Slechts zeven procent van de Nederlandse ondernemers is goed op de hoogte van de EU AI Act, blijkt uit recent KVK-onderzoek. Dat is opmerkelijk, want vanaf 2 augustus 2026 beginnen Nederlandse toezichthouders met handhaven. De boetes lopen op tot 35 miljoen euro of 7 procent van de wereldwijde jaaromzet. En toch — voor de meeste MKB-bedrijven is het werk om compliant te zijn beperkter dan die getallen doen vermoeden.
De Europese AI-verordening trad op 1 augustus 2024 in werking. Hij wordt gefaseerd ingevoerd, en 2 augustus 2026 is de eerste dag dat Nederlandse markttoezichthouders concreet kunnen optreden bij overtredingen. Maar wat geldt er dan eigenlijk? En wat verandert er ten opzichte van de regels die al sinds februari 2025 van kracht zijn?
In dit artikel zetten we op een rij wat er op 2 augustus 2026 verandert, voor wie het geldt, welke verplichtingen direct relevant zijn voor het MKB, en welke deadlines zijn verschoven door het Digital Omnibus-pakket dat in mei 2026 werd afgesproken. Geen juridisch jargon — gewoon wat je moet weten.
Inhoudsopgave
Wat is de EU AI Act?
De EU AI Act, officieel de Europese AI-verordening, is de eerste uitgebreide wet over kunstmatige intelligentie ter wereld. Hij geldt direct in alle EU-lidstaten. Er komt geen aparte Nederlandse uitwerking — wat in Brussel is afgesproken, geldt hier vanaf de afgesproken datums.
De wet werkt met een risicogerichte benadering. Hoe groter het potentiële risico van een AI-systeem voor mensen en hun grondrechten, hoe strenger de eisen. De verordening geldt voor twee groepen:
- Aanbieders (providers): bedrijven die AI-systemen ontwikkelen en op de markt brengen, zoals OpenAI, Anthropic, Microsoft en Google.
- Gebruiksverantwoordelijken (deployers): bedrijven die AI inzetten in hun werkprocessen. Voor het overgrote deel van het Nederlandse MKB is dit de relevante categorie.
Ben je accountant en gebruik je Microsoft Copilot om aangiften samen te vatten? Dan ben je deployer. Microsoft is de aanbieder en regelt de technische compliance van Copilot zelf. Maar als deployer heb je eigen verplichtingen.
Wat verandert er op 2 augustus 2026?
Op deze datum gebeuren drie dingen:
1. Nederlandse toezichthouders kunnen handhaven
Tot nu toe was er weliswaar regelgeving, maar nog geen actieve handhaving door Nederlandse autoriteiten. Vanaf 2 augustus 2026 mag de Autoriteit Persoonsgegevens (AP), aangewezen als coördinerend toezichthouder, klachten onderzoeken en boetes opleggen voor overtreding van Artikel 4 (AI-geletterdheid) en Artikel 5 (verboden AI-praktijken).
2. Transparantieverplichtingen worden bindend
Artikel 50 wordt van kracht. Bedrijven moeten klanten duidelijk maken wanneer ze met AI te maken hebben. Een chatbot op je website moet zich kenbaar maken als AI-systeem, en AI-gegenereerde content (zoals deepfakes en synthetische afbeeldingen) moet als zodanig gelabeld zijn. Een vermelding in de algemene voorwaarden is daarvoor niet voldoende — de informatie moet duidelijk en op het moment van interactie zichtbaar zijn.
3. Watermerken op generatieve AI
Voor bestaande generatieve AI-systemen geldt vanaf 2 augustus 2026 een overgangstermijn tot 2 december 2026 om watermerken in te bouwen op gegenereerde content.
Wat niet verandert op 2 augustus 2026: de zwaarste verplichtingen voor hoog-risico AI-systemen. Die zijn uitgesteld — meer daarover verderop.
De vier risicocategorieën
De AI Act deelt systemen in op basis van risico. Vier categorieën, oplopend in striktheid:
Onaanvaardbaar risico (verboden)
Sinds 2 februari 2025 verboden. Het gaat om AI die menselijk gedrag manipulatief beïnvloedt, misbruik maakt van kwetsbare personen, of bedoeld is voor sociale scoring door overheden. Voor het reguliere MKB nauwelijks relevant — tenzij je een AI-tool overweegt waarvan je het ethische randje niet kunt overzien.
Hoog risico
AI in werving en personeelsbeoordeling, kredietverlening, onderwijs, biometrie, kritieke infrastructuur en rechtshandhaving. Hier komen verplichtingen rond conformiteitsbeoordeling, documentatie, menselijk toezicht en registratie in een EU-databank. Dit is de categorie die door het Digital Omnibus-pakket is uitgesteld.
Beperkt risico
Chatbots, virtuele assistenten, AI-gegenereerde content. Hier geldt vooral transparantie: gebruikers moeten weten dat ze met AI van doen hebben. Vanaf 2 augustus 2026 wordt dit afgedwongen.
Minimaal risico
Het overgrote deel van AI-toepassingen valt hierin: spamfilters, AI-functies in standaard kantoorsoftware, autocomplete in e-mails. Geen specifieke verplichtingen, behalve de algemene plicht tot AI-geletterdheid van medewerkers.
Geldt de AI Act voor mijn bedrijf?
Vrijwel zeker ja, als je AI gebruikt. En dat doe je waarschijnlijk meer dan je denkt.
De gemiddelde MKB-ondernemer gebruikt minstens een handvol AI-tools zonder zich daar volledig bewust van te zijn. ChatGPT of Claude om teksten te schrijven. Microsoft Copilot ingebouwd in Word en Outlook. AI-functies in het boekhoudpakket of CRM. LinkedIn Recruiter voor kandidaatselectie. AI-chatbots op de eigen website. Grammarly of DeepL voor vertalingen. Een goed onderbouwde rondvraag op kantoor laat vrijwel altijd zien dat AI breder wordt ingezet dan management vermoedt.
Twee misverstanden om weg te nemen:
“De AI Act is alleen voor grote bedrijven.” Onjuist. Er zijn enkele MKB-uitzonderingen rond administratieve last bij hoog-risico AI, maar de kernregels gelden voor iedere onderneming.
“Wij ontwikkelen geen AI, dus we hoeven niets te doen.” Onjuist. Als gebruiksverantwoordelijke heb je zelfstandige verplichtingen — ook al heb je de tool niet gebouwd. De leverancier zorgt voor zijn deel. Jij voor het jouwe.
Het Digital Omnibus-pakket: wat is uitgesteld?
Op 7 mei 2026 bereikten de Europese Raad en het Parlement een voorlopig akkoord over het Digital Omnibus-pakket. Daarmee zijn enkele zware verplichtingen uitgesteld:
- Hoog-risico AI uit Bijlage III: van 2 augustus 2026 naar 2 december 2027 (zestien maanden later)
- Hoog-risico AI in gereguleerde producten (Bijlage I): van 2 augustus 2027 naar 2 augustus 2028
- Formulering Artikel 4: licht versoepeld — organisaties moeten “maatregelen nemen om” AI-geletterdheid te bevorderen, niet langer die “waarborgen”
Wat niet is verschoven: de ingangsdatum van de AI-geletterdheidsplicht (2 februari 2025) en het startmoment van handhaving (2 augustus 2026).
Belangrijk om te begrijpen: het Digital Omnibus is geen vrijbrief om af te wachten. De AI-geletterdheid is sinds 2 februari 2025 een wettelijke plicht. Organisaties die nu nog niets hebben geregeld, zijn formeel al in overtreding. De handhaving start alleen vanaf augustus 2026.
De drie verplichtingen die elk MKB nu al raken
Voor het overgrote deel van Nederlandse MKB-bedrijven gelden drie concrete verplichtingen vanaf de zomer:
1. AI-geletterdheid (Artikel 4)
Medewerkers die met AI werken moeten aantoonbaar weten hoe het werkt, wat de beperkingen zijn en welke risico’s eraan kleven. De wet schrijft geen specifieke cursus, geen vast aantal uren en geen verplicht certificaat voor. Het gaat om een “passend niveau” — afhankelijk van rol, taken en gebruikssituatie.
Wat in de praktijk werkt:
- Een basistraining (e-learning of een kort interne sessie) voor iedereen die AI gebruikt
- Rolspecifieke verdieping voor intensieve gebruikers
- Documentatie van wie wat heeft gevolgd
- Jaarlijkse herijking — AI verandert snel
Voor MKB-bedrijven die scholing willen financieren: de SLIM-subsidie vergoedt sinds 2026 ook AI-geletterdheidstraining.
2. Intern AI-beleid
Een document dat beschrijft hoe jouw organisatie omgaat met AI. Wie mag wat gebruiken? Welke data mag in welke tool? Hoe borg je kwaliteit? Wat doe je als er iets misgaat?
Voor de meeste MKB-bedrijven is een A4-document voldoende. Wel duidelijk en concreet.
3. Transparantie naar klanten
Vanaf 2 augustus 2026 moet je melden wanneer een klant interacteert met AI. Dat raakt vooral bedrijven met:
- AI-chatbots op de website (duidelijke melding boven of in het chatvenster)
- AI-gegenereerde content (afbeeldingen, video’s, audiofragmenten — labelen als zodanig)
- Klantcommunicatie waarbij AI antwoorden formuleert (bijvoorbeeld bij e-mail templates)
Een vermelding in de algemene voorwaarden is niet voldoende. De informatie moet zichtbaar zijn op het moment van interactie.
Wie houdt in Nederland toezicht?
In Nederland zijn tien toezichthouders aangewezen voor verschillende aspecten van de AI Act. De Autoriteit Persoonsgegevens is coördinerend toezichthouder en aanspreekpunt. Voor technische eisen werkt de AP samen met de Rijksinspectie Digitale Infrastructuur (RDI).
De Autoriteit Consument & Markt houdt zich bezig met AI in commerciële context, en sectorale toezichthouders (zoals DNB voor de financiële sector) hebben hun eigen rol.
Voor algemene AI-modellen (zoals ChatGPT, Claude, Gemini) ligt de handhaving op Europees niveau, bij het Europees AI Office. Nationale toezichthouders gaan daar niet over.
De boetes: wat staat er op het spel?
De AI Act kent een gelaagd boetesysteem. Per overtreding geldt het hoogste van twee bedragen:
| Type overtreding | Maximumboete |
|---|---|
| Verboden AI-praktijken (Art. 5) | €35 miljoen of 7% wereldwijde omzet |
| Niet-naleving hoog-risico verplichtingen | €15 miljoen of 3% omzet |
| Onjuiste informatie aan toezichthouders | €7,5 miljoen of 1,5% omzet |
Voor kleine en middelgrote bedrijven en startups geldt een uitzondering: zij krijgen het laagste van de twee bedragen opgelegd. Toch zijn de praktische consequenties stevig. Een bedrijf met €2 miljoen omzet riskeert bij een ernstige overtreding een boete van €140.000.
Naast boetes zijn er twee andere serieuze risico’s: contractverlies (grote opdrachtgevers en verzekeraars eisen sinds 2026 steeds vaker aantoonbaar AI-beleid van leveranciers) en reputatieschade (een datalek via een AI-tool die een medewerker stiekem gebruikte leidt tot verplichte melding bij de AP en mogelijke publicatie).
Een praktisch stappenplan voor de komende weken
Heb je nog niets gedaan? Dan is dit een werkbare aanpak voor de zomer:
Week 1: AI-inventarisatie
Maak een lijst van alle AI-tools die in het bedrijf worden gebruikt. Vraag medewerkers expliciet uit — vaak gebruiken zij meer AI dan management vermoedt. Denk breed: ChatGPT, Claude, Copilot, Gemini, AI in boekhoudpakketten, CRM, e-mail marketing, recruitmenttools, customer service software.
Week 2: Risicoclassificatie
Bepaal per tool of het minimaal risico, beperkt risico, of hoog risico is. De gratis classificatietool van het ministerie kan helpen. Het overgrote deel valt in “minimaal” of “beperkt”.
Week 3: Basisbeleid en register
Schrijf één A4 AI-beleid: welke tools mogen, welke data daarin, wie verantwoordelijk. Maak een AI-register dat per tool naam, doel, aanbieder, risiconiveau en data-soort vastlegt.
Week 4: AI-geletterdheid en transparantie
Plan basistraining voor medewerkers (e-learning of intern). Documenteer wie wat heeft gevolgd. Pas chatbots en AI-content aan zodat ze als AI worden gemeld.
Klaar binnen de maand. Voor het overgrote deel van Nederlandse MKB-bedrijven volstaat dit niveau ruimschoots om compliant te zijn bij start van handhaving.
Lees ook
- AI bedrijven in Nederland: overzicht van toonaangevende spelers in 2026
- Cybersecurity voor MKB en ondernemers: de complete gids
- NIS2 / Cyberbeveiligingswet: wat verandert er voor Nederlandse bedrijven
- Cyberverzekering voor bedrijven: wat dekt het en wanneer kies je ervoor?
- Bestuurdersaansprakelijkheidsverzekering (D&O)
Veelgestelde vragen
Geldt de EU AI Act ook voor mijn MKB-bedrijf als we alleen ChatGPT of Copilot gebruiken?
Ja. Zodra medewerkers AI-tools gebruiken, is je organisatie gebruiksverantwoordelijke onder de AI Act. Het maakt niet uit dat je de AI niet zelf hebt gebouwd. Ook bedrijven gevestigd buiten de EU vallen onder de wet zodra hun AI of de uitkomsten ervan in de EU worden gebruikt.
Wat is het verschil tussen aanbieder en gebruiksverantwoordelijke?
Een aanbieder is de partij die een AI-systeem ontwikkelt en op de markt brengt (OpenAI, Microsoft, Google). Een gebruiksverantwoordelijke is een organisatie die zo’n systeem inzet in haar werk. De meeste MKB-bedrijven zijn gebruiksverantwoordelijke. Daar gelden lichtere eisen voor dan voor aanbieders.
Welke training is verplicht voor AI-geletterdheid?
De wet schrijft geen specifieke training, geen vast aantal uren en geen verplicht certificaat voor. Het gaat om een “passend niveau” dat aansluit bij de rol en taken van de medewerker. In de praktijk werkt een basistraining voor iedereen die AI gebruikt, plus rolspecifieke verdieping voor intensieve gebruikers. Documentatie is essentieel — toezichthouders willen zien dat er beleid is en dat het wordt nageleefd.
Moet ik mijn AI-chatbot aanpassen?
Vanaf 2 augustus 2026 ja. Een chatbot moet zichzelf kenbaar maken als AI. Dat kan met een duidelijke melding boven het chatvenster, in de openingsboodschap, of naast de naam van de chatbot. Een vermelding alleen in de algemene voorwaarden is niet voldoende.
Zijn de zwaarste verplichtingen niet uitgesteld?
Voor hoog-risico AI-systemen (Bijlage III) inderdaad — die deadline is verschoven van 2 augustus 2026 naar 2 december 2027. Maar de drie verplichtingen die voor het MKB direct relevant zijn — AI-geletterdheid, transparantie en het verbod op bepaalde praktijken — gelden gewoon vanaf augustus 2026. Het uitstel is geen reden om af te wachten.
Wat als ik niets doe?
Vanaf 2 augustus 2026 kan de Autoriteit Persoonsgegevens optreden bij klachten of bevindingen. De eerste handhavingsacties zullen vermoedelijk naar duidelijke overtreders gaan — bedrijven die verboden AI gebruiken of die helemaal geen beleid hebben rond hoog-risico AI. Maar na een klacht kan ook een MKB-bedrijf worden onderzocht. Het risico is reëel, vooral als grote opdrachtgevers in aanbestedingen om AI-beleid gaan vragen.
Waar vind ik officiële informatie?
De Autoriteit Persoonsgegevens heeft een speciale pagina over de AI Act op autoriteitpersoonsgegevens.nl. Het ministerie van Binnenlandse Zaken biedt het Algoritmekader met een gratis classificatietool. Voor het MKB heeft ondernemersplein.overheid.nl een toegankelijk overzicht.
