Op 2 augustus 2026 worden de meest vergaande verplichtingen van de EU AI Act van kracht. Dat is over minder dan drie maanden. Gebruik je AI voor klantcontact, personeelsselectie of kredietbeoordeling? Dan gelden deze regels ook voor jou, niet alleen voor grote technologiebedrijven.
De AI Act is niet alleen voor grote techbedrijven
De misvatting leeft breed: de EU AI Act is voor de Microsofts en Googles van deze wereld, niet voor een ondernemer met twintig medewerkers. Dat klopt niet. De wet maakt onderscheid tussen drie rollen: de aanbieder (die de AI ontwikkelt), de gebruiker (die AI inzet in zijn bedrijfsproces) en de importeur. Als MKB-ondernemer val je vrijwel altijd in de categorie gebruiker, en ook gebruikers krijgen verplichtingen opgelegd, afhankelijk van hoe risicovol de AI-toepassing is.
De wet is breed opgezet. Ze geldt voor elk systeem dat machine learning, logica-gebaseerde redenering of statistische benaderingen gebruikt om uitvoer te genereren: tekst, voorspellingen, aanbevelingen of beslissingen. Dat zijn ook de kant-en-klare tools die je via een maandabonnement afneemt.
Vier risicoklassen bepalen jouw verplichtingen
De AI Act werkt met een risicogebaseerde aanpak. Hoe groter het potentiële nadeel voor mensen, hoe strenger de regels. Er zijn vier klassen:
- Onaanvaardbaar risico (verboden): sociale scoresystemen, biometrische massasurveillance, manipulatie van kwetsbare groepen. Al verboden per februari 2025.
- Hoog risico: AI die invloed heeft op aanname- en ontslagbeslissingen, kredietbeoordeling, toegang tot onderwijs of essentiële diensten. Strenge documentatie- en toezichtseisen gelden per augustus 2026.
- Beperkt risico: chatbots en andere systemen die met mensen communiceren. Transparantieplicht: de gebruiker moet weten dat hij met een AI praat.
- Minimaal risico: spamfilters, aanbevelingssystemen, AI voor tekstcorrectie. Geen extra verplichtingen.
De meeste dagelijkse AI-tools voor ondernemers vallen in de categorie minimaal of beperkt risico. Maar gebruik je AI in je wervingsproces of bij het beoordelen van klanten voor krediet? Dan zit je in de hoog-risico klasse, met serieuze eisen tot gevolg. De Europese Commissie publiceert een volledig overzicht van alle verplichtingen per risicoklasse.
Wat hoog-risico AI concreet van je vraagt
Val je in de hoog-risico categorie, dan worden de eisen serieus. Je moet bijhouden welke AI-systemen je inzet, waarvoor, en hoe de besluitvorming tot stand komt. Je moet aantoonbaar menselijk toezicht borgen: een mens moet de uitkomsten van het systeem kunnen controleren en corrigeren. En je moet gebruikers informeren dat ze te maken hebben met een geautomatiseerde beslissing.
In de praktijk betekent dit: documenteer welke AI-tool je voor welk doel inzet, hoe je de output controleert, en wie in jouw organisatie eindverantwoordelijk is. Dat is geen onoverkomelijke opgave, maar het vraagt om bewuste keuzes in je processen. AI-agents nemen steeds meer taken over die eerder door mensen werden gedaan, juist daarom is menselijk toezicht nu een bewuste afweging.
Drie voorbeelden uit de dagelijkse praktijk
CV-screening software met AI valt vrijwel altijd onder hoog risico. Gebruik je een tool die kandidaten rankt of uitfiltert op basis van algoritmen, dan ben je gebruiker van een hoog-risico systeem. Controleer of je leverancier aan de AI Act voldoet en documenteer je eigen gebruik.
Chatbot op je website valt onder beperkt risico. Je chatbot moet zichzelf kenbaar maken als AI. Controleer je huidige implementatie: staat er duidelijk dat de bezoeker met een geautomatiseerde assistent praat? Zo niet, pas dat vóór augustus aan. Vergelijkbare transparantieverplichtingen gelden ook voor compliance software die AI-functies integreert.
AI voor e-mailsortering of marketingautomatisering valt doorgaans onder minimaal risico. Tools met ingebouwde AI-functies voor aanbevelingen of tekstsuggesties staan hier over het algemeen in. Geen extra verplichtingen, al blijft bewust gebruik altijd beter dan onwetendheid over wat je software eigenlijk doet.
De boetes zijn niet te onderschatten
Voor verboden AI-toepassingen riskeert een bedrijf tot 35 miljoen euro of 7 procent van de wereldwijde jaaromzet, afhankelijk van wat hoger uitvalt. Voor overtredingen in de hoog-risico categorie loopt de boete op tot 15 miljoen euro of 3 procent. Voor onjuiste informatie aan toezichthouders geldt een maximum van 7,5 miljoen euro of 1 procent.
Dit zijn maxima, en de handhaving begint bij grote spelers en grove overtredingen. Maar de richting is duidelijk: AI-gebruik wordt gereguleerd en gehandhaafd, net als de AVG. En net als bij de AVG geldt: wie nu begint met een basisaanpak, staat straks veel sterker dan wie wacht tot er daadwerkelijk gehandhaafd wordt.
Vier stappen die je deze week al kunt zetten
Je hoeft geen extern bureau in te huren voor een solide basis. Vier concrete stappen zijn genoeg om nu mee te beginnen:
- Maak een inventarisatie. Welke AI-tools gebruik je? Schrijf ze op: naam, doel, wie het gebruikt en voor welke beslissingen.
- Check je leveranciers. Stuur een korte e-mail aan de software die je gebruikt voor werving, klantbeoordeling of klantenservice: zijn zij klaar voor de AI Act-verplichtingen per augustus 2026? Een leverancier zonder antwoord is een risico.
- Update je chatbot. Voeg een duidelijke melding toe dat het om AI gaat. Twee zinnen, meteen geregeld.
- Documenteer hoog-risico gebruik. Gebruik je AI bij aanname of kredietbeoordeling? Leg vast hoe een mens de uitkomst controleert en wie eindverantwoordelijk is.
Drie maanden is genoeg tijd voor een goede basis, zolang je er nu mee begint.