AI en de overheid: wat Europa's nieuwe AI-wet betekent voor jouw bedrijf

Sinds februari 2025 geldt de Europese AI-verordening, en steeds meer onderdelen worden actief gehandhaafd. Voor Nederlandse ondernemers betekent dit concrete verplichtingen: van risicoclassificatie tot transparantie-eisen. In dit artikel leggen we uit welke regels er zijn, wat je nu al moet doen, en hoe je je bedrijf toekomstbestendig maakt zonder in juridisch jargon te verdrinken.

Samenvatting voor Nederlandse MKB'ers

De EU AI Act is sinds februari 2025 stap voor stap van kracht en raakt nu concreet ook Nederlandse MKB-bedrijven. Je bent meestal deployer (gebruiker) van AI, geen provider (bouwer), maar je hebt wél eigen verplichtingen.

Belangrijkste data

• Februari 2025
• Verboden AI-praktijken zijn écht verboden (social scoring, subliminale manipulatie, real-time biometrische surveillance, emotieherkenning op de werkvloer).
• AI-geletterdheidsplicht: medewerkers die met AI werken moeten begrijpen wat het doet en welke risico’s er zijn. Geen examen nodig, wél aantoonbare training.
• Augustus 2025
• Regels voor general-purpose AI-modellen (zoals ChatGPT, Claude, Copilot) gelden.
• Boeteregeling is actief.
• Nationale toezichthouders (AP, RDI, ACM, AFM, DNB) moeten operationeel zijn.
• Augustus 2026
• Volledige handhaving voor high-risk AI-systemen.
• Regulatory sandboxes moeten in elke lidstaat beschikbaar zijn (in NL o.a. via AP en RDI).

Risiconiveaus en wat dat voor jou betekent

De AI Act kent vier risiconiveaus. Jouw verplichtingen hangen af van hoe je AI gebruikt.

1. Onacceptabel risico (verboden)

Voorbeelden:

• Social scoring van personen
• Subliminale manipulatie
• Real-time biometrische surveillance in publieke ruimtes
• Emotieherkenning op de werkvloer

Dit mag je simpelweg niet inzetten. Doe je dit toch, dan val je in de hoogste boetecategorie.

2. Hoog risico (strenge regels)

Voorbeelden:

• AI in recruitment (screenen, ranken of selecteren van kandidaten)
• Kredietbeoordeling (leningen, financiering)
• Onderwijs (toetsing, beoordeling, selectie)
• Gezondheidszorg (diagnose, triage, behandeladvies)
• Kritieke infrastructuur (energie, transport, telecom)

Verplichtingen (in hoofdlijn, veel ligt bij de provider, maar jij hebt ook een rol):

• Risicomanagement en documentatie
• Technische documentatie en logbestanden (voor providers)
• Menselijk toezicht: AI mag niet autonoom ingrijpende beslissingen nemen
• Registratie in een EU-database (voor high-risk systemen)

Als deployer moet je o.a. zorgen dat:

• Je het systeem gebruikt zoals bedoeld door de provider
• Er menselijk toezicht is op beslissingen met grote impact
• Medewerkers weten hoe ze AI-uitkomsten kritisch beoordelen

3. Beperkt risico (transparantieplicht)

Voorbeelden:

• Chatbots richting klanten
• AI-gegenereerde teksten, afbeeldingen, video’s
• Deepfakes

Verplichtingen:

• Gebruikers moeten weten dat ze met AI te maken hebben.

Bijvoorbeeld: een korte melding bij een chatbot of in e-mails die (deels) door AI zijn geschreven.

• Deepfakes en synthetische media moeten gelabeld worden als niet-authentiek.

4. Minimaal risico (geen specifieke AI Act-verplichtingen)

Voorbeelden:

• Spamfilters
• Aanbevelingssystemen (bijv. productaanbevelingen)
• De meeste productiviteitstools (schrijfassistenten, vertaaltools, samenvattingen)

Hier heb je geen extra AI Act-verplichtingen, maar algemene regels (AVG, consumentenrecht, arbeidsrecht) blijven natuurlijk wel gelden.

Let op: Het risico hangt af van het gebruik:

• ChatGPT voor e-mails schrijven → meestal minimaal risico
• ChatGPT om sollicitanten te ranken → valt onder high-risk (recruitment).

Wat moet je als MKB’er nu concreet doen?

De meeste MKB’ers gebruiken AI via tools van grote partijen (Microsoft, Google, OpenAI, Anthropic, Salesforce, etc.). De zwaarste verplichtingen liggen bij hen, maar jij moet laten zien dat je:

• Weet welke AI je gebruikt
• De risico’s per toepassing hebt doordacht
• Medewerkers traint en gebruikers informeert

Nu al verplicht (sinds februari 2025)

1. AI-geletterdheid organiseren

• Bepaal welke medewerkers met AI werken (bijv. HR, marketing, klantenservice, finance).
• Organiseer een korte training of teamsessie over:
• Wat AI is en hoe het werkt in grote lijnen
• Typische risico’s (bias, hallucinaties, privacy, vertrouwelijkheid)
• Wanneer je AI-uitkomsten altijd moet checken (juridisch, HR, financieel, medisch)
• Documenteer: datum, deelnemers, inhoud (bijv. slides, notities). Bewaar dit als bewijs.

1. Transparantie richting klanten

• Check of je chatbots, AI-mailings of AI-gegenereerde content gebruikt.
• Voeg een duidelijke melding toe, bijvoorbeeld:
• "Deze chatbot maakt gebruik van AI."
• "Dit bericht is (deels) opgesteld met behulp van AI."
• Label deepfakes of synthetische media als niet-authentiek.

Voor augustus 2026: op orde brengen

1. AI-inventaris maken

Maak een overzicht (bijv. in Excel of je ISMS) met per AI-tool:

• Naam van de tool (bijv. Microsoft 365 Copilot, ChatGPT, HubSpot AI, Salesforce Einstein)
• Leverancier
• Waarvoor je het gebruikt (use case)
• Afdeling(en) die het gebruiken
• Of er persoonsgegevens of gevoelige data in gaan

1. Risico classificeren per toepassing

• Bepaal per use case in welke categorie het valt:
• Minimaal risico (productiviteit, interne ondersteuning)
• Beperkt risico (chatbots, klantcommunicatie, contentgeneratie)
• Hoog risico (recruitment, krediet, onderwijs, zorg, kritieke infrastructuur)
• Leg je beoordeling kort vast (1–3 zinnen per toepassing).

1. Menselijk toezicht inrichten voor high-risk gebruik

Als je AI inzet in high-risk domeinen:

• Zorg dat een mens altijd de uiteindelijke beslissing neemt bij:
• Aannemen/afwijzen van kandidaten
• Kredietverlening of financiering
• Toelating tot opleidingen of examens
• Medische beslissingen of triage
• Leg in een korte procedure vast:
• Welke rol AI speelt (advies, voorselectie, scoring)
• Wie de menselijke eindverantwoordelijke is
• Hoe beslissingen worden gecontroleerd en gedocumenteerd

1. Leverancierscontracten en documentatie checken

• Controleer in contracten / DPA’s / productdocumentatie:
• Wie is provider en wie is deployer?
• Welke AI Act-verplichtingen neemt de leverancier op zich?
• Is er documentatie over risico’s, beperkingen en juiste toepassing?
• Bewaar deze documentatie centraal (bijv. in je verwerkingsregister of ISMS).

Boetes en MKB-bescherming

De AI Act kent drie boeteniveaus:

• Verboden AI-praktijken
• Tot €35 miljoen of 7% van de wereldwijde jaaromzet (wat lager is voor MKB).
• Overtreding van overige verplichtingen
• Tot €15 miljoen of 3% van de jaaromzet.
• Onjuiste informatie aan toezichthouders
• Tot €7,5 miljoen of 1% van de jaaromzet.

Voor MKB geldt: de toezichthouder kijkt naar economische levensvatbaarheid. In de praktijk betekent dit dat voor kleine en middelgrote ondernemingen het lagere bedrag (vast bedrag of percentage) wordt toegepast.

Nederlandse context en hulpbronnen

In Nederland zijn vijf toezichthouders betrokken bij de AI Act:

• Autoriteit Persoonsgegevens (AP) – vooral privacy en persoonsgegevens
• Rijksdienst voor Digitale Infrastructuur (RDI) – technische en digitale aspecten
• ACM – mededinging en consumentenbescherming
• AFM – financiële markten
• DNB – financiële instellingen

Het Ministerie van Economische Zaken en Klimaat (EZK) coördineert.

Handige bronnen voor ondernemers:

• De Nederlandse overheid heeft een AI Act Guide gepubliceerd (sinds september 2025) met uitleg voor providers én deployers, inclusief MKB-voorbeelden.
• Business.gov.nl heeft een overzichtspagina met concrete stappen en checklists.
• AP en RDI bieden een regulatory sandbox waar je AI-toepassingen kunt testen binnen juridische kaders, met begeleiding van toezichthouders.

Praktisch stappenplan voor deze week

1. Maak een AI-lijst

• Inventariseer alle AI-functionaliteiten die je gebruikt (ook ingebouwd in bestaande software zoals Microsoft 365, Google Workspace, CRM, ERP, HR-tools).

1. Classificeer per tool en use case

• Noteer: minimaal, beperkt of hoog risico.
• Markeer specifiek: HR, krediet, onderwijs, zorg, kritieke infrastructuur.

1. Organiseer een korte AI-geletterdheidssessie

• Nodig relevante medewerkers uit.
• Bespreek: wat AI is, wat het wel/niet kan, risico’s, en interne afspraken.
• Leg vast wie aanwezig was en wat is behandeld.

1. Check transparantie in klantcontact

• Controleer je websitechat, e-mailflows, marketingautomatisering en AI-content.
• Voeg waar nodig een duidelijke AI-melding toe.

1. Download en archiveer de Nederlandse AI Act Guide

• Bewaar deze als referentie in je compliance- of kwaliteitsmap.
• Gebruik de checklists daaruit om je inventaris en risicobeoordeling aan te scherpen.

Conclusie

Voor de meeste Nederlandse MKB’ers draait de EU AI Act om een paar kernacties:

• Weet welke AI je gebruikt en waarvoor.
• Train je team in verstandig en veilig gebruik.
• Wees transparant naar klanten als AI in het spel is.
• Laat AI niet alleen beslissen over ingrijpende zaken zoals personeel, krediet of zorg.

De grote providers dragen de zwaarste compliance-last, maar jij moet laten zien dat je bewust, transparant en met menselijk toezicht met AI omgaat. Begin met een eenvoudige inventaris en een teamsessie; van daaruit kun je stap voor stap verder professionaliseren.

Wil je ervaringen uitwisselen met andere Nederlandse ondernemers over AI en regelgeving, dan kun je aansluiten bij een community (zoals een Discord-groep) waar kennis en praktijkvoorbeelden worden gedeeld.