Wanneer is de EU AI Act deadline voor MKB?

2 augustus 2026. Dan worden de belangrijkste verplichtingen voor AI-systemen actief. Sinds 2 februari 2025 gelden al regels voor verboden AI-praktijken en AI-geletterdheid.

Geldt de AI Act ook als ik alleen ChatGPT gebruik?

Ja, gedeeltelijk. Ook als je AI-tools gebruikt heb je verplichtingen — vooral rond AI-geletterdheid, transparantie (chatbots moeten aangeven dat ze AI zijn) en documentatie van je AI-gebruik. Je bent dan 'deployer' volgens de wet.

Wat als mijn website een AI-chatbot heeft?

Dat valt meestal onder 'beperkt risico' met transparantieplicht: de chatbot moet duidelijk maken dat het AI is (niet een mens), en gebruikers moeten weten hoe de data behandeld wordt. Een goed ingerichte AI-chatbot voldoet hier eenvoudig aan.

Wat zijn de boetes voor een MKB-bedrijf?

Voor MKB gelden lagere plafonds dan de €35 miljoen. Specifieke MKB-boetes zijn 'het laagste van' percentage omzet óf vast bedrag. Voor veel kleinere bedrijven ligt een realistisch maximumplafond onder de €500.000, maar het kan oplopen.

Moet ik een AI-register bijhouden?

Praktisch gezien: ja. Een overzicht vergelijkbaar met het AVG-verwerkingsregister. Noteer waar AI in je organisatie gebruikt wordt, welke data het verwerkt, wie verantwoordelijk is en of het beslissingen ondersteunt of maakt.

Wat is AI-geletterdheid en is het verplicht?

Ja, verplicht sinds 2 februari 2025. Je medewerkers moeten voldoende weten over de AI die jullie inzetten — risico's, beperkingen, wanneer menselijk ingrijpen nodig is. Geen certificaat nodig, maar wel documenteerbaar.

EU AI Act voor MKB: wat moet je in 2026 regelen?

Je hebt waarschijnlijk gehoord van de EU AI Act. Misschien heeft je boekhouder iets gezegd, of een bevriende ondernemer. Waarschijnlijk heb je ook gelezen dat de boetes oplopen tot €35 miljoen — en dacht: dat gaat mij als MKB'er toch niet aan?

Deels klopt dat, deels niet. De zware boetes zijn voor grote AI-aanbieders. Maar ook als MKB-ondernemer die AI gebruikt — een ChatGPT-abonnement voor je content, een chatbot op je website, een AI-tool voor CV-screening — heb je verplichtingen. Sommige gelden al sinds februari 2025, de grote deadline is 2 augustus 2026.

Dit artikel legt uit wat er wel en niet voor jou geldt, met concrete acties. Geen juridische taal, praktische stappen die je deze maand kunt afronden.

De tijdlijn in 2 minuten

De wet wordt gefaseerd ingevoerd. De kritieke data voor MKB:

02-02-2025

Verboden AI-praktijken + AI-geletterdheid

Verboden: social scoring, ongericht gezichten-scrapen, manipulatieve AI. Verplicht: je medewerkers moeten "AI-geletterd" zijn. Geldt al.
02-08-2025

Regels voor General-Purpose AI

Aanbieders van modellen zoals GPT en Claude moeten documentatie leveren. Voor jou als gebruiker: niet direct relevant, maar je leveranciers moeten compliant zijn.
02-08-2026

Grote deadline — handhaving start

Verplichtingen voor hoog-risico AI worden actief. Transparantieregels voor chatbots en AI-content worden handhaafbaar. Dit is waarvoor je nu moet voorbereiden.
02-08-2027

Volledige inwerkingtreding

Alle resterende artikelen van kracht. Geen ontsnapping meer mogelijk.

De vier risicocategorieën

De wet werkt met een trapjes-model. Voor MKB is het cruciaal om te weten in welke trap jouw AI-gebruik valt:

Categorie 1 · Verboden

Onacceptabel risico — gewoon niet doen

Social scoring, ongerichte gezichtsherkenning, manipulatieve AI die gedrag stuurt. Voor 99% van MKB niet relevant. Als je je afvraagt of jouw tool hieronder valt: waarschijnlijk niet.

Categorie 2 · Hoog risico

Zware verplichtingen — documentatie, audits, compliance

AI voor recruitment-screening, kredietbeoordeling, zorg-diagnose, kritieke infrastructuur. Als je HR-AI gebruikt voor CV-filtering: let op. Volledige compliance-documentatie vereist voor augustus 2026.

Categorie 3 · Beperkt risico

Transparantieplicht — melden dat het AI is

Hier zitten de meeste MKB-toepassingen. Chatbots, AI-content, deepfakes. Verplichting: gebruikers moeten weten dat ze met AI te maken hebben, of dat content AI-gegenereerd is. Relatief licht.

Categorie 4 · Minimaal risico

Geen extra verplichtingen — wel AI-geletterdheid

Spam-filters, productaanbevelingen, zoekfuncties. Geen specifieke verplichtingen behalve de algemene AI-geletterdheid.

"Wij gebruiken alleen ChatGPT" is geen ontsnappingsroute. De wet maakt geen onderscheid tussen bewust en onbewust AI-gebruik. Gebruik je AI, dan heb je verantwoordelijkheid.

Concrete checklist voor jouw MKB

Stap 1 · Inventariseer je AI-gebruik

Je weet waarschijnlijk niet eens alle AI die je gebruikt. Check deze lijst — meeste MKB-bedrijven hebben minimaal 3-5 hiervan:

ChatGPT, Claude, Gemini — voor content, e-mails, brainstorms
AI-chatbot op je website
AI-features in je CRM (bijvoorbeeld lead-scoring)
Copilot of Gemini in Microsoft 365 of Google Workspace
AI-vertaaltools, schrijfhulpen (Grammarly, DeepL Write)
AI in je boekhoudsoftware (automatische categorisering)
AI-features in je social-media planner of e-mailmarketing tool
Eventuele CV-screening of recruitment-AI

Maak een simpel overzicht — excelletje of Notion-pagina. Per tool: wat doet het, welke data gaat erin, wie is verantwoordelijk, is het advies of beslissing?

Stap 2 · Bepaal de risicocategorie

Per AI-tool: val je in verboden, hoog, beperkt of minimaal risico? Voor de meeste MKB's is het antwoord voor álle tools "beperkt" of "minimaal" — dat is goed nieuws.

Let extra op als: je AI gebruikt voor CV-screening, sollicitant-beoordeling, werkschema's bepalen, of iets wat grondrechten raakt. Dat is vaak hoog-risico en vereist echte compliance-inspanning.

Stap 3 · AI-geletterdheid regelen

Dit geldt al sinds februari 2025. Je team moet weten wat AI kan en niet kan, waar risico's liggen, wanneer menselijk ingrijpen nodig is. Geen verplicht certificaat, wel documenteerbaar.

Praktisch: schrijf een korte interne guideline (1-2 pagina's). Wat gebruik je, hoe, wat mag wel/niet. Bespreek het in een teammeeting. Notuleer de afspraak. Klaar.

Stap 4 · Transparantie regelen voor chatbots en AI-content

Dit is voor bijna elke MKB'er met een website relevant. Vanaf 2 augustus 2026 moet:

Een chatbot duidelijk aangeven dat het AI is (niet een mens)
AI-gegenereerde content herkenbaar zijn (vooral deepfakes, grote commerciële content)
Gebruikers weten hoe hun data behandeld wordt

Een goed ingerichte chatbot of AI-chatbot-implementatie regelt dit standaard: de bot zegt bij de eerste boodschap wie hij is, privacy-notice is beschikbaar, gesprekken worden alleen met toestemming bewaard.

Stap 5 · Contracten controleren met leveranciers

Gebruik je een AI-platform van een ander bedrijf (bijvoorbeeld een whitelabel chatbot)? Check of jouw leverancier compliance-garanties biedt. Vraag om een verwerkersovereenkomst die expliciet AI Act-compliance benoemt.

Als jij substantieel aanpast aan wat de leverancier biedt (bijvoorbeeld eigen prompts, eigen conversatielogica), kun je juridisch gezien zelf "provider" worden — met zwaardere verplichtingen. Liggen die aanpassingen op grenslijn? Leg contractueel vast wie welke rol heeft.

Praktisch advies

Doe wat we bij onze AI-chatbot projecten standaard doen: documenteer bij livegang welke AI-provider, welke data, welke aanpassingen, welke verantwoordelijke. Dat is je "AI-register" voor dat project — en dat is wat toezichthouders willen zien als er ooit een vraag komt.

Wat gebeurt er bij overtreding?

De bekende €35 miljoen-boetes zijn voor verboden AI (categorie 1). Voor categorie 2 (hoog risico) is het maximum €15 miljoen of 3% wereldwijde omzet. Voor onjuiste informatie aan toezichthouder: €7,5 miljoen of 1,5%.

Voor MKB geldt: het laagste van de twee. Dus als je €500k omzet hebt en een overtreding, is je boete niet 3% × €500k maar het plafond dat voor MKB geldt — meestal lager dan €100k voor eerste overtreding, en in praktijk vaak veel lager bij goede intentie en proactieve correctie.

De Autoriteit Persoonsgegevens is de Nederlandse toezichthouder. Hun aanpak zal waarschijnlijk gefocust zijn op grote overtreders eerst, niet op MKB'ers met kleine administratieve gebreken. Maar: wachten totdat ze kloppen is geen strategie.

Wat je niet hoeft te doen (ondanks wat agencies beweren)

Rond de AI Act is een industrie van angst-verkopers ontstaan. Consultants die €5.000+ rekenen voor een "AI Act compliance audit". Soms terecht (voor hoog-risico-sectoren), meestal overkill voor MKB.

Wat je voor 95% van MKB-toepassingen NIET hoeft:

Dure compliance-audit door een consultancy-bureau
CE-markering voor je chatbot (dat is alleen voor hoog-risico providers)
Registratie in een EU-database (alleen hoog-risico)
Fundamental Rights Impact Assessment (alleen bij specifieke Annex III-gevallen)
Externe certificering

Wat je wel hoeft: de 5 stappen hierboven, netjes gedocumenteerd. Een halve dag werk, niet een €5.000-project.

Samenvatting — 30-dagen actieplan

Als je nu niks hebt gedaan: in 30 dagen ben je klaar.

Week 1: Inventariseer alle AI-tools in je bedrijf. Maak een simpel overzicht (10 kolommen excel).
Week 2: Classificeer elke tool per risicocategorie. 99% zal "beperkt" of "minimaal" zijn.
Week 3: Schrijf interne AI-guideline (1-2 pagina's). Deel met team. Notuleer bespreking.
Week 4: Check transparantie op je website. Heeft je chatbot een duidelijke melding dat het AI is? Is je privacy-statement up-to-date? Check contracten met AI-leveranciers.

Daarna: jaarlijks bijwerken bij nieuwe AI-tools. Meer hoef je niet. De wet is geschreven om echte risico's te beperken, niet om MKB te verlammen met papierwerk.

Samenvatting

Voor de meeste Nederlandse MKB-bedrijven is de EU AI Act veel minder zwaar dan het geluid eromheen suggereert. Inventariseer, classificeer, documenteer, wees transparant over chatbot-gebruik. Deadline 2 augustus 2026 haal je makkelijk als je dit kwartaal begint.