Verlaagt voorbereiding mijn risico?

Ja, aanzienlijk. Aantoonbaar bezig zijn met naleving verzwakt je sanctiepositie. Een toezichthouder kijkt anders naar een bedrijf met een AI-inventaris, kort beleid en getraind personeel dan naar een bedrijf dat niets kan laten zien.

EU AI Act

Boetes onder de AI Act: wat riskeer je écht als MKB?

Q: Hangt die boete van 35 miljoen mij echt boven het hoofd?

Nee. Dat bedrag geldt alleen voor verboden AI-praktijken, die je normaal niet gebruikt. Bovendien geldt voor het MKB het láágste van het vaste bedrag of het percentage. Bij een bescheiden omzet is de maximale boete dus een fractie van dat krantenkop-bedrag.

Q: Wanneer riskeer je als MKB een boete?

Vooral bij het negeren van de basisplichten: geen AI-geletterdheid, geen transparantie bij een chatbot, of hoog-risico-AI gebruiken zonder menselijk toezicht. Verboden AI gebruiken is het zwaarst beboet, maar dat komt in het MKB zelden voor.

Door Joost · Gepubliceerd 16 juni 2026 · Laatst bijgewerkt: 16 juni 2026 · 6 min lezen

Kort antwoord: veel minder dan de krantenkoppen van 35 miljoen euro suggereren. Dat hoogste bedrag geldt alleen voor verboden AI, die je als normaal mkb-bedrijf niet gebruikt. En cruciaal: voor het MKB geldt het láágste van het vaste bedrag of het percentage van je omzet, niet het hoogste. Voor een bedrijf met een bescheiden omzet betekent dat een boete in de orde van enkele tienduizenden euro's in het ergste geval, niet miljoenen. Het échte risico zit vaak elders: reputatieschade en claims. Hieronder lees je hoe het precies zit en wat je eraan doet.

Hoe hoog zijn de boetes?

De AI Act kent drie boeteniveaus (artikel 99). Ze klinken fors, maar ze zijn gekoppeld aan de ernst van de overtreding:

Verboden AI gebruiken: tot 35 miljoen euro of 7% van de wereldwijde jaaromzet.
Overige overtredingen (waaronder de hoog-risico-eisen, de AI-geletterdheidsplicht en de transparantieplicht): tot 15 miljoen euro of 3%.
Onjuiste informatie aan een toezichthouder geven: tot 7,5 miljoen euro of 1%.

Die bedragen staan in de verordening zelf (AI Act, artikel 99, 2024). Maar voor het MKB is er een belangrijke nuance die bijna nooit in de koppen staat.

Wat betekent dat voor een MKB?

Voor het MKB geldt het láágste van het vaste bedrag of het percentage, niet het hoogste. Dat is de omgekeerde regel van die voor grote bedrijven, en hij verandert het plaatje volledig. Een rekenvoorbeeld maakt het concreet.

Stel: een bedrijf met 2 miljoen euro jaaromzet maakt een hoog-risico-overtreding. Het maximum is dan 3%, dus 60.000 euro, niet 15 miljoen. Bij een verboden praktijk (7%) zou het maximaal 140.000 euro zijn. Nog steeds geen klein bier, maar mijlenver van de bedragen die rondzingen. Voor verreweg de meeste mkb-bedrijven, die alleen "gewone" AI gebruiken, is zelfs dat scenario niet aan de orde.

De 35 miljoen is niet jouw bedrag. Dat plafond is ontworpen voor techreuzen die verboden AI inzetten. Als mkb'er die ChatGPT en Copilot gebruikt, zit je in een totaal andere werkelijkheid. Laat de angst voor dat getal je niet verlammen, maar ook niet in slaap sussen: de kleinere, realistische risico's zijn wél de moeite van het afdekken waard.

Wanneer riskeer je een boete?

Vooral door de basis te negeren, niet door per ongeluk iets ingewikkelds fout te doen. De realistische risico's voor een mkb-bedrijf:

Geen AI-geletterdheid. Je team werkt met AI zonder enige uitleg of afspraken, terwijl die plicht al sinds februari 2025 geldt.
Geen transparantie. Een chatbot of AI-telefonist die zich voordoet als mens, zonder te melden dat het AI is.
Hoog-risico-AI zonder waarborgen. Een tool die sollicitanten of kredietaanvragen beoordeelt zonder menselijk toezicht of logbestanden.

Verboden AI gebruiken is het zwaarst beboet, maar dat komt in het MKB zelden voor, op één uitzondering na: emotieherkenning van personeel. Of jouw gebruik onder hoog risico valt, bepaal je met deze uitleg over hoog risico.

Het echte risico zit vaak elders

Voor het MKB is de boete meestal niet het grootste gevaar. De toezichthouders kunnen ook waarschuwen, eisen dat je een systeem aanpast of stopt, en besluiten openbaar maken. En dan is er de menselijke kant: een afgewezen sollicitant of klant die zich oneerlijk door een algoritme behandeld voelt, kan een civiele claim indienen of er online ruchtbaarheid aan geven. Die reputatieschade weegt voor een lokaal bedrijf vaak zwaarder dan een boete.

Daar komt bij dat de meeste ondernemers nog stilzitten: slechts 2 tot 3% heeft daadwerkelijk maatregelen genomen rond de AI Act (KVK, 2025). "Dat ondernemers de AI Act nog nauwelijks kennen, verbaast me niet, maar het brengt wel risico's met zich mee, ook voor kleine bedrijven", waarschuwt KVK-adviseur Robert Bakker (2025).

Hoe verklein je het risico?

Door aantoonbaar bezig te zijn. Dat is niet alleen netjes, het verzwakt ook je sanctiepositie: een toezichthouder oordeelt milder over een bedrijf dat zijn best doet dan over een bedrijf dat niets kan laten zien. Drie dingen volstaan voor de meeste mkb-bedrijven:

Een AI-inventaris met de tools die je gebruikt, hun doel en risiconiveau.
Een kort AI-beleid en AI-geletterdheid bij je mensen, zodat ze weten wat wel en niet mag.
Transparantie bij chatbots en AI-content, en menselijk toezicht waar het hoog risico is.

Dat is precies de inhoud van de AI Act-checklist. Begin daar, of lees eerst wat je vóór augustus 2026 moet doen. Het meeste is een kwestie van vastleggen wat je eigenlijk al doet.

Veelgestelde vragen

Hangt die boete van 35 miljoen mij echt boven het hoofd?
Nee. Dat geldt alleen voor verboden AI, die je normaal niet gebruikt. En voor het MKB geldt het láágste van bedrag of percentage. Bij een bescheiden omzet is de maximale boete een fractie van dat bedrag.

Wanneer riskeer je als MKB een boete?
Vooral bij het negeren van de basis: geen AI-geletterdheid, geen transparantie bij een chatbot, of hoog-risico-AI zonder menselijk toezicht. Verboden AI is het zwaarst beboet, maar komt in het MKB zelden voor.

Wie legt de boetes op in Nederland?
Een stelsel van toezichthouders met de Autoriteit Persoonsgegevens en de RDI in een coördinerende rol. De handhavingsbevoegdheden gaan in vanaf 2 augustus 2026.

Wil je je risico afdekken zonder duur compliance-traject?

In een gratis kennismaking kijken we wat je realistisch moet regelen om aan de AI Act te voldoen. Praktisch, in de taal van de ondernemer, zonder verplichtingen.

Plan gratis kennismaking