De EU AI Act is de eerste brede wet ter wereld die het gebruik van kunstmatige intelligentie reguleert. Sinds 2024 is hij van kracht en de verplichtingen worden stap voor stap ingevoerd. Voor veel MKB-ondernemers roept dat een vraag op: moet ik nu iets doen? Dit artikel legt uit wat de wet inhoudt, voor wie hij geldt en wat er concreet van je verwacht wordt.
Wat is de EU AI Act?
De AI Act is een Europese verordening die regels stelt aan het ontwikkelen en gebruiken van AI-systemen. Het doel is tweeledig: burgers beschermen tegen risicovolle toepassingen, en tegelijk ruimte houden voor innovatie.
De wet kijkt niet naar de techniek, maar naar het risico van de toepassing. Hetzelfde taalmodel kan in de ene workflow volkomen onschuldig zijn en in de andere onder strenge regels vallen — het gaat om wat je ermee doet en wie het raakt.
De vier risicocategorieën
De AI Act deelt toepassingen in vier categorieën in:
- Onaanvaardbaar risico — verboden. Toepassingen die mensen manipuleren, sociale scores toekennen of ongerichte gezichtsherkenning doen. Deze zijn simpelweg niet toegestaan.
- Hoog risico — streng gereguleerd. AI die wordt gebruikt voor bijvoorbeeld werving en selectie, kredietbeoordeling, of toegang tot onderwijs en zorg. Hier gelden eisen rond documentatie, toezicht en risicobeheer.
- Beperkt risico — transparantieplicht. Denk aan chatbots en AI-gegenereerde content. Je moet duidelijk maken dat iemand met AI te maken heeft, of dat materiaal door AI is gemaakt.
- Minimaal risico — geen extra regels. Veruit de meeste bedrijfsmatige AI-toepassingen vallen hier: documentverwerking, e-mailafhandeling, rapportages, interne assistenten.
Voor het MKB is dit de geruststellende kern: de meeste automatiseringen die intern werk overnemen, vallen in de twee onderste categorieën.
Voor wie geldt de AI Act?
De wet maakt onderscheid tussen aanbieders (wie een AI-systeem ontwikkelt en op de markt brengt) en gebruiksverantwoordelijken (wie een AI-systeem in zijn bedrijfsvoering inzet).
De meeste MKB-bedrijven zijn gebruiksverantwoordelijke. Je bouwt het model niet zelf — je gebruikt het, vaak via een leverancier. De zwaarste verplichtingen liggen bij de aanbieders. Maar als gebruiker heb je ook een rol: je moet weten in welke risicocategorie jouw toepassing valt, en bij hoog-risico- of transparantieplichtige toepassingen je deel van de regels naleven.
De belangrijkste deadlines
De AI Act wordt gefaseerd ingevoerd:
| Vanaf | Wat gaat in |
|---|---|
| Februari 2025 | Verbod op onaanvaardbare toepassingen; plicht tot AI-geletterdheid van personeel |
| Augustus 2025 | Regels voor aanbieders van algemene AI-modellen; bestuur en toezicht |
| Augustus 2026 | Het merendeel van de regels, waaronder voor hoog-risicotoepassingen en transparantie |
| Augustus 2027 | Regels voor AI in producten die al onder andere EU-wetgeving vallen |
De deadline die voor het MKB het dichtstbij is, gaat over AI-geletterdheid: sinds februari 2025 moeten medewerkers die met AI werken voldoende begrijpen wat het systeem doet en wat de beperkingen zijn. Dat hoeft geen formele opleiding te zijn — een heldere uitleg en werkinstructie volstaat vaak.
Wat moet je als MKB nu regelen?
Vier stappen die voor vrijwel elk MKB-bedrijf relevant zijn:
- Inventariseer waar je AI gebruikt. Maak een lijst van tools en workflows waar een AI-model in zit — ook de minder zichtbare, zoals een AI-functie binnen je bestaande software.
- Bepaal de risicocategorie per toepassing. Voor de meeste interne automatiseringen is dat minimaal risico. Twijfel je — vooral bij iets dat mensen beoordeelt of selecteert — laat het dan toetsen.
- Regel transparantie waar nodig. Heb je een klantgerichte chatbot of publiceer je AI-gegenereerde content, zorg dan dat dat herkenbaar is.
- Zorg voor AI-geletterdheid. Leg je team uit hoe de gebruikte systemen werken, waar ze goed in zijn en waar menselijke controle nodig blijft.
Een goede leverancier helpt je hierbij: die kan per workflow aangeven in welke categorie hij valt en wat dat betekent.
Een nuchter eindplaatje
De AI Act klinkt zwaarder dan hij voor het gemiddelde MKB uitpakt. De strenge regels richten zich op risicovolle toepassingen en op de bouwers van grote modellen — niet op een bedrijf dat facturen automatisch laat verwerken of e-mail laat voorsorteren.
Wat wel voor iedereen geldt: weet wat je inzet, weet wat het raakt, en zorg dat je mensen begrijpen waar ze mee werken. Dat is geen juridische oefening, maar gewoon goed beheer. Bedrijven die AI met overzicht inzetten, hebben van de AI Act weinig te vrezen.
Wil je weten in welke categorie jouw automatiseringen vallen? Plan een gesprek — dan lopen we het samen door. Lees ook ons artikel over AI en de AVG, dat naadloos aansluit op dit onderwerp, of de praktische uitwerking in DPIA bij AI-automatisering.