Wat moet een MKB-bedrijf concreet doen voor de AI Act?

Vier dingen: (1) een AI-register, een lijst van alle AI-tools met doel, aanbieder, risiconiveau en welke data erin gaat; (2) een kort AI-beleid met afspraken over gebruik en data; (3) aantoonbare AI-training voor je team (denk aan de SLIM-subsidie); en (4) transparantie: melden waar je AI inzet richting klanten. Zet daarnaast een herinnering om het elk kwartaal bij te werken.

EU AI Act

AI Act-checklist voor het MKB: wat moet je nú regelen?

Q: Wanneer geldt de EU AI Act voor mijn MKB-bedrijf?

De wet is gefaseerd ingevoerd. De datum die er voor het MKB toe doet is 2 augustus 2026: vanaf dan gelden de algemene verplichtingen voor bedrijven die AI inkopen en gebruiken. Dat is bijna iedereen: of je nu offertes laat samenvatten, een chatbot op je website hebt of marketingteksten laat schrijven. De meeste MKB-bedrijven zijn gebruiksverantwoordelijke en geen ontwikkelaar, waardoor lichtere eisen gelden.

Door Joost · Gepubliceerd 1 juni 2026 · Laatst bijgewerkt: 16 juni 2026 · 6 min lezen

Kort antwoord: vanaf 2 augustus 2026 moet vrijwel elk bedrijf dat AI gebruikt vier dingen op orde hebben: een overzicht van je AI-tools, een AI-beleid, aantoonbare training voor je mensen en transparantie naar klanten. Voor een gemiddeld MKB-bedrijf is dat een paar uur werk, geen halfjaarproject. Hieronder lees je precies wat je moet doen.

De EU AI Act klinkt als iets voor techreuzen, maar dat is het niet. De wet richt zich op iederéén die AI inzet. En als jouw team ChatGPT, Copilot of een AI-chatbot gebruikt, val je daaronder. Het goede nieuws: als gebruiker (en niet als ontwikkelaar) gelden er lichtere eisen. Je hoeft geen jurist in te huren. Je moet vooral laten zien dat je er bewust mee omgaat.

Wanneer geldt de AI Act voor mij?

De wet is gefaseerd ingevoerd en is op onderdelen al van kracht. De datum die er voor het MKB toe doet is 2 augustus 2026. Vanaf dan gelden de algemene verplichtingen voor bedrijven die AI inkopen en gebruiken. Dat is bijna iedereen. Of je nu offertes laat samenvatten, een chatbot op je website hebt of marketingteksten laat schrijven: je gebruikt AI, dus je hoort erbij.

Belangrijk onderscheid: de meeste MKB-bedrijven zijn gebruiksverantwoordelijke, geen ontwikkelaar. Je bouwt de AI niet zelf, je gebruikt 'm. Daardoor gelden de zware eisen (die voor hoog-risico-systemen) meestal niet voor jou, maar de basisverplichtingen wél.

Wat moet je concreet doen? Vier dingen

1. Een AI-register

Maak een lijst van alle AI-tools die je bedrijf gebruikt. Per tool noteer je: wat het is, waarvoor je het inzet, wie de aanbieder is, welk risiconiveau het heeft en welke data erin gaat. Dit hoeft geen dik document te zijn. Een goed bijgehouden spreadsheet volstaat. Het lastige is niet het opschrijven, maar erachter komen wat je mensen écht gebruiken (zie ook het punt over shadow AI verderop).

2. Een AI-beleid

Een kort intern document waarin staat hoe jullie met AI omgaan. Wie mag wat gebruiken? Welke data mag er wel en niet in een AI-tool? Hoe borg je de kwaliteit van wat eruit komt? Eén à twee pagina's is genoeg. Het gaat erom dat de afspraken er zijn en dat je team ze kent.

3. Training (AI-geletterdheid)

Je moet kunnen aantonen dat de mensen die met AI werken weten wat de risico's zijn. Dit heet de AI-geletterdheidsplicht. Dat kan een e-learning zijn, een interne sessie of zelfs een gespreksverslag, als het maar aantoonbaar is. En het mooie: AI-training is vaak subsidiabel via de SLIM-regeling (tot 60% vergoeding).

4. Transparantie

Gebruik je AI in klantcontact, zoals een chatbot, automatische e-mails of AI-content? Dan moet je dat melden. Mensen hebben er recht op te weten dat ze met (of via) AI communiceren. Een simpele vermelding is genoeg.

De boetes, voor de duidelijkheid. De AI Act kent boetes tot 35 miljoen euro of 7% van de wereldwijde jaaromzet. Dat klinkt absurd voor een MKB-bedrijf, en de echt hoge bedragen zijn voor de zware overtredingen. Maar onderschat het niet: een bedrijf met 2 miljoen omzet kan bij een ernstige overtreding al tegen een boete van rond de €140.000 aanlopen. Het punt is niet de paniek, maar dat negeren geen optie meer is.

Hoeveel werk is dit echt?

Voor een doorsnee MKB-bedrijf met 5 tot 20 medewerkers die AI lichtvoetig inzetten: reken op 4 tot 8 uur eenmalig om het beleid en het register op te zetten, en daarna een uurtje of twee per kwartaal om het bij te houden. Geen reden om wakker van te liggen. Wel iets om vóór de zomer van 2026 te regelen.

Je checklist op een rij

Inventariseer welke AI-tools er in je bedrijf gebruikt worden (ook de tools die je níet officieel hebt ingevoerd).
Leg dat vast in een AI-register met doel, aanbieder, risico en data.
Schrijf een kort AI-beleid met afspraken over gebruik en data.
Regel aantoonbare AI-training voor je team, denk aan de SLIM-subsidie.
Meld het waar je AI inzet richting klanten.
Zet een herinnering om het elk kwartaal even bij te werken.

Waar de meeste bedrijven vastlopen

Niet bij het beleid zelf, maar bij stap één: weten wat er écht gebruikt wordt. Je medewerkers gebruiken waarschijnlijk al AI-tools waar jij geen weet van hebt (shadow AI). De eerste stap is dus simpelweg inventariseren wat er rondgaat, voordat je beleid maakt. Een AI-workflowaudit helpt je dat overzicht snel te krijgen.

De AI Act regelen zonder gedoe?

In een gratis kennismaking kijken we samen waar je staat en wat je nog moet regelen, praktisch en zonder juridisch jargon.

Plan gratis kennismaking