De AI Act komt eraan. Wat moeten organisaties hier nu werkelijk mee?

Veel ondernemers hebben de afgelopen twee jaar stappen gezet met AI. ChatGPT wordt gebruikt voor offertes en content. Microsoft Copilot verschijnt in steeds meer organisaties. Medewerkers experimenteren met nieuwe tools en softwareleveranciers voegen AI-functionaliteiten toe aan bestaande systemen.

Tegelijkertijd merken we dat de meeste MKB-bedrijven nog nauwelijks bezig zijn met de AI Act.

Dat is begrijpelijk. Regelgeving rondom technologie voelt vaak als iets voor grote corporates, banken of overheden. Toch raakt de AI Act ook het Nederlandse MKB.

Niet omdat de meeste ondernemers zelf AI-systemen ontwikkelen, maar omdat vrijwel iedere organisatie die AI gebruikt onder de wet als gebruiker wordt gezien.

Wat is de AI Act?

De AI Act is Europese wetgeving die regels stelt aan het ontwikkelen en gebruiken van AI. De wet trad op 1 augustus 2024 in werking en wordt gefaseerd ingevoerd. De Europese Commissie heeft daarbij gekozen voor een risicogebaseerde aanpak. Hoe groter de impact van een AI-toepassing op mensen, hoe strenger de regels.

Voor de meeste MKB-bedrijven gaat het niet over het bouwen van AI-modellen. Het gaat over het gebruik van bestaande tools zoals ChatGPT, Copilot, Claude of AI-functionaliteiten binnen bestaande software.

Juist daarom is de vraag voor ondernemers relatief eenvoudig:

Hebben we voldoende inzicht in hoe AI binnen onze organisatie wordt gebruikt?

Wat geldt er nu al?

Sinds 2 februari 2025 zijn twee onderdelen van de AI Act al van kracht.

Ten eerste zijn bepaalde AI-toepassingen verboden. Denk aan systemen die mensen manipuleren of bepaalde vormen van social scoring. Voor de meeste MKB-bedrijven speelt dit nauwelijks.

Relevanter is de verplichting rondom AI-geletterdheid.

Organisaties moeten ervoor zorgen dat medewerkers die met AI werken voldoende kennis hebben om dit verantwoord te doen. De wet schrijft niet voor hoe dat moet. Een training, workshop, intern beleid of e-learning kan voldoende zijn. Wel moet je kunnen aantonen dat hier aandacht aan is besteed.

Wat verandert er op 2 augustus 2026?

Voor veel organisaties wordt dit de belangrijkste datum.

Vanaf dat moment worden aanvullende verplichtingen van toepassing voor verschillende categorieën AI-systemen.

Voor het gemiddelde MKB-bedrijf betekent dit vooral dat er meer aandacht nodig is voor governance en documentatie.

Praktisch gezien adviseren wij bedrijven om ten minste inzichtelijk te hebben:

• Welke AI-tools worden gebruikt

• Door welke afdelingen deze worden gebruikt

• Voor welk doel ze worden ingezet

• Welke gegevens erin worden verwerkt

• Wie verantwoordelijk is voor het gebruik

In de praktijk zien we dat veel organisaties dit overzicht nog niet hebben.

Marketing gebruikt andere tools dan HR. Sales gebruikt weer iets anders. Daarnaast worden steeds meer AI-functies automatisch toegevoegd aan bestaande softwarepakketten.

Daardoor ontstaat een situatie waarin AI op veel plekken aanwezig is zonder dat iemand het complete plaatje kent.

Wanneer wordt het echt serieus?

Voor bedrijven die AI gebruiken in HR-processen, personeelsselectie, kredietbeoordeling, onderwijs of bepaalde onderdelen van gezondheidszorg gelden strengere eisen.

Deze toepassingen kunnen onder de categorie hoog-risico AI vallen.

Dat betekent niet automatisch dat een organisatie iets verkeerd doet. Wel betekent het dat aanvullende documentatie, controles en risicoanalyses nodig kunnen zijn.

Voor veel MKB-bedrijven buiten deze sectoren blijft de impact relatief beperkt.

Dat neemt niet weg dat toezichthouders steeds vaker zullen verwachten dat organisaties kunnen uitleggen hoe zij AI gebruiken en welke maatregelen zij hebben genomen om risico's te beheersen.

Wat betekent dit voor jouw organisatie?

De meeste ondernemers hoeven geen jurist te worden.

Ze hoeven ook niet direct uitgebreide complianceprogramma's op te zetten.

Wat wel verstandig is, is om de basis op orde te brengen.

Maak inzichtelijk welke AI-tools binnen de organisatie worden gebruikt. Zorg dat medewerkers weten wat wel en niet wenselijk is. Leg vast wie verantwoordelijk is. Controleer of gevoelige informatie niet onbedoeld in publieke AI-systemen terechtkomt.

Dat zijn stappen die los van de AI Act al waardevol zijn.

Naarmate AI een grotere rol krijgt binnen processen, klantcontact en besluitvorming wordt overzicht simpelweg belangrijker.

Wat zien wij in de praktijk?

De meeste organisaties waar wij mee spreken hebben geen technologisch probleem.

De uitdaging zit meestal in adoptie, beleid en overzicht.

Er wordt volop geëxperimenteerd, maar vaak ontbreekt een gezamenlijke aanpak. Daardoor blijft de impact van AI kleiner dan mogelijk is en ontstaan onnodige risico's.

Juist daarom zien wij de AI Act vooral als een aanleiding om kritisch naar de eigen organisatie te kijken.

Niet vanuit angst voor boetes of regelgeving, maar vanuit de vraag hoe je AI op een verantwoorde en schaalbare manier onderdeel maakt van je bedrijfsvoering.

De bedrijven die daar nu mee beginnen, hebben straks niet alleen hun compliance beter op orde. Zij hebben meestal ook een duidelijker beeld van waar AI daadwerkelijk waarde toevoegt binnen hun organisatie.