AI Act verplichtingen voor MKB-bedrijven

AI Act: ook voor uw MKB-bedrijf

De EU AI Act wordt vaak geassocieerd met techgiganten en grote AI-ontwikkelaars, maar de verordening raakt ook het MKB. Of u nu AI-tools gebruikt in uw bedrijfsvoering, AI-functies integreert in uw producten of AI-diensten afneemt van derden — de AI Act legt u verplichtingen op.

Het goede nieuws: de verordening voorziet in proportionele maatregelen en vrijstellingen voor kleinere bedrijven. In dit artikel ontdekt u welke regels concreet op uw MKB-bedrijf van toepassing zijn.

De rollen onder de AI Act

Uw verplichtingen hangen af van uw rol ten opzichte van het AI-systeem:

| Rol | Beschrijving | Voorbeeld MKB | |---|---|---| | Aanbieder (provider) | Ontwikkelt of laat AI-systeem ontwikkelen | Softwarebedrijf dat AI-tool bouwt | | Gebruiker (deployer) | Zet AI-systeem in onder eigen verantwoordelijkheid | Webshop die AI-chatbot gebruikt | | Importeur | Brengt AI-systeem van buiten EU op de markt | Reseller van Amerikaanse AI-software | | Distributeur | Maakt AI-systeem beschikbaar op de markt | IT-groothandel |

De meeste MKB-bedrijven zijn gebruikers (deployers): zij nemen AI-diensten af en zetten deze in voor hun bedrijfsvoering.

MKB als AI-gebruiker: uw verplichtingen

Voor alle AI-systemen

Ongeacht het risiconiveau geldt:

1. Transparantie: als klanten of medewerkers met AI interageren, moet u dit melden
2. AVG-naleving: als de AI persoonsgegevens verwerkt, gelden alle AVG-verplichtingen onverkort
3. Labeling: AI-gegenereerde content (tekst, beeld, audio) moet als zodanig herkenbaar zijn

Voor hoog-risico AI

Als u hoog-risico AI-systemen inzet, komen daar verplichtingen bij:

• Gebruik volgens instructies — volg de documentatie van de aanbieder
• Menselijk toezicht — wijs competente personen aan die de AI-output controleren
• Inputkwaliteit — zorg dat de gegevens die u invoert relevant en correct zijn
• Monitoring — houd toezicht op de werking en rapporteer problemen aan de aanbieder
• Logboek — bewaar automatisch gegenereerde logs minimaal 6 maanden
• DPIA — voer een gegevensbescherming-effectbeoordeling uit als persoonsgegevens worden verwerkt

MKB als AI-aanbieder: verzwaarde eisen

Als uw MKB-bedrijf zelf AI ontwikkelt of in de markt zet, zijn de eisen strenger. Maar de AI Act biedt faciliteiten:

AI-sandboxes

De EU en lidstaten moeten regulatory sandboxes opzetten waar bedrijven AI-systemen kunnen testen in een gecontroleerde omgeving, met begeleiding van toezichthouders. Dit is vooral waardevol voor MKB dat innovatieve AI ontwikkelt.

Verlaging nalevingskosten

Voor MKB-aanbieders geldt:

• Proportionele kosten — conformiteitsbeoordelingen en documentatie-eisen worden aangepast aan bedrijfsgrootte
• Voorrang bij AI-sandboxes — MKB en startups krijgen prioritaire toegang
• Ondersteuning — lidstaten moeten MKB-specifieke informatie en begeleiding bieden

Verplichtingen blijven

Ondanks de faciliteiten gelden voor MKB-aanbieders van hoog-risico AI dezelfde kernverplichtingen als voor grote bedrijven:

• Risicobeheersysteem
• Data governance
• Technische documentatie
• Conformiteitsbeoordeling

Veelvoorkomende AI-toepassingen in het MKB

Zo classificeert de AI Act veelgebruikte tools:

| Toepassing | Risiconiveau | Verplichtingen | |---|---|---| | ChatGPT voor klantenservice | Beperkt risico | Transparantie (melden dat het AI is) | | AI-chatbot op website | Beperkt risico | Transparantie | | AI voor CV-screening | Hoog risico | Volledige hoog-risico compliance | | AI-vertaaltools | Minimaal risico | Geen specifieke eisen | | AI-creditscoring | Hoog risico | Volledige hoog-risico compliance | | AI-gegenereerde marketingteksten | Beperkt risico | Labeling als AI-content | | Gepersonaliseerde aanbevelingen | Minimaal risico* | Geen specifieke eisen | | AI-fraudedetectie | Hoog risico | Volledige hoog-risico compliance | | Spamfilter | Minimaal risico | Geen specifieke eisen | | AI-beeldgeneratie | Beperkt risico | Labeling als AI-content |

*Uitzondering: zeer grote platforms vallen onder de Digital Services Act.

General-Purpose AI (GPAI): ChatGPT & Co

Veel MKB-bedrijven gebruiken general-purpose AI-modellen zoals GPT-4, Claude, Gemini of Mistral. De AI Act legt verplichtingen op aan de aanbieders van deze modellen (OpenAI, Anthropic, etc.), niet aan de gebruikers.

Maar als u een GPAI-model integreert in een eigen product dat als hoog-risico kwalificeert, wordt u zelf aanbieder van een hoog-risico AI-systeem en gelden de bijbehorende verplichtingen.

Praktisch stappenplan voor MKB

Fase 1: Inventarisatie (nu starten)

1. Maak een lijst van alle AI-tools die u gebruikt of ontwikkelt
2. Bepaal uw rol per tool (aanbieder, gebruiker, distributeur)
3. Classificeer elke tool per risiconiveau

Fase 2: Gap-analyse (vóór deadline)

4. Vergelijk huidige praktijk met AI Act-vereisten per risiconiveau
5. Identificeer ontbrekende documentatie en processen
6. Beoordeel of uw AVG-compliance ook de AI-aspecten dekt

Fase 3: Implementatie (vóór handhaving)

7. Pas transparantiemaatregelen aan (melden AI-gebruik, labeling)
8. Implementeer menselijk toezicht voor hoog-risico systemen
9. Stel documentatie op (logging, risicoanalyse, monitoringprocedures)
10. Train medewerkers die AI-systemen bedienen

Kosten en baten

| Investering | Kosten (indicatief MKB) | Baten | |---|---|---| | AI-inventarisatie | 4-8 uur intern | Overzicht en controle | | Gap-analyse | 1-3 dagen (intern of extern) | Gericht actieplan | | Transparantiemaatregelen | Beperkt (aanpassing website/communicatie) | Klantvertrouwen | | Documentatie hoog-risico | Significant (afhankelijk van systeem) | Compliance + kwaliteitsverbetering | | Training medewerkers | 1-2 dagen per jaar | Verantwoord AI-gebruik |

Veelgestelde vragen

Moet ik als kleine webshop die ChatGPT gebruikt al iets doen? Ja, u moet klanten informeren dat zij met AI interageren (transparantieverplichting). Verder gelden de standaard AVG-regels als persoonsgegevens worden verwerkt.

Ik gebruik alleen AI-tools van grote aanbieders. Ben ik dan compliant? Niet automatisch. U bent verantwoordelijk voor hoe u de tool inzet. Bij hoog-risico toepassingen (bijv. CV-screening) heeft u als gebruiker eigen verplichtingen.

Wanneer moet ik beginnen? Nu. De verboden op onaanvaardbaar risico gelden al. Transparantieverplichtingen en GPAI-regels volgen in 2025, hoog-risico eisen in 2026.

Scan uw website gratis met WarDek — OWASP, NIS2, AVG, AI Act compliance in één scan.