EU AI Act augustus 2026 — wat MKB-bedrijven nu moeten regelen

De EU AI Act wordt per 2 augustus 2026 volledig van kracht. Als MKB-ondernemer moet je jouw AI-tools nu inventariseren, de risicocategorie bepalen en — afhankelijk van die categorie — aantonen dat je aan specifieke verplichtingen voldoet. Doe je niets, riskeer je boetes tot 35 miljoen euro of 7% van je wereldwijde omzet.

Waarom 2 augustus 2026 de kritieke datum is

De EU AI Act is op 1 augustus 2024 officieel in werking getreden, maar de regels worden stapsgewijs ingevoerd. Voor de meeste MKB-bedrijven zijn er drie data die ertoe doen:

• 2 februari 2025: Verbod op onacceptabele AI-toepassingen en verplichte AI-geletterdheid voor medewerkers die met AI werken
• 2 augustus 2025: Verplichtingen voor aanbieders van GPAI-modellen (denk: ChatGPT, Claude, Gemini)
• 2 augustus 2026: Volledige compliance verplicht voor hoog-risico AI-systemen

Die laatste datum is de meest ingrijpende voor het MKB. Vanaf dat moment is handhaving door nationale toezichthouders mogelijk. In Nederland wordt dat de Rijksdienst voor Digitale Infrastructuur (RDI), die bevoegd is om audits uit te voeren en boetes op te leggen.

De boodschap is simpel: je hebt geen jaren meer. Je hebt maanden. En de eerste stap is weten in welke risicocategorie jouw AI-gebruik valt.

Hoe je jouw AI-gebruik classificeert

De EU AI Act verdeelt AI-toepassingen in vier categorieën. Hoe hoger het risico, hoe zwaarder de verplichtingen.

Verboden AI (onacceptabel risico)

Dit is AI die nooit gebruikt mag worden — ongeacht de branche of het doel. Voorbeelden:

• Sociale scoresystemen die burgers beoordelen op basis van gedrag
• Real-time gezichtsherkenning in openbare ruimtes door overheidsinstanties
• AI die onderbewuste manipulatie inzet om gedrag te sturen
• Emotieherkenning op de werkvloer of in het onderwijs

Gebruik je dit soort AI? Dan ben je per direct in overtreding — dit verbod geldt al vanaf februari 2025.

Hoog-risico AI

Dit zijn systemen die directe invloed hebben op mensen in gevoelige situaties. Denk aan:

• HR en werving: algoritmes die sollicitanten screenen of beoordelingssoftware voor medewerkers
• Kredietbeoordeling: AI die leningaanvragen of kredietlimieten bepaalt
• Zorg en medische hulpmiddelen: diagnostische AI-tools en beslissingsondersteunende systemen
• Kritieke infrastructuur: AI die energie-, water- of transportsystemen aanstuurt
• Onderwijs: systemen die toetsen beoordelen of studenten selecteren

Als je als MKB-bedrijf hoog-risico AI inzet of aanbiedt, gelden de zwaarste verplichtingen.

Laag-risico en minimaal-risico AI

Dit is waar de meeste MKB-bedrijven vallen. Denk aan:

• ChatGPT of Claude gebruiken voor e-mails of offertes
• Een AI-chatbot op je website
• Marketing automation of contentgeneratie
• AI voor interne planning, rapportages of samenvatten

Voor deze categorie gelden vooral transparantieverplichtingen: als je een chatbot inzet die mensen te woord staat, moet die zich kenbaar maken als AI.

Concreet: welke verplichtingen gelden voor welke categorie

Voor verboden AI: stop onmiddellijk

Gebruik je een van de verboden toepassingen? Stop er mee. Dit risico is niet te managen met documentatie of procedures. Gebruik van verboden AI leidt direct tot de hoogste boetecategorie.

Voor hoog-risico AI: zware compliance-verplichtingen

Als jouw bedrijf hoog-risico AI inzet of ontwikkelt, gelden per augustus 2026 de volgende verplichtingen:

1. Risicomanagementsysteem: gedocumenteerde processen voor het identificeren en beheersen van risicos
2. Data governance: onderbouwing dat trainingsdata representatief, betrouwbaar en onbevooroordeeld is
3. Technische documentatie: beschrijving van het systeem, zijn beperkingen en de gebruikte algoritmes
4. Automatische logging: het systeem moet zijn eigen beslissingen bijhouden voor traceerbaarheid
5. Menselijk toezicht: er moet altijd een mens in de loop zijn die beslissingen kan overschrijven
6. Conformiteitsbeoordeling: afhankelijk van het type systeem, soms inclusief CE-markering
7. Registratie in EU-databank: voor bepaalde hoog-risico systemen verplicht

Praktische vraag voor MKB: ben je provider of gebruiker? Als je een kant-en-klaar HR-systeem met AI-functies gebruikt dat door een softwareleverancier wordt aangeboden, vallen veel verplichtingen bij die leverancier. Vraag je leveranciers nu al naar hun EU AI Act-compliance.

Voor laag-risico AI: transparantie volstaat

Gebruik je AI voor interne productiviteit, marketing of klantenservice zonder directe beslissingen over mensen? Dan zijn de verplichtingen beperkt:

• AI-chatbots moeten zichzelf kenbaar maken als AI
• AI-gegenereerde content moet als zodanig worden gelabeld waar nodig
• Medewerkers moeten basiskennis hebben van hoe het systeem werkt (verplicht sinds februari 2025)

Stapsgewijze compliance-checklist voor MKB

Heb je nog geen actie ondernomen? Begin hier:

Stap 1 — Inventariseer al je AI-tools

Maak een lijst van alle AI-systemen die je bedrijf gebruikt: van Microsoft Copilot tot een AI-recruitmenttool of een chatbot op je website. Vergeet ook de AI-functies in bestaande software niet — CRM, ERP en HR-systemen bevatten steeds vaker ingebouwde AI.

Stap 2 — Bepaal de risicocategorie

Gebruik je AI voor interne productiviteit en communicatie? Dan val je waarschijnlijk in de laag-risico categorie. Gebruik je AI voor personeelsbeslissingen, kredietbeoordeling of zorg? Dan is hoog-risico het uitgangspunt.

Stap 3 — Vraag je leveranciers om compliance-documentatie

Als je hoog-risico AI afneemt van een derde partij, is die leverancier verantwoordelijk voor een groot deel van de compliance. Vraag ze nu al: hebben jullie een conformiteitsverklaring? Zijn jullie geregistreerd in de EU-databank?

Stap 4 — Documenteer je eigen gebruik

Houd bij welke AI-systemen je gebruikt, voor welk doel, door wie, en welke beslissingen ermee worden genomen. Dit is zowel voor interne transparantie als bij een eventuele audit.

Stap 5 — Train je medewerkers

AI-geletterdheid is al wettelijk verplicht. Zorg dat medewerkers die AI-tools gebruiken begrijpen wat het systeem doet en wat de beperkingen zijn. Een korte interne sessie volstaat voor laag-risico gebruik.

Stap 6 — Stel een AI-verantwoordelijke aan

Wijs een persoon aan als aanspreekpunt voor AI-compliance. Dit hoeft geen voltijdsfunctie te zijn, maar er moet iemand zijn die het overzicht heeft en bij een audit het woord kan voeren.

Wat het kost als je wacht

De EU AI Act hanteert een gelaagd boetesysteem:

Voor kleine bedrijven en micro-ondernemingen geldt een lager plafond: de maximale boete wordt berekend als het laagste van beide bedragen. In de praktijk kunnen kleine bedrijven worden geconfronteerd met boetes tot 60.000 euro of hoger, afhankelijk van de ernst en categorie van de overtreding.

Naast boetes zijn er andere risicos:

• Reputatieschade als een AI-incident publiekelijk wordt
• Contractuele aansprakelijkheid als jouw AI-gebruik schade veroorzaakt bij klanten
• Operationele verstoring als systemen moeten worden stilgelegd bij non-compliance

Toezichthouders zullen naar verwachting beginnen met grotere bedrijven, maar de wetgeving geldt voor iedereen. Proactief handelen is goedkoper dan achteraf herstellen.

Hoe Unify AI je helpt compliant te worden

Bij Unify AI werken we uitsluitend met AI-toepassingen in de laag-risico en minimaal-risico categorie. We helpen MKB-bedrijven AI te implementeren op een manier die werkt — en die voldoet aan de EU AI Act.

Wat wij voor je doen:

• AI-inventarisatie: we brengen in kaart welke AI-tools je bedrijf gebruikt en in welke risicocategorie die vallen
• Implementatie van compliant AI-werkstromen: we bouwen op tools die transparant zijn over hun beperkingen en die menselijk toezicht inbouwen
• AI-geletterdheid voor je team: korte, praktische sessies zodat je medewerkers weten hoe ze AI verantwoord inzetten
• Documentatiehulp: we helpen je het gebruik van AI-tools te documenteren op een manier die bij een audit standhoudt

Je hoeft de EU AI Act niet alleen te navigeren. Neem contact op via connect@unify-ai.nl en we kijken samen wat er nodig is voor jouw bedrijf.

Veelgestelde vragen

Geldt de EU AI Act ook voor mijn bedrijf als ik alleen ChatGPT gebruik?

Ja, maar de verplichtingen zijn minimaal. Als je ChatGPT gebruikt voor interne taken zoals e-mails schrijven of samenvatten, val je in de minimaal-risico categorie. De belangrijkste verplichting is AI-geletterdheid voor medewerkers: ze moeten begrijpen wat het systeem doet en wat de beperkingen zijn.

We gebruiken een HR-systeem met AI-functies. Moeten wij dat zelf compliant maken?

Niet volledig. Als je een systeem afneemt van een softwareleverancier, is die leverancier primair verantwoordelijk voor de technische compliance van het AI-model. Jij bent als gebruiker verantwoordelijk voor het documenteren van je gebruik en het inbouwen van menselijk toezicht bij beslissingen over mensen. Vraag je leverancier nu naar hun EU AI Act-status.

Wat is de boete voor een klein bedrijf dat niet compliant is?

Voor kleine bedrijven geldt het laagste van twee bedragen: het vaste maximumbedrag of het percentage van de jaaromzet. In de praktijk liggen boetes voor kleine bedrijven bij niet-kritieke overtredingen in de orde van 60.000 euro, maar bij gebruik van verboden AI loopt dat significant op.

Moet ik een AI-beleid op papier hebben?

Voor hoog-risico AI is uitgebreide documentatie verplicht. Voor laag-risico gebruik volstaat een kort intern document dat beschrijft welke tools je gebruikt, voor welk doel, en wie er toezicht op houdt. Het hoeft geen juridisch document te zijn — het gaat erom dat je het kunt aantonen bij een inspectie.

Wanneer moet ik dit geregeld hebben?

De harde deadline is 2 augustus 2026. Voor verboden AI geldt dat al per 2 februari 2025. De AI-geletterdheidsplicht voor medewerkers geldt eveneens al vanaf februari 2025. Wacht niet tot augustus — begin nu met de inventarisatie zodat je genoeg tijd hebt om te corrigeren waar nodig.