De Europese AI-Verordening (de AI Act) gaat per 2 augustus 2027 volledig van kracht. Voor veel ondernemers voelt dat ver weg en abstract. Maar drie verplichtingen zijn al ingegaan en raken het MKB nu al direct — ook als je nog niets met AI doet behalve ChatGPT. We zien in klantgesprekken dat dit precies de plek is waar bedrijven struikelen: niet over de boetes per 2027, maar over de regels die nu al gelden.
AI-Verordening fasering
- 2 feb 2025AI-geletterdheid van personeel verplichtMedewerkers die met AI werken moeten aantoonbaar geletterd zijn. Plus: zes specifieke AI-toepassingen verboden.
- 2 aug 2025Regels voor general-purpose AI-modellenAanbieders van GPAI (zoals Anthropic, OpenAI) krijgen documentatie- en transparantieplicht. Voor MKB: indirect relevant via je leveranciers.
- VandaagInventarisatie + geletterdheid-document opzettenWat je nu kunt vastleggen om over twee jaar niet vanuit nul te beginnen.
- Per 2 aug 2027Volledige AI-Verordening van krachtHoog-risico-systemen vereisen formele documentatie, risico-beheer, menselijk toezicht en in veel gevallen een conformiteits-beoordeling.
Al actief sinds februari 2025: AI-geletterdheid van personeel
Sinds 2 februari 2025 zijn organisaties verplicht ervoor te zorgen dat medewerkers die met AI-systemen werken, AI-geletterd zijn. Geen specifieke certificering, wel een aantoonbare vorm van basiskennis: wat doet het systeem, wat zijn de risico's, hoe herkennen ze fouten.
In de praktijk betekent dit: als je medewerkers met ChatGPT, Copilot of een andere AI-tool werken, moet je een korte interne briefing of training hebben gegeven. Dat hoeft geen formele cursus te zijn. Een document plus een werksessie volstaat doorgaans, mits je kunt onderbouwen wat erin stond. Bron: Autoriteit Persoonsgegevens.
Ook al verboden: zes specifieke AI-toepassingen
Dezelfde datum gold het verbod op een aantal AI-systemen met onaanvaardbaar risico. Voorbeelden: AI die kwetsbaarheden van mensen uitbuit (manipulatieve advertenties), social-scoring-systemen, en bepaalde vormen van biometrische categorisatie.
Voor het Nederlandse MKB raakt dit zelden direct — we kopen die systemen niet snel. Wel relevant: als je een leverancier inzet die zo'n systeem aanbiedt, ben je medeverantwoordelijk. Dus voor wie buitenlandse marketing- of HR-tools inschakelt is een korte controle van de leverancier nu al verstandig.
Wat per 2027 echt anders wordt: hoog-risico-systemen
Per 2 augustus 2027 wordt het volledige raamwerk van kracht voor zogenaamde hoog-risico-AI-systemen. Dat zijn systemen die worden ingezet bij bijvoorbeeld:
- Werving en selectie (CV-screening, AI-interviews)
- Toelating tot onderwijs of examineren
- Kredietbeoordeling en verzekeringspremies
- Toegang tot publieke voorzieningen
- Bepaalde vormen van biometrische identificatie
- Kritieke infrastructuur
Voor een hoog-risico-systeem geldt dan: documentatieplicht, risico-beheer-systeem, menselijk toezicht, transparantie, en in veel gevallen een formele conformiteits-beoordeling vóór ingebruikname. Voor het MKB is werving en selectie de meest waarschijnlijke trigger — AI-CV-screening valt hier al onder als je het gebruikt om kandidaten te filteren.
“Als je nu CV-screening met AI doet, zit je over 27 maanden op een hoog-risico-systeem dat formeel gedocumenteerd moet zijn. Dat regel je niet in twee weken.”
Wat moet je dan vandaag al regelen?
Drie acties die we klanten op dit moment adviseren in onze AI-implementatietrajecten:
1. AI-inventarisatie. Schrijf op welke AI-systemen je gebruikt, ook de verborgen ones. ChatGPT-gebruik door medewerkers, AI-features in CRM en boekhoud-software, AI in marketing-tools. Veel bedrijven onderschatten dit: een gemiddeld MKB-bedrijf gebruikt zes tot tien AI-systemen verspreid over verschillende leveranciers.
2. AI-geletterdheid-document. Eén A4-document waarin staat: welke AI-tools we gebruiken, welke risico's eraan zitten, hoe medewerkers ze veilig gebruiken, wat ze niet mogen invoeren (klantdata, persoonsgegevens). Plus de korte briefing-sessie waarin je dat met het team doorneemt. Dit dekt de feb-2025-verplichting.
3. Mapping per gebruik. Per AI-tool: laag-risico (admin), midden (klantcontact), of mogelijk hoog-risico (HR, krediet, screening). Voor de hoog-risico- gebruiksgevallen begin je nu met documentatie verzamelen — niet om aan de AI-Verordening te voldoen vandaag, maar om over twee jaar niet vanuit nul te hoeven beginnen.
Een handige aanvulling: in onze kennisbank staat een interactieve risico-classificator waarmee je per use-case kunt checken in welk regime je valt. Bekijk de AI Act compliance-gids voor MKB.
Wat niet helpt: paniek
De AI Act is geen AVG-niveau-shockwave. De handhaving wordt geleidelijk opgebouwd, en de Autoriteit Persoonsgegevens richt zich eerst op grote organisaties en op hoog-risico-toepassingen. MKB-bedrijven die hun huiswerk gemaakt hebben — inventarisatie, geletterdheid-document, mapping — zitten redelijk goed.
Wat wél helpt: het werk verspreiden over een paar maanden in plaats van het uit te stellen tot juli 2027. Geen bureau-traject nodig, geen externe consultant verplicht. Voor de meeste MKB-bedrijven is dit een opdracht voor een eigen medewerker met een ochtend per maand. Bij twijfel over je specifieke situatie kun je contact opnemen voor een korte sparring-sessie — geen offerte-traject, gewoon één gesprek om je situatie scherp te krijgen.
Verder lezen in de kennisbank
EU AI Act compliance voor MKB — Wat moet je in 2026 doen?
Vier risicoklassen, een interactieve classificatietool, deadlines en een 8-puntenchecklist. Werkbaar overzicht voor het MKB — geen juristenjargon.
Lees verderKennisbankAVG en AI — Hoe ga je veilig om met klantdata in 2026?
Praktische gids voor AVG-compliant AI-gebruik in het MKB. Vier valkuilen, 10-puntencheck en concrete acties voor deze week.
Lees verderKennisbankAI-strategie voor MKB — De vier bouwstenen op één A4
Werkbaar strategiekader voor het MKB met interactieve volwassenheidstest, vier bouwstenen en een Word-template. Geen 80-slide consulting-deck.
Lees verder