De AI Act verplicht sinds februari 2025 dat je medewerkers AI-geletterd zijn -- en de helft van de Nederlandse ondernemers weet niet eens dat deze wet bestaat. KvK-onderzoek (2025) laat zien dat 50% de AI Act niet kent en slechts 7% goed geinformeerd is. Tegelijk rapporteert de Autoriteit Persoonsgegevens dat 67% van de bedrijven niet compliant is. De kloof is groot. Maar het goede nieuws: als je al AVG-compliant bent, heb je 70-80% van het werk al gedaan.
In onze complete gids over AI automatisering behandelen we hoe je AI inzet voor procesoptimalisatie. Maar AI inzetten zonder te weten wat de regels zijn is als autorijden zonder te weten dat er verkeersborden bestaan. Deze checklist geeft je in 15 minuten een helder beeld van wat je moet doen -- en wat je gerust even kunt parkeren.
Welke deadlines gelden er voor de AI Act?
De AI Act is geen big-bang. De Europese verordening (2024/1689) treedt gefaseerd in werking. Sommige verplichtingen gelden al, andere pas over een jaar.
| Datum | Verplichting | MKB-impact |
|---|---|---|
| 2 feb 2025 | Verboden AI-praktijken + AI-geletterdheid (Art 4) | Al van kracht. Je team moet basale AI-kennis hebben |
| 2 aug 2025 | Regels general-purpose AI (Art 51-56) | Beperkt -- raakt vooral AI-aanbieders zoals OpenAI |
| 2 aug 2026 | Hoog-risico AI (Bijlage III) + transparantie (Art 50) | De grote deadline. Chatbots labelen, HR-AI documenteren |
| 2 aug 2027 | Hoog-risico AI in sectorale producten (Bijlage I) | Vooral medische apparatuur, speelgoed, voertuigen |
De meeste MKB-bedrijven worden pas echt geraakt op 2 augustus 2026. Maar de AI-geletterdheidsverplichting geldt nu al.
Wat moet je nu al geregeld hebben?
Sinds februari 2025 geldt Artikel 4 van de AI Act: iedereen in je organisatie die met AI werkt, moet over voldoende AI-geletterdheid beschikken. Geen optie. Verplichting.
Concreet: als je medewerkers ChatGPT, Copilot, AI-functies in je CRM of een chatbot op je website gebruiken, moeten zij begrijpen wat AI kan, wat het niet kan, en welke risico's eraan kleven. De wet schrijft geen specifiek examen voor, maar je moet aantoonbaar inspanning leveren.
Hoe pak je AI-geletterdheid praktisch aan?
Drie niveaus, afhankelijk van de rol:
Directie en management -- Begrijp de strategische impact, de juridische kaders en de grenzen van AI-besluitvorming. Reken op 4-8 uur educatie.
Medewerkers die dagelijks AI gebruiken -- Kennen de tools, weten wat ze er wel en niet in mogen stoppen (geen klantdata in publieke tools), herkennen hallucinaties. Dit train je in een middag.
IT en data -- Dieper technisch begrip: hoe modellen werken, wat bias is, hoe je AI-output valideert. Plan hier 2-3 dagen voor.
Documenteer wie welke training heeft gevolgd. Dat is je bewijslast bij een eventuele controle.
Waar valt jouw AI-gebruik in het risicosysteem?
De kern van de AI Act is een risicoclassificatie in vier niveaus. Het niveau bepaalt je verplichtingen.
Verboden (onacceptabel risico) -- Social scoring, emotieherkenning op de werkvloer, manipulatieve AI. Sinds februari 2025 verboden. Raakt 99% van het MKB niet.
Hoog risico -- AI voor CV-screening, kredietbeoordeling, geautomatiseerde sollicitatiebeoordeling, toegang tot overheidsuitkeringen. Hier zitten de zware documentatieverplichtingen. De meeste MKB-bedrijven hebben nul tot twee hoog-risico toepassingen.
Beperkt risico -- Chatbots, AI-gegenereerde content, deepfakes. Verplichting: transparantie. Zeg dat het AI is. Een melding "Deze chat wordt beantwoord door AI" is voldoende.
Minimaal risico -- Spamfilters, productaanbevelingen, interne procesoptimalisatie, AI-vertalingen. Geen specifieke verplichtingen vanuit de AI Act.
Het overgrote deel van AI-toepassingen in het MKB valt in de categorie minimaal of beperkt risico. Dat maakt compliance een stuk haalbaarder dan de krantenkoppen suggereren.
Hoeveel overlapt de AI Act met de AVG?
Dit is de vraag die ondernemers het meest bezighoudt -- en het antwoord is geruststellend. Volgens StudioLee overlapt 70-80% van de AI Act-verplichtingen met wat je al doet voor de AVG.
| Verplichting | AVG | AI Act | Overlap? |
|---|---|---|---|
| Verwerkingsregister bijhouden | Ja | Ja (als AI-register) | Ja -- breid je AVG-register uit |
| DPIA uitvoeren bij hoog risico | Ja | Ja (risicobeoordeling Art 9) | Deels -- AI Act eist meer technische details |
| Transparantie naar gebruikers | Ja | Ja (Art 50) | Ja -- vergelijkbaar principe |
| Menselijk toezicht | Beperkt (Art 22 GDPR: recht op menselijke blik) | Uitgebreid (Art 14) | Deels -- AI Act gaat verder |
| Data governance | Ja | Ja (Art 10) | Ja -- zelfde fundament |
| Functionaris/verantwoordelijke | FG/DPO | AI-verantwoordelijke | Kan dezelfde persoon zijn |
Heb je een verwerkingsregister? Breid het uit met een kolom "AI-systeem: ja/nee." Heb je DPIA-ervaring? De AI Act-risicobeoordeling volgt een vergelijkbare structuur. Heb je een FG? Die kan de AI-governance erbij pakken.
Het verschil zit in de technische diepte. De AI Act vraagt om documentatie over trainingsdata, bias-analyse en performance metrics -- zaken die de AVG niet dekt. Maar het fundament is hetzelfde.
Hoe hoog zijn de boetes echt voor het MKB?
De headlines schreeuwen "EUR 35 miljoen boete." Dat klopt -- voor verboden AI-praktijken bij multinationals. Voor het MKB ziet het er anders uit.
Artikel 99(6) van de AI Act bepaalt dat voor MKB en startups het laagste bedrag geldt van het absolute maximum of het percentage van de omzet. AIComplianceHub rekent voor dat een MKB-bedrijf met EUR 2 miljoen omzet maximaal EUR 60.000 boete riskeert (3% van de omzet) voor de meeste overtredingen. Dat is serieus geld, maar geen faillissementsdreiging.
| Type overtreding | Maximum (absoluut) | Maximum (% omzet) | MKB-voorbeeld (EUR 2M omzet) |
|---|---|---|---|
| Verboden AI-praktijken | EUR 35M | 7% | EUR 140.000 |
| Overige verplichtingen | EUR 15M | 3% | EUR 60.000 |
| Onjuiste info aan toezichthouder | EUR 7,5M | 1% | EUR 20.000 |
Ter vergelijking: een AVG-boete kan oplopen tot 4% van de jaaromzet. De AI Act is niet strenger, maar komt er bovenop.
De Autoriteit Persoonsgegevens is aangewezen als coordinerend toezichthouder. In de eerste jaren verwachten experts vooral waarschuwingen en verbetertrajecten, geen directe boetes -- mits je kunt aantonen dat je bezig bent met compliance.
De 7-stappen compliance checklist
Hier is wat je concreet moet doen. Vink af wat al gedaan is. Alles wat je in de AVG-kolom al hebt, scheelt je werk.
Stap 1: Stel een AI-register op (week 1-2)
Inventariseer alle AI-tools in je organisatie. Vergeet embedded AI niet: Microsoft 365 Copilot, Salesforce Einstein, AI-functies in je boekhoudpakket. Noteer per tool: wie gebruikt het, waarvoor, welke data gaat erin, welke beslissingen ondersteunt het.
Pro-tip: stuur een korte enquete rond aan alle afdelingen. In onze ervaring ontdekken bedrijven gemiddeld 8 tot 12 AI-tools waarvan ze het bestaan niet wisten.
Stap 2: Classificeer het risico (week 2-3)
Loop je register langs. De meeste tools zijn minimaal risico. Gebruik je AI voor HR-beslissingen, kredietbeoordeling of automatische afwijzing van aanvragen? Dan zit je in hoog risico. Twijfel je? Classificeer hoger.
Stap 3: Regel AI-geletterdheid (week 3-6)
Dit is de enige verplichting die nu al geldt. Organiseer training op drie niveaus (directie, gebruikers, IT). Documenteer deelname. Plan kwartaalelijkse opfrissessies. Het EU AI Office publiceert gratis voorbeelden en templates.
Stap 4: Implementeer transparantie (week 4-8)
Heb je een chatbot? Zet er "Dit gesprek wordt gevoerd met AI" boven. Gebruik je AI om content te genereren? Meld het. Dit is geen raketwetenschap, maar je moet het doen voor augustus 2026.
Stap 5: Breid je AVG-documentatie uit (week 6-10)
Pak je verwerkingsregister en voeg een AI-kolom toe. Pak je DPIA's en controleer of AI-systemen zijn meegenomen. De meeste AVG-documentatie heeft alleen een update nodig, geen volledige herschrijving.
Stap 6: Documenteer hoog-risico AI (week 8-14)
Alleen als je hoog-risico toepassingen hebt. Stel technische documentatie op, richt een risicobeheerssysteem in, wijs een verantwoordelijke aan per systeem, implementeer logging. Dit is de zwaarste stap en kost de meeste tijd. Begin hier niet mee als je stap 1-5 nog niet hebt afgerond.
Stap 7: Plan doorlopende compliance (week 14+)
De AI Act is geen eenmalige checklist. Plan elk kwartaal: nieuwe AI-tools opnemen in het register, classificaties herzien, geletterdheidstrainingen bijhouden. Koppel het aan je bestaande AVG-reviewcyclus.
Wat kost AI Act compliance in de praktijk?
Searchlab rapporteert gemiddelde compliance-kosten van EUR 180.000 tot EUR 420.000 voor grotere organisaties. Voor een typisch MKB-bedrijf met 20-80 medewerkers en voornamelijk minimaal-risico AI-toepassingen ligt de werkelijkheid lager.
Onze inschatting op basis van vergelijkbare AVG-trajecten:
| Activiteit | Zelf doen | Met externe hulp |
|---|---|---|
| AI-register + classificatie | 16-32 uur eigen tijd | EUR 1.500-3.000 |
| AI-geletterdheid (training) | EUR 200-500 (online cursussen) | EUR 2.000-5.000 (incompany) |
| AVG-documentatie uitbreiden | 8-16 uur eigen tijd | EUR 1.000-2.500 |
| Hoog-risico documentatie | 40-80 uur eigen tijd | EUR 5.000-15.000 |
| Totaal (zonder hoog-risico) | EUR 500-1.500 + 40-64 uur | EUR 4.500-10.500 |
| Totaal (met hoog-risico) | EUR 500-1.500 + 80-144 uur | EUR 9.500-25.500 |
De range is breed, maar het patroon is duidelijk: bedrijven zonder hoog-risico AI komen er relatief goedkoop vanaf. En als je al een stevige AVG-basis hebt, halveer je de inspanning.
Drie fouten die MKB-bedrijven nu maken
De AI Act negeren omdat je "geen techbedrijf" bent. De wet maakt onderscheid tussen aanbieders en gebruikers van AI. Gebruik je ChatGPT voor sollicitatiebrieven beoordelen? Dan ben jij verantwoordelijk voor de compliance van dat hoog-risico gebruik. Niet OpenAI.
Alle AI over een kam scheren. Sommige bedrijven stoppen al hun AI-gebruik omdat ze bang zijn voor boetes. Dat is zonde. Spamfilters en productaanbevelingen vallen in minimaal risico en vereisen nul extra documentatie. Classificeer per toepassing.
Wachten tot augustus 2026. De AI-geletterdheidsverplichting geldt al. En een compliance-traject opzetten kost drie tot zes maanden. Begin nu en je hebt ruim de tijd. Begin in juni 2026 en je bent te laat.
Wat is de eerste stap die je vandaag kunt zetten?
Open een spreadsheet. Schrijf in kolom A alle AI-tools die je gebruikt. Voeg in kolom B toe wie ze gebruikt. Kolom C: waarvoor. Dat kost je een halfuur en je hebt het begin van je AI-register.
Wil je weten hoe AI-automatisering en compliance samengaan in de praktijk? In onze gids over AI automatisering behandelen we hoe je AI inzet voor procesoptimalisatie -- met de regels in het achterhoofd. En met onze AI-scan breng je in 10 minuten in kaart waar jouw organisatie staat.
Heb je specifieke vragen over hoog-risico classificatie of de interactie tussen AI Act en AVG? Neem contact op voor een vrijblijvend gesprek -- we denken graag mee over een compliance-aanpak die past bij jouw bedrijfsomvang.
Opgesteld met AI-tools en gecontroleerd door het redactieteam van CleverTech -- tech-leads met ervaring in AI, procesautomatisering en IT-consulting.