De AI Act geldt voor elk bedrijf dat AI gebruikt. Dit moet je op orde hebben.

Waarom dit ook voor jou geldt

Gebruik je ChatGPT, Claude of Copilot in je bedrijf? Of draait er een chatbot op je website? Dan val je onder de EU AI Act. Deze Europese AI-wet geldt niet alleen voor techbedrijven die AI ontwikkelen, maar voor elke organisatie die AI gebruikt. Ook als je gewoon een abonnement hebt op een tool die toevallig AI bevat.

Toch zijn de meeste ondernemers er nauwelijks mee bezig. Uit onderzoek van de KVK blijkt dat de helft van de Nederlandse ondernemers de wet niet kent, en dat slechts een handvol daadwerkelijk maatregelen heeft genomen.

Het goede nieuws: voor de meeste mkb-bedrijven valt het reuze mee. Wat je moet regelen, past op één A4. In dit artikel zetten we het op een rij.

Eerst even: hoe zit de AI Act in elkaar?

De AI Act deelt AI-toepassingen in op risico. Hoe hoger het risico, hoe strenger de regels. Er zijn vier categorieën:

Verboden AI. Toepassingen zoals social scoring en manipulatieve AI zijn in de hele EU niet toegestaan.

Hoog-risico AI. AI die invloed heeft op belangrijke beslissingen over mensen, zoals systemen die sollicitanten beoordelen, kredietwaardigheid toetsen of medische diagnoses stellen. Hier gelden de zwaarste eisen: documentatie, risicobeheersing en menselijk toezicht.

Beperkt risico. Hier geldt vooral een transparantieplicht. Een chatbot moet herkenbaar zijn als AI, en AI-gegenereerde content moet je in steeds meer gevallen labelen.

Minimaal risico. Spamfilters, aanbevelingen, de meeste productiviteitstools. Geen specifieke verplichtingen.

Het overgrote deel van het mkb zit in die onderste twee categorieën. Gebruik je AI voor teksten, e-mails, analyses of klantcontact, dan zijn je verplichtingen licht. De wet maakt bovendien onderscheid tussen aanbieders (bedrijven die AI ontwikkelen) en gebruikers (bedrijven die AI inzetten). Dit artikel gaat over die tweede groep.

Dit moet je op orde hebben als je AI gebruikt

1. Inventariseer je AI-tools. Claude, ChatGPT, Copilot, Gemini, een chatbot op je website, AI in je boekhoudpakket. Maak een lijstje: wat gebruikt je team, waarvoor, en welke data gaat erin? Dit overzicht is de basis voor al het andere.

2. Schrijf een AI-beleid van één A4. Wat mag wel, wat niet. Welke data deel je nooit. Wie is aanspreekpunt. Geen juridisch document, wel duidelijk voor je mensen.

3. Regel AI-geletterdheid voor je team. De wet verplicht dat medewerkers die met AI werken begrijpen wat de tools kunnen, waar de beperkingen zitten en welke risico's eraan kleven. Een sessie van een paar uur waarin je team leert prompten, output beoordelen en risico's herkennen, voldoet voor de meeste bedrijven. Leg vast dat het gebeurd is.

4. Wees transparant naar je klanten. Zet je AI in richting klanten via een chatbot, gegenereerde content of geautomatiseerde besluiten? Maak het kenbaar.

5. Check je leveranciers. Is de aanbieder van elke AI-tool zelf compliant, en is er een verwerkersovereenkomst? Bij mainstream tools meestal geregeld, maar even checken hoort erbij.

6. Houd het bij. Nieuwe tool? Beleid updaten. Nieuwe medewerker? Neem het AI-beleid mee in je onboarding. Compliance is geen eenmalig project, maar een gewoonte.

Hoe zit het met toezicht en boetes?

In Nederland houden meerdere toezichthouders toezicht op de AI Act, elk binnen hun eigen sector, met de Autoriteit Persoonsgegevens als coördinator. De hoogste boetes die in het nieuws rondgaan gelden alleen voor verboden AI-praktijken. Voor het mkb hanteert de wet bovendien de laagste van de mogelijke bedragen. Wie zijn basiszaken op orde heeft, hoeft hier niet wakker van te liggen.

Compliance als rust, niet als ruis

Compliance voelt vaak als iets wat je erbij moet doen, terwijl je gewoon je werk wilt doen. Tegelijk geeft het rust als je zaken op orde zijn. En in dit geval is dat haalbaar: een middag werk, en je voldoet aan wat de wet van de meeste mkb-bedrijven vraagt.

De bedrijven die hun AI-gebruik inventariseren en er beleid op zetten, hebben bovendien meer dan alleen hun compliance geregeld. Ze weten ook beter wáár AI in hun organisatie waarde toevoegt. En dat is uiteindelijk de vraag die er echt toe doet.