De AI Act komt eraan. Dit moet je nu al regelen

Geschreven door Lukas de Hamer

Op 2 augustus 2026 worden de regels voor AI-systemen met een hoog risico van kracht. Veel mkb'ers denken dat deze Europese wet hen niet raakt, maar dat is een misvatting. Ook als je AI-tools gebruikt om e-mails te schrijven, vergaderingen samen te vatten of klantdata te analyseren, kun je verplichtingen hebben. In deze blog legt Thijs de Groote, algemeen manager bij SatisfITeers, uit wat er op stapel staat en hoe je je voorbereidt.

Nog vijf maanden

Augustus 2026. Dat klinkt misschien nog ver weg, maar dat is het niet. Over vijf maanden gelden de regels voor AI-systemen met een hoog risico. Bovendien moet je transparant zijn over wanneer klanten of medewerkers met AI te maken hebben; van chatbots tot AI-gegenereerde content. Wie nu nog niet weet welke AI-tools zijn medewerkers dagelijks gebruiken, heeft te maken met een uitdaging.

De AI Act is geen toekomstmuziek. Sinds februari 2025 gelden er al verplichtingen rondom AI-geletterdheid en zijn bepaalde AI-toepassingen verboden. Maar de grote klap komt in augustus.

Val je onder de AI Act?

De meeste mkb'ers denken van niet. Maar de wet maakt onderscheid tussen twee rollen: providers (partijen die AI-systemen ontwikkelen en op de markt brengen) en deployers (partijen die AI-systemen gebruiken).

Ontwikkel je zelf AI-toepassingen? Dan ben je een provider en gelden de zwaarste verplichtingen. Maar ook als je gewoon ChatGPT, Copilot of een andere AI-tool inzet voor je werk, ben je een deployer – en dan kunnen er alsnog verplichtingen gelden.

Dat betekent niet per se dat je aan strenge eisen moet voldoen. De AI Act werkt met vier risicolagen:

  1. Verboden: AI die mensen manipuleert of social scoring toepast. Heel simpel, dit mag niet.

  2. Hoog risico: AI voor sollicitatieprocedures, kredietbeoordelingen of medische diagnoses. Hiervoor gelden strenge eisen.

  3. Transparantieplicht: Chatbots op je website, AI-gegenereerde teksten of afbeeldingen. Als je die inzet, moet helder zijn voor gebruikers dat ze met AI te maken hebben.

  4. Minimaal risico: Spamfilters, AI-aanbevelingen in webshops, voorraadbeheersystemen. Hiervoor gelden geen specifieke eisen.

De meeste mkb-toepassingen vallen in die laatste categorie. Maar weet je het zeker?

Ketenverantwoordelijkheid: het onderbelichte risico

Wat als je toeleverancier bent van een gemeente, zorginstelling of havenbedrijf? Grotere organisaties gebruiken steeds vaker AI met een hoog risicoprofiel. En zij gaan hun inkoopvoorwaarden aanpassen.

Dat betekent dat jouw AI-compliance straks onderdeel kan worden van contractonderhandelingen. Kun je aantonen welke AI-tools je gebruikt? Weet je waar de data naartoe gaat? Heb je je medewerkers getraind?

Als je die vragen niet kunt beantwoorden, loop je het risico opdrachten mis te lopen. Niet omdat je iets fout doet, maar omdat je het niet kunt bewijzen.

Wat moet je nu al doen?

Je hoeft geen juridisch specialist te zijn om te beginnen. Deze vijf stappen helpen je op weg:

1. Maak een AI-register 

Breng in kaart welke AI-tools je organisatie gebruikt. Denk aan: ChatGPT, Copilot, AI-functies in je CRM, transcriptietools. Noteer per tool: wat doet het, welke data gaat erin, wie is verantwoordelijk?

2. Bepaal de risicocategorie 

Per toepassing bepaal je in welke laag die valt. Gebruik je AI om cv's te screenen? Dat is hoog risico. Gebruik je het om vergaderingen samen te vatten? Waarschijnlijk minimaal risico. Leg je argumentatie vast.

3. Regel AI-geletterdheid 

Sinds februari 2025 is dit al verplicht: medewerkers die met AI werken, moeten begrijpen wat ze doen. Dat klinkt simpel, maar in de praktijk gaat het mis. Denk aan: prompts waarin klantgegevens worden gedeeld, vertrouwelijke documenten die worden geüpload naar gratis tools, of output die zonder controle wordt overgenomen.

Wat moet een medewerker minimaal snappen? Welke data mag wél en niet in een AI-tool? Hoe controleer je de output? Hoe herken je hallucinaties? Leg dit vast, al is het maar op één A4.

4. Wees transparant 

Gebruik je een chatbot op je website? Zorg dat bezoekers weten dat ze met AI praten. Genereer je content met AI? Overweeg of je dat moet vermelden. Vanaf augustus 2026 gelden hier concrete regels voor.

5. Check je leveranciers 

Koop je software met AI-functies? Controleer of je leverancier de AI Act serieus neemt. Vraag naar documentatie, risicobeoordelingen en compliance. Dit hoort straks in je inkoopvoorwaarden.

Wat vraagt je accountant straks?

Bij een ISO 27001-audit of een AVG-controle komen straks ook vragen over AI-gebruik. Heb je een register? Kun je aantonen dat medewerkers getraind zijn? Wat doe je bij een incident?

Steeds meer accountants en certificerende instellingen nemen AI-gebruik mee in hun controlewerkzaamheden. Dit zijn vragen die je moet kunnen beantwoorden - richting je directie, je accountant én je opdrachtgevers.

Geen paniek, wel actie

Laat ik duidelijk zijn: de AI Act is geen reden om te stoppen met AI. Het is een reden om er verstandig mee om te gaan en dat is precies wat je als ondernemer wilt.

Je hebt nog vijf maanden. Genoeg tijd om je AI-gebruik in kaart te brengen, je team bij te praten en je leveranciers te checken.

Geen register betekent geen grip. En geen grip betekent bestuurlijk risico.

Hulp nodig?

Wil je weten of jouw AI-gebruik onder de AI Act valt? Of heb je hulp nodig bij het opstellen van een AI-register? Klik hieronder op de button en we kijken graag met je mee!

Neem contact op

Liever eerst wat meer lezen? Volg onze LinkedIn-pagina of schrijf je in voor onze blogs.



Lukas de Hamer
Volgende

AI: meer dan chatbots alleen