Een werkbaar stappenplan om je bedrijf in lijn te brengen met de AI Act: inventariseer je AI, classificeer het risico, regel transparantie en leg alles vast in een register dat je actueel houdt.
Je gebruikt waarschijnlijk al meer AI dan je denkt. Een chatbot op je website, een tool die sollicitaties voorsorteert, een assistent die offertes opstelt of klantmails samenvat. Vanaf 2 augustus 2026 wordt een groot deel van de Europese AI-verordening (de AI Act) van toepassing, en die raakt ook het MKB en afzonderlijke afdelingen van grotere organisaties. Geen reden voor paniek, wel voor een gestructureerde aanpak.
Deze gids is voor ondernemers en teams die AI inzetten en willen weten wat ze concreet moeten regelen, in welke volgorde, en waar de wet sinds kort soepeler (en op punten strenger) is dan veel checklists nog beweren. Je hoeft geen jurist te zijn om dit te doen, maar je moet het wel systematisch aanpakken. Hieronder staat het stappenplan, plus de valkuilen en een eerlijke afweging tussen een kant-en-klare oplossing en maatwerk.
Wat je nodig hebt
Voordat je begint, zorg je dat het volgende klaarstaat:
- Een compleet overzicht van alle AI in je organisatie, inclusief de tools die teams zelf hebben aangeschaft zonder dat IT het weet (shadow AI). Wat je niet in beeld hebt, kun je niet classificeren.
- Een interne eigenaar: iemand die de brug slaat tussen IT, juridisch en de dagelijkse praktijk. Liever een vaste persoon binnen je bedrijf dan een externe die na één rapport weer vertrekt.
- Toegang tot je leverancierscontracten en documentatie: de gebruiksaanwijzingen en verwerkersovereenkomsten van je AI-tools heb je straks nodig om te bepalen wie waarvoor verantwoordelijk is.
- Een simpele plek om alles bij te houden. Een register in Google Sheets of Notion is genoeg om mee te beginnen; je kunt het later koppelen aan je andere systemen.
- Tijd en mandaat. Classificeren en documenteren is echt werk. Plan het in als een project, niet als een klusje voor tussendoor.
Het stappenplan
Compliant worden onder de AI Act is geen juridisch mijnenveld als je het opdeelt in behapbare stukken: je inventariseert je AI, bepaalt per systeem het risiconiveau, regelt transparantie naar je gebruikers, traint je mensen en legt alles vast in een register dat je actueel houdt.
Werk de stappen in deze volgorde af.
1. Inventariseer elke AI die je inzet
Begin met een complete lijst. Loop per afdeling de gebruikte software langs en noteer overal waar AI in zit, ook de functies die je leverancier stilletjes heeft toegevoegd aan een bestaand pakket. Vraag teams expliciet welke tools ze zelf gebruiken; juist die shadow AI valt anders buiten beeld.
Noteer per systeem: het doel en het proces waarin het draait, de leverancier, of er persoonsgegevens in gaan, wie het gebruikt, en of de uitkomst mensen direct raakt (een afwijzing, een prijs, een beoordeling). Dit register is de basis van al het volgende. Een goede inventarisatie leunt op data die op orde is, en je data op orde brengen vóór je AI opschaalt betaalt zich hier meteen terug.
2. Classificeer het risiconiveau per systeem
Deel elk systeem in een van de vier risicocategorieën in. De hele AI Act draait om dit onderscheid: hoe hoger het risico, hoe zwaarder de eisen.
| Risiconiveau | Wat het betekent | Typische voorbeelden |
|---|---|---|
| Onaanvaardbaar | Verboden sinds 2 februari 2025 | Social scoring, manipulatie, emotieherkenning op de werkvloer |
| Hoog | Strenge eisen (Annex III) | CV-screening, kredietbeoordeling, premieberekening, beoordeling van personeel |
| Transparantie | Meld- en labelplicht (Artikel 50) | Klantenservice-chatbot, AI-gegenereerde content, deepfakes |
| Minimaal | Geen specifieke plichten | Spamfilter, routeoptimalisatie, verkoopprognose |
De meeste MKB-toepassingen vallen in de onderste twee categorieën: transparantie of minimaal risico. Een chatbot of een tool die teksten genereert is doorgaans geen high-risk-systeem; een tool die zelfstandig sollicitanten rangschikt of kredietwaardigheid bepaalt wel. Schrijf je conclusie en je onderbouwing per systeem op, want bij twijfel moet je later kunnen uitleggen waaróm je iets als laag risico hebt ingeschat.
3. Regel de transparantie (Artikel 50)
Dit is de kern van wat per 2 augustus 2026 voor de meeste MKB'ers gaat gelden. Artikel 50 verplicht je om open te zijn over AI op vier punten:
- Chatbots en gespreksassistenten: een gebruiker moet weten dat hij met AI praat, tenzij dat overduidelijk is. Eén heldere zin bij de start van het gesprek volstaat meestal.
- AI-gegenereerde content: tekst, beeld, audio en video uit generatieve AI moeten machineleesbaar gemarkeerd zijn als kunstmatig. Voor bestaande generatieve systemen geldt hiervoor een verlengde termijn tot 2 december 2026, zo bevestigt VerifyWise over het Digital Omnibus-akkoord.
- Deepfakes en publieke teksten: publiceer je een AI-gegenereerde deepfake of AI-tekst over zaken van algemeen belang, dan moet je dat melden. Uitzondering: tekst die een mens heeft gecontroleerd en waarvoor iemand redactioneel verantwoordelijk is, hoeft niet als AI-tekst gelabeld.
- Emotieherkenning en biometrische categorisatie: zet je zo'n systeem in, dan moet je de betrokken mensen daarover informeren.
Dat chatbots en AI-gegenereerde content vanaf augustus 2026 herkenbaar moeten zijn is precies waar het hier om draait. De transparantieregels zijn geen compliance-ramp, maar wel een harde deadline: de praktische ingrepen zijn klein, maar je moet ze wel echt doen. Let vooral op die laatste uitzondering: AI-tekst klakkeloos publiceren zonder menselijke controle is sowieso onverstandig, zoals bleek toen een groot adviesbureau een AI-rapport introk nadat het hallucinaties bevatte.
4. Borg AI-geletterdheid
Sinds 2 februari 2025 ben je verplicht je medewerkers AI-geletterd te maken (Artikel 4). Dit is de stap die het vaakst wordt overgeslagen, terwijl hij goedkoop is. Het komt erop neer dat de mensen die met AI werken begrijpen wat de tool wel en niet kan, waar de risico's zitten en wanneer een mens moet ingrijpen. Een korte interne training, vastgelegde werkafspraken en een aanspreekpunt zijn genoeg om aantoonbaar aan deze plicht te voldoen. Leg vast wie wanneer is bijgeschoold.
5. Leg governance en eigenaarschap vast
Documenteer je keuzes en wijs een vaste eigenaar aan. Compliance is geen eenmalige actie maar een proces dat je actueel houdt. Concreet:
- Houd je register bij en herzie het wanneer je een nieuwe tool aanschaft of een leverancier AI toevoegt.
- Spreek met leveranciers af wie waarvoor verantwoordelijk is. Vraag hun documentatie op en leg de verdeling van plichten contractueel vast in plaats van aan te nemen dat zij het wel regelen.
- Houd grip op wat je AI-systemen doen. Logging en monitoring zijn niet alleen straks bij high-risk verplicht; ze geven je nu al overzicht. Tooling die AI-agents volgt om het zichtbaarheidsgat te dichten helpt daarbij, net als afspraken die voorkomen dat AI-agents je tokenkosten ongemerkt opjagen.
Deze stap maakt het verschil tussen een papieren checklist en een organisatie die echt grip heeft.
6. Bereid je high-risk-systemen voor
Heb je in stap 2 een high-risk-systeem gevonden? Dan heb je meer tijd dan veel checklists suggereren, maar niet minder werk. Met het Digital Omnibus-akkoord van 7 mei 2026 zijn de zwaarste verplichtingen verschoven: de regels voor losse high-risk-systemen gelden nu vanaf 2 december 2027, en voor high-risk-AI die in gereguleerde producten zit vanaf 2 augustus 2028. Die data staan vast, ook als de technische standaarden nog niet af zijn.
Uitstel is geen afstel. Voor een high-risk-systeem gelden zeven kernvereisten (Artikel 9 tot en met 15): een risicomanagementsysteem, data governance, technische documentatie, automatische logging, transparantie richting gebruikers, menselijk toezicht en aantoonbare accuraatheid, robuustheid en cybersecurity. Daarbovenop komen een conformiteitsbeoordeling met CE-markering, registratie in de EU-databank en, voor overheden en aanbieders van publieke diensten, een grondrechteneffectbeoordeling. Gebruik de extra maanden om dit zorgvuldig op te bouwen in plaats van het straks in een paniekweek te moeten doen.
De boetes maken duidelijk waarom dit serieus is: tot 35 miljoen euro of 7% van je wereldwijde jaaromzet voor verboden praktijken, tot 15 miljoen euro of 3% voor het niet naleven van de overige verplichtingen, en tot 7,5 miljoen euro of 1% voor het verstrekken van onjuiste informatie aan toezichthouders, aldus een overzicht van de verplichtingen richting augustus 2026. Voor het MKB geldt dat de laagste van de twee bedragen wordt toegepast, maar reputatieschade en uitgesloten worden bij aanbestedingen kunnen harder aankomen dan de boete zelf.
Valkuilen
- Shadow AI vergeten. De tool die marketing zelf aanschafte, telt net zo goed mee. Een onvolledige inventarisatie maakt elke volgende stap onbetrouwbaar.
- Denken dat de hele AI Act in augustus 2026 ingaat. De high-risk-eisen zijn uitgesteld naar december 2027, maar transparantie en AI-geletterdheid gelden gewoon. Wie alles op augustus richt, doet te veel; wie alles uitstelt, te weinig.
- Transparantie als bijzaak. Een chatbot zonder duidelijke melding of AI-content zonder markering is een directe overtreding van Artikel 50, ook al voelt het als een detail.
- Documenteren pas achteraf. Zonder vastgelegde onderbouwing kun je bij een klacht niet aantonen waarom je een systeem laag inschatte. De bewijslast ligt bij jou.
- Blind vertrouwen op je leverancier. "Wij zijn AVG- en AI-Act-proof" is een marketingzin, geen bewijs. Vraag documentatie en leg verantwoordelijkheden contractueel vast.
- Compliance verwarren met een product. Een tool kan helpen, maar de classificatie, de afspraken en het toezicht blijven jouw verantwoordelijkheid.
Kant-en-klaar vs. maatwerk
De meeste MKB'ers kunnen ver komen met eenvoudige middelen: een register in een spreadsheet, een paar werkafspraken en de transparantiemeldingen goed ingeregeld. Voor wie complexer zit, is de vraag of je een governance-platform koopt of je register in je eigen systemen bouwt.
| Aanpak | Past bij | Voordeel | Nadeel |
|---|---|---|---|
| Spreadsheet of Notion-register | Kleine organisatie, paar AI-tools, vooral transparantierisico | Snel, goedkoop, meteen te starten | Handwerk, raakt verouderd als niemand het bijhoudt |
| Kant-en-klaar governance-platform | Veel AI-systemen, meerdere afdelingen, behoefte aan rapportages | Standaardstructuur, ingebouwde templates | Maandkosten, generiek, en nieuwe afhankelijkheid van een leverancier |
| Maatwerkregister, gekoppeld aan je eigen tools | Organisatie die AI breder inzet en grip wil houden | Sluit aan op je processen, geen lock-in, logging waar jij die wilt | Vraagt een eenmalige bouwinvestering |
Mijn nuchtere lijn: begin klein en handmatig, want de eerste winst zit in de inventarisatie en de classificatie, niet in de tooling. Groeit het aantal systemen en wordt bijhouden een last, dan loont het om de inventarisatie te koppelen aan de software die je toch al gebruikt, zodat het register zichzelf voedt in plaats van te verouderen. Koop geen platform om een probleem op te lossen dat je nog niet scherp hebt.
De AI Act is uiteindelijk geen examen dat je op één dag haalt of zakt. Het is een manier van werken: weten wat je inzet, eerlijk zijn naar de mensen die ermee te maken krijgen, en kunnen uitleggen waarom je doet wat je doet. Wie zijn AI op orde brengt voldoet niet alleen aan de wet, maar bouwt ook iets waar klanten en medewerkers op kunnen vertrouwen. En dat vertrouwen is, deadline of niet, het echte rendement.
