EU AI Act in het MKB: wat je écht moet regelen vóór 2 augustus (en wat niet)

Boetes tot 35 miljoen euro. Een deadline van 2 augustus. Een wet vol termen als "verboden AI" en "hoog risico". Geen wonder dat veel ondernemers er een beetje nerveus van worden.

Maar hier is de nuchtere waarheid: voor verreweg de meeste MKB'ers valt het enorm mee. De zwaarste regels gaan waarschijnlijk niet eens over jou. En wat je wél moet doen, past op één A4.

Je bent trouwens niet de enige die het overzicht kwijt is. Uit onderzoek van KVK blijkt dat maar 7% van de ondernemers zich goed geïnformeerd voelt over de AI-wet (KVK, 2025). De helft kent de wet niet eens, en maar 2 à 3% heeft echt stappen gezet.

Dit stuk haalt de paniek eruit. Wat is de AI Act, welke datum telt nu echt, en wat moet jij concreet doen. Geen juridisch jargon, gewoon de praktische versie.

In het kort

• Voor de meeste MKB'ers zijn de verplichtingen licht: wees open over je AI-gebruik, en zorg dat je team weet waar het mee werkt.
• De enige datum die nu telt is 2 augustus 2026. Vanaf dan moet je het gebruik van AI, zoals een chatbot, transparant maken.
• Het zware "hoog risico"-regime gaat de meeste MKB-bedrijven sowieso niet aan. Europa wil de invoering ervan bovendien opschuiven (richting eind 2027 en 2028), maar dat besluit is nog niet definitief.
• De boete van 35 miljoen euro geldt alleen voor verboden AI-praktijken, niet voor normaal gebruik. En voor het MKB geldt het láágste van het vaste bedrag of het percentage, niet het hoogste.
• Wat je wél moet doen, past op één A4. Die checklist lopen we hieronder door.

Wat is de AI Act, zonder juridisch jargon?

De AI Act is een Europese wet die regelt hoe bedrijven AI mogen gebruiken. Het idee erachter is simpel: hoe risicovoller je AI inzet, hoe strenger de regels. AI die mensen kan schaden, wordt streng aangepakt. AI die een mailtje samenvat, vrijwel niet.

De wet deelt al het AI-gebruik in vier categorieën in, van verboden tot vrijwel ongereguleerd. Het goede nieuws voor het MKB: het meeste dagelijkse gebruik valt in de twee lichtste categorieën. Een chatbot op je website, teksten laten schrijven, facturen laten uitlezen: daar zijn de regels mild.

De wet is op 1 augustus 2024 in werking getreden en wordt sindsdien in stappen van toepassing (Europese Commissie). Daardoor lijkt het ingewikkelder dan het voor jou is. Laten we die stappen even uit elkaar trekken.

De enige datum die je moet onthouden: 2 augustus 2026

Er zweven veel data rond, maar voor een normaal MKB-bedrijf telt er eigenlijk maar één.

Sinds februari 2025 zijn een handvol AI-toepassingen helemaal verboden, zoals social scoring en het ongericht scrapen van gezichten van internet. Dat zijn dingen die je als gewone ondernemer toch niet doet. Op één na, en die is wél relevant: AI die de emoties van je personeel "leest" op de werkvloer is ook verboden. Denk aan software die de stemming of stress van je medewerkers meet, of een HR-tool die emoties uit videocalls haalt. Steeds meer pakketten bieden zoiets aan, dus let op dat je er niet per ongeluk in stapt. In diezelfde stap kwam ook een lichte plicht bij: zorg dat de mensen die met AI werken, een beetje snappen wat het doet. Daar komen we zo op terug.

De datum die er nu toe doet is 2 augustus 2026. Vanaf dan geldt de transparantieplicht (Europese Commissie, 2026). Kort gezegd: als een klant met een AI-chatbot praat, moet die dat weten. En content die door AI is gemaakt, moet als zodanig herkenbaar zijn. Logisch, eigenlijk, en goed te regelen.

Let op de krantenkoppen: de zwaarste regels, voor "hoog risico"-AI, zouden óók op 2 augustus 2026 ingaan. Maar Europa sloot in mei 2026 een voorlopig akkoord om dat deel op te schuiven (Raad van de EU, 2026). De nieuwe data: 2 december 2027, en 2 augustus 2028 voor AI die in producten zit. Dat akkoord is nog niet definitief vastgesteld. Het laat wel zien waar de soep niet zo heet gegeten wordt als opgediend.

In welke categorie val jij? (meestal de lichte)

Even concreet, want dit is waar de meeste onnodige stress vandaan komt. De wet kent vier categorieën, van zwaar naar licht. In dit schema zie je in één oogopslag waar je waarschijnlijk valt, en wat dat betekent:

Het overgrote deel van het MKB zit in de onderste twee. De officiële Nederlandse uitleg van KVK bevestigt dat (Ondernemersplein, 2026). Je tipt pas in het zware "hoog risico"-bakje bij specifieke toepassingen. Denk aan AI die sollicitanten beoordeelt of kredietwaardigheid toetst. Doe je dat, dan is het een ander verhaal, en is het slim om er goed naar te laten kijken.

Zodra je weet in welk bakje je valt, kun je zonder zorgen AI-automatisering in je bedrijf inzetten voor de processen die nu nog te veel handwerk kosten.

Wat je écht moet doen: de checklist die op één A4 past

Voor een gewoon MKB-bedrijf in de lichte categorieën komt het hierop neer. Vijf punten, meer niet.

• Maak een lijstje van waar je AI gebruikt. Welke tools, voor welke taken? Zonder dat overzicht weet je niet in welke categorie je zit. Dit is het halve werk.
• Check je leveranciers. Het meeste zware werk ligt bij de makers van de AI-tools, niet bij jou. Gebruik je gevestigde software, dan regelen zij de techniek. Vraag gerust of ze AI-content netjes markeren.
• Zorg voor wat AI-geletterdheid. Je team hoeft geen zware cursus te volgen, maar moet wel snappen wat de AI doet en waar de grenzen liggen. Deze plicht geldt al sinds februari 2025. Spreek daarnaast af dat er geen BSN-nummers, contracten of privé-klantgegevens in de gratis versie van ChatGPT belanden. Dat laatste valt strikt genomen onder de privacywet (AVG), niet onder de AI Act, maar het hoort bij dezelfde basishouding: weet wat je tool doet en wat je erin stopt.
• Wees transparant. Praat een klant met een chatbot? Zeg dat het AI is. Publiceer je AI-content? Maak dat kenbaar. Dit is de kern van wat er op 2 augustus ingaat.
• Let op de uitzonderingen. Gebruik je AI om mensen te beoordelen, zoals bij werving of krediet, dan val je mogelijk onder de zware regels. Twijfel je? Laat het checken.

Wat je dus níét hoeft te doen, als je in de lichte categorie zit: geen dikke technische dossiers, geen CE-keuringen, geen registratie in een Europese database. Dat is allemaal voor de hoog-risico-systemen.

En die boete van 35 miljoen? (waarom je niet wakker hoeft te liggen)

Dat bedrag is echt, maar het wordt vaak verkeerd voorgesteld. De maximale boete van 35 miljoen euro of 7% van de jaaromzet geldt alleen voor het overtreden van de verboden praktijken (artikel 99 AI Act). Dat is de zwaarste categorie, die je als normaal bedrijf niet aanraakt.

Voor andere overtredingen liggen de maxima lager: tot 15 miljoen euro of 3% van de omzet. Voor lichtere zaken is het 7,5 miljoen of 1%. Ook daar geldt voor het MKB het laagste van het vaste bedrag of het percentage. Het zijn echte regels, geen kleine lettertjes, maar geen 35-miljoen-scenario. Houd je je aan de transparantieplicht, dan zit je goed.

Onze stelregel: een wet is geen reden voor paniek, wel voor overzicht. Weten waar je AI gebruikt en daar open over zijn, dekt voor de meeste ondernemers de lading. De rest is ruis.

Klaar met de paniekverhalen? Tijd om nuchter te automatiseren

Grote kans dat je na dit stuk geruster bent dan toen je begon. Mooi. Dan is dit het moment om te kijken welk saai, terugkerend werk je kunt laten verdwijnen. In onze audit kijken we waar automatisering het meeste oplevert, en checken we meteen of je AI-gebruik netjes binnen de regels valt. Geen juridisch advies, wel een nuchter beeld. Plan een gesprek en we zetten het op een rij.

Eén eerlijke kanttekening: dit stuk is een praktische uitleg, geen juridisch advies. Zit je in een grijs gebied, leg het dan ook even voor aan een jurist.

Veelgestelde vragen

Geldt de AI Act ook voor zzp'ers en kleine bedrijven?

Ja, de wet geldt voor iedereen die AI gebruikt. Maar de verplichtingen hangen af van hóé je AI inzet, niet van hoe groot je bent. Voor de meeste kleine bedrijven is dat gebruik licht, en dus zijn de verplichtingen dat ook.

Ik gebruik ChatGPT of Copilot. Moet ik nu iets doen?

Niet veel. Zorg dat je team weet wat het doet en waar de grenzen liggen, en wees open als je er klanten mee te woord staat. Let daarnaast op wat je erin plakt: gevoelige klant- of bedrijfsgegevens horen niet in een openbare AI-tool, los van deze wet.

Moet ik mijn AI ergens registreren?

Voor normaal gebruik niet. Registratie, keuringen en technische dossiers gelden alleen voor hoog-risico-systemen, zoals AI die sollicitanten selecteert of kredieten beoordeelt. Zit je daar niet in, dan hoef je niets te registreren.

Is de deadline van 2 augustus 2026 nu uitgesteld of niet?

Mogelijk. Europa heeft in mei 2026 een voorlopig akkoord gesloten om de zware regels voor hoog-risico-AI op te schuiven, richting eind 2027 en 2028. Dat akkoord is nog niet definitief vastgesteld. De transparantieplicht en het verbod op bepaalde toepassingen blijven hoe dan ook staan. Voor het MKB verandert er daardoor weinig.

Wie controleert dit in Nederland?

Niet één partij, maar een stelsel. Het kabinet bracht in april 2026 een uitvoeringswet in consultatie met een hybride model. Daarin krijgen zo'n tien markttoezichthouders een rol, met de Autoriteit Persoonsgegevens en de Rijksinspectie Digitale Infrastructuur (RDI) samen als coördinator. De RDI kijkt naar de techniek, de AP naar grondrechten en transparantie. De consultatie hierover liep tot 1 juni 2026; daarna stelt het kabinet de invulling definitief vast.

Tot slot

De AI Act klinkt als een berg, maar voor de meeste MKB'ers is het een drempeltje. Weet waar je AI gebruikt, wees er open over, en zorg dat je team snapt waar het mee werkt. Daarmee zit je voor 2 augustus goed.

De wet is uiteindelijk geen reden om AI links te laten liggen. Het is eerder een zetje om het netjes en bewust te doen. En dat is precies waar je toch al wil zitten als je aan de slag gaat met automatisering: met overzicht, niet met blind vertrouwen.

Bronnen

• Europese Commissie, Navigating the AI Act (tijdlijn en risicocategorieën), geraadpleegd 2026-05-25, https://digital-strategy.ec.europa.eu/en/faqs/navigating-ai-act
• Verordening (EU) 2024/1689 (AI Act), volledige tekst, EUR-Lex, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L_202401689
• Raad van de EU, Council and Parliament agree to simplify AI rules (Digital Omnibus), 7 mei 2026, https://www.consilium.europa.eu/en/press/press-releases/2026/05/07/artificial-intelligence-council-and-parliament-agree-to-simplify-and-streamline-rules/
• KVK, onderzoek: ondernemers zetten nauwelijks stappen rond Europese AI-wetgeving, 2025, https://www.kvk.nl/pers/kvk-onderzoek-ondernemers-zetten-nauwelijks-stappen-rond-europese-ai-wetgeving/
• Ondernemersplein (KVK), Regels voor het werken met veilige AI (AI-verordening), geraadpleegd 2026-05-25, https://ondernemersplein.kvk.nl/veiligheidsregels-voor-artificiele-intelligentie-ai-verordening/
• Autoriteit Persoonsgegevens, EU AI Act, geraadpleegd 2026-05-25, https://www.autoriteitpersoonsgegevens.nl/en/themes/algorithms-ai/eu-ai-act