EU AI Act: wat de nieuwe regels voor Nederlandse MKB-bedrijven betekenen
De nieuwe Europese wet legt AI-toepassingen op een weegschaal: van 'mag nooit' tot 'gewoon doen'. Wat valt jouw gebruik onder, en welke stappen moet je zetten?
Frank Duindam
Je hebt het waarschijnlijk al voorbij zien komen: de EU AI Act, de eerste grote wet die specifiek regelt hoe bedrijven met AI mogen werken. Sinds augustus 2024 is de wet van kracht, en bedrijven krijgen gefaseerd tijd om zich aan te passen. Voor veel MKB'ers roept dat vragen op. Moet ik mijn chatbot aanpassen? Mag ik nog wel CV's scannen met AI? En wat gebeurt er als ik me niet aan die regels houd?
Dit artikel legt uit hoe de wet werkt, waar jouw AI-gebruik waarschijnlijk onder valt, en welke concrete stappen je nu al kunt zetten — ook als je geen jurist in dienst hebt.
De kern: risico bepaalt wat mag
De EU AI Act deelt AI-toepassingen op in vier categorieën, van verboden tot laag-risico. Die indeling is niet gebaseerd op hoe ingewikkeld de technologie is, maar op wat je ermee doet. Een eenvoudige chatbot die CV's screent, kan onder strengere regels vallen dan een geavanceerd neuraal netwerk dat productfoto's genereert.
De vraag die de wet stelt is: hoeveel impact heeft deze AI op mensen? Kan het hun rechten, veiligheid of kansen beïnvloeden? Hoe groter de impact, hoe strikter de eisen.
Categorie 1: Verboden AI-systemen
Een paar toepassingen mag je simpelweg niet meer gebruiken, omdat ze fundamentele rechten schenden. Denk aan:
Social scoring door overheden (zoals in China, waar burgers punten krijgen voor gedrag)
Manipulatieve AI die kwetsbare groepen bewust misleidt (bijvoorbeeld kinderen verleiden tot onveilig gedrag)
Biometrische real-time identificatie op openbare plekken door autoriteiten (zoals live gezichtsherkenning in een winkelstraat), met uitzonderingen voor ernstige criminaliteit
Emotieherkenning op scholen of werkplekken (systemen die "lezen" of iemand gestrest of ontevreden is)
Voor de meeste MKB'ers is dit geen probleem — je gebruikt dit soort systemen toch al niet. Maar check wel of je geen externe partij inhuurt die dit soort technieken toepast. Een leverancier die beweert emoties van sollicitanten te kunnen "meten" tijdens videogesprekken? Dat valt waarschijnlijk onder de verboden categorie.
Categorie 2: Hoog-risico AI-systemen
Dit is de categorie waar het voor veel bedrijven interessant wordt. Hoog-risico AI wordt niet verboden, maar moet aan strenge eisen voldoen. Het gaat om systemen die belangrijke beslissingen over mensen nemen, zoals:
Werving en selectie: AI die CV's sorteert, sollicitanten rankt of geschiktheid inschat
Kredietbeoordeling: systemen die bepalen of iemand een lening krijgt
Toegang tot onderwijs: AI die studenten selecteert of prestaties beoordeelt
Kritieke infrastructuur: denk aan systemen die waterzuivering of elektriciteit beheren
Medische hulpmiddelen: AI die diagnoses stelt of behandelingen voorstelt
Wanneer valt jouw gebruik hieronder? Stel jezelf deze vraag: neemt de AI een beslissing die iemands kansen, rechten of veiligheid direct beïnvloedt? Gebruik je AI om te bepalen wie je uitnodigt voor een gesprek? Dan valt het waarschijnlijk onder hoog-risico. Gebruik je AI om inspiratie op te doen voor vacatureteksten? Dan niet.
Voor hoog-risico systemen gelden eisen zoals:
Documentatie: je moet kunnen uitleggen hoe het systeem werkt en welke data je gebruikt
Menselijk toezicht: er moet altijd een mens meekijken die de AI-uitkomst kan overrulen
Transparantie: gebruikers moeten weten dat ze met AI te maken hebben
Nauwkeurigheid en robuustheid: het systeem moet betrouwbaar zijn en je moet dat kunnen aantonen
Data-kwaliteit: de trainingsdata mag niet discriminerend of onvolledig zijn
Veel van deze eisen lijken op wat je al kent van de AVG. Het verschil: bij de AVG ging het om privacybescherming, hier gaat het om eerlijkheid en veiligheid.
Categorie 3: Beperkt-risico AI-systemen (transparantieverplichting)
Denk aan chatbots, deepfakes of AI-gegenereerde content. Deze systemen zijn niet verboden en hoeven niet door een keuring, maar je moet wel duidelijk maken dat het om AI gaat.
Voorbeelden:
Je zet een chatbot op je website voor klantenservice → vermeld dat het een chatbot is
Je maakt productfoto's met AI (zoals met DALL-E of Midjourney) → geef aan dat het AI-gegenereerde afbeeldingen zijn
Je gebruikt een deepfake-stem voor een podcast-intro → maak duidelijk dat het kunstmatig is
De gedachte: mensen hebben recht om te weten wanneer ze niet met een echt persoon praten of naar echt materiaal kijken. Geen paniek, je hoeft niet bij elke afbeelding "GEMAAKT MET AI" in hoofdletters te zetten — een korte disclaimer of label volstaat.
Categorie 4: Laag-risico AI-systemen
Dit is verreweg de grootste categorie, en goed nieuws: hier gelden geen extra regels. Voorbeelden:
Spamfilters in je mail
Aanbevelingen in webshops ("anderen kochten ook...")
Automatische transcriptie van vergaderingen
AI-tools die teksten herschrijven of samenvattingen maken
Als de AI geen invloed heeft op fundamentele rechten of veiligheid, dan val je gewoon onder de bestaande wetgeving (zoals de AVG voor persoonsgegevens).
Wat moet je nu doen?
De wet is er, de deadlines komen eraan. Voor hoog-risico systemen geldt een overgangsperiode tot augustus 2026 of 2027 (afhankelijk van het type). Maar ook als je tijd hebt, kun je nu al stappen zetten.
Stap 1: Inventariseer je AI-gebruik
Maak een lijst van álle plekken waar je AI gebruikt. Denk verder dan de voor de hand liggende tools. Zit er AI in je CRM? Gebruikt je boekhoudsoftware machine learning om facturen te categoriseren? Werkt je recruitmentbureau met een CV-scanner?
Noteer per tool:
Wat doet het systeem precies?
Neemt het beslissingen over mensen?
Kun je uitleggen hoe het tot een uitkomst komt?
Wie is de leverancier?
Stap 2: Bepaal de risicocategorie
Gebruik de vragen hierboven om in te schatten waar je gebruik onder valt. Bij twijfel: ga uit van de strengere categorie. Een foutje maken omdat je te voorzichtig was, is beter dan een boete omdat je te laks was.
Stap 3: Check je leveranciers
Als je AI-tools inkoopt (bijvoorbeeld recruitment-software of klantenservice-bots), vraag je leverancier dan:
Voldoet jullie systeem aan de EU AI Act?
Onder welke risicocategorie valt het?
Kunnen jullie documentatie leveren over hoe het systeem werkt?
Goede leveranciers zijn hier al mee bezig. Als een partij geen antwoord heeft, overweeg dan alternatieven.
Stap 4: Regel menselijk toezicht
Als je hoog-risico AI gebruikt: zorg dat er altijd iemand meekijkt. Een CV-scanner mag een stapel sollicitanten sorteren, maar de uiteindelijke beslissing wie je uitnodigt, moet een mens nemen. En die persoon moet begrijpen waarom de AI een kandidaat heeft voorgesteld of afgewezen.
Stap 5: Wees transparant
Voeg bij chatbots, gegenereerde content of andere beperkt-risico systemen een heldere melding toe. Dat kan subtiel, maar moet wel duidelijk zijn. Bijvoorbeeld: "Deze chatbot wordt aangestuurd door AI en kan fouten maken. Bij complexe vragen schakelen we een medewerker in."
Stap 6: Documenteer
Maak een simpel document waarin je beschrijft:
Welke AI je gebruikt
Waarvoor je het inzet
Welke data je gebruikt
Hoe je zorgt voor toezicht en correctie
Hoe je omgaat met klachten of fouten
Dat hoeft geen juridisch dossier van 50 pagina's te zijn. Een helder overzicht van twee A4'tjes kan al genoeg zijn voor een klein bedrijf. Het gaat erom dat je kunt laten zien dat je verantwoord met AI omgaat.
Handhaving: boetes en toezicht
De wet kent stevige boetes, tot 35 miljoen euro of 7% van de wereldwijde omzet voor de zwaarste overtredingen (zoals verboden AI gebruiken). Voor de meeste andere schendingen liggen de boetes lager, maar nog altijd fors genoeg om serieus te nemen.
In Nederland houdt de Autoriteit Persoonsgegevens (AP) toezicht op de AI Act, net zoals bij de AVG. De AP heeft al aangegeven niet meteen met boetes te komen zwaaien, maar wel voorlichting en waarschuwingen te geven. Toch: reken er niet op dat je jarenlang kunt wachten. Naarmate meer bedrijven compliant zijn, neemt de druk toe op achterblijvers.
Klinkt ingewikkeld — is het dat ook?
Eerlijk antwoord: het hangt ervan af. Als je alleen een chatbot op je website hebt en geen AI gebruikt voor personeelsbeslissingen of kredietbeoordelingen, dan valt het mee. Voeg een disclaimer toe, zorg dat je data netjes geregeld is (zoals je bij de AVG ook doet), en je zit goed.
Gebruik je AI voor werving, selectie of andere beslissingen die mensen direct raken? Dan is het inderdaad meer werk. Maar veel van wat de wet vraagt, is ook gewoon verstandig: begrijpen hoe je tools werken, ervoor zorgen dat ze eerlijk en betrouwbaar zijn, en transparant zijn naar je klanten en medewerkers.
Denk aan de AVG-invoering in 2018. Destijds leek het ook overweldigend, maar inmiddels is privacy-by-design gemeengoed. De EU AI Act volgt hetzelfde patroon: nu even investeren in begrip en processen, straks is het onderdeel van hoe je werkt.
Wat kun je morgen al doen?
Begin met de inventarisatie. Maak die lijst van AI-tools en stel jezelf bij elk systeem de vraag: neemt dit beslissingen over mensen, en kan ik uitleggen hoe? Dat geeft je meteen inzicht in waar je aandacht nodig is. En vraag je leveranciers om opheldering — hoe eerder je weet waar je staat, hoe meer tijd je hebt om bij te sturen.
De EU AI Act gaat niet over techneuten die ingewikkelde algoritmes moeten doorgronden. Het gaat over ondernemers die verantwoord met nieuwe technologie willen werken. En dat kun je — stap voor stap.
Lees ook
Hoe open-source AI-modellen het speelveld verandert
Proprietary modellen krijgen concurrentie van alternatieven die je zelf kunt draaien. Wat betekent dat voor jouw keuzevrijheid, kosten en privacy?
De stille revolutie van AI-agents: van chatbot naar digitale collega
Ze plannen vergaderingen, analyseren data en nemen zelfstandig beslissingen. AI-agents zijn de volgende stap na chatbots — maar wat kunnen ze echt, en waar moet je opletten?
Waarom Europese AI-startups achterblijven en wat eraan te doen valt
Terwijl Silicon Valley miljarden in AI pompt, worstelen Europese startups met kapitaalgebrek en regeldruk. Toch zijn er concrete wegen vooruit — en ze vragen om een andere aanpak dan kopiëren.