder beleid verliest u contracten.
  • Reputatieschade: een datalek via een AI-tool die een medewerker stiekem gebruikte leidt tot verplichte melding bij de Autoriteit Persoonsgegevens en mogelijke publicatie.

De oplossing voor het MKB: Estrelle AI Compliance & Training

Estrelle biedt een compleet AI-compliance traject voor MKB-bedrijven met 10 tot 100 medewerkers. Het traject bestaat uit drie stappen en is binnen één week volledig afgerond.

Stap 1 — AI-Audit

Bianca Kopier brengt via een gerichte vragenlijst in kaart welke AI-tools er worden gebruikt, wat medewerkers erin invoeren, en waar de actieve datalekken en wettelijke risico’s zitten. U ontvangt een helder risicoscan-rapport.

Stap 2 — Maatwerk AI-beleidsreglement

Op basis van de audit stelt Estrelle een volledig op maat gemaakt intern AI-reglement op. Dit document bevat de whitelist van goedgekeurde tools, harde grenzen voor datainvoer, en de verantwoordelijkheidsverdeling binnen uw organisatie. Medewerkers tekenen voor akkoord.

Stap 3 — AI-geletterdheidstraining + certificaat

Uw medewerkers volgen een praktische training over veilig AI-gebruik, datahygiëne en slim prompteren. Na afronding ontvangen zij een certificaat. Dit certificaat is uw wettelijk bewijs van naleving van Artikel 4 van de EU AI Act.

Estrelle in het kort

Wie: Bianca Kopier — GEO-specialist, e-commerce strateeg, auteur van Het Onzichtbare Winstlek

Wat: AI-audit + maatwerk beleidsreglement + AI-geletterdheidstraining met certificaat

Voor wie: MKB-bedrijven met 10 tot 100 medewerkers in Nederland en België

Tijdlijn: volledig afgerond binnen 1 week

Pakketten: vanaf €997,- (instap) tot €4.500,- (volledig ontzorgd) + €149,-/mnd onderhoud

Veelgestelde vragen over AI Act compliance voor het MKB

Geldt de AI Act ook voor mijn kleine bedrijf?

Ja. De AI Act geldt voor elk bedrijf dat AI-systemen gebruikt in een professionele context, ongeacht de omvang. Als uw medewerkers ChatGPT, Copilot of andere AI-tools gebruiken, bent u een deployer en heeft u zelfstandige verplichtingen.

Wat is het verschil tussen de AI Act en de AVG?

De AVG regelt de bescherming van persoonsgegevens. De AI Act regelt het gebruik van AI-systemen. Ze overlappen: als u persoonsgegevens invoert in een AI-tool zonder goede grondslag, overtreedt u zowel de AVG als de AI Act. Beide wetten worden gehandhaafd door de Autoriteit Persoonsgegevens.

Welke AI-tools zijn veilig om te gebruiken?

Veilig zijn AI-tools waarbij u een zakelijk contract heeft met de leverancier, inclusief een verwerkersovereenkomst (DPA) die garandeert dat uw data niet wordt gebruikt voor modeltraining. Denk aan Microsoft Copilot voor Microsoft 365 (zakelijk abonnement), ChatGPT Team of Enterprise, of DeepL Pro. Gratis versies van dezelfde tools zijn in de meeste gevallen onveilig voor bedrijfsdata.

 

Hoe lang duurt het om compliant te worden?

Met het Estrelle traject bent u binnen één week volledig compliant: audit afgerond, beleidsreglement opgesteld en ondertekend, medewerkers getraind en gecertificeerd.

Wat kost AI Act compliance voor het MKB?

Het Estrelle instappakket kost €997,- eenmalig. Het meest gekozen begeleid-pakket kost €2.250,-. Dit is een fractie van wat een Zuidas-advocatenkantoor vraagt voor een vergelijkbaar traject, en een fractie van een potentiële boete.

Is een certificaat verplicht?

De wet schrijft geen verplicht certificaat voor. Maar Artikel 4 eist wél dat u kunt aantonen dat medewerkers getraind zijn. Een gedateerd certificaat per medewerker is de sterkste invulling van die aantoonbaarheid. Bij een controle of incident is dit uw bewijs.

Wie handhaaft de AI Act in Nederland?

De Autoriteit Persoonsgegevens (AP) is aangewezen als coördinerend toezichthouder. Sectorale toezichthouders zijn DNB en AFM (financiële dienstverlening), IGJ (zorg), en de Nederlandse Arbeidsinspectie (werkplek-AI). Handhaving start 2 augustus 2026.

Bronnen en verdere informatie

Deze pagina is gebaseerd op officiële bronnen. Houd regelmatig de officiële kanalen in de gaten, want de wet wordt bijgewerkt.

  • Europese AI-verordening (EU) 2024/1689 — eur-lex.europa.eu
  • Autoriteit Persoonsgegevens — AI Act richtlijnen — autoriteitpersoonsgegevens.nl
  • KVK — AI-beleid voor uw bedrijf — kvk.nl
  • Digital Omnibus pakket (mei 2026) — verschuiving hoog-risico deadlines
  • Estrelle kennisbank — estrelle.nl/blog