Nieuws Tips
13 minuten

AI en de EU AI Act: Waar moet je als MKB op letten?

De Europese AI-wetgeving, beter bekend als de EU AI Act, is officieel van kracht en de bijbehorende deadlines komen snel dichterbij. Veel kleine en middelgrote ondernemers denken ten onrechte dat deze wet alleen bedoeld is voor techgiganten zoals Google of OpenAI. Dit is een gevaarlijke misvatting. De nieuwe regels gelden voor elk bedrijf dat AI-systemen inzet, aanbiedt of integreert binnen de Europese Unie. In dit blog vertalen we de complexe juridische wetteksten naar de dagelijkse praktijk van het MKB. Zo leg je direct de basis voor een veilige en toekomstbestendige AI-strategie.

Bo Pennings Geschreven door
Meer over Bo
Een consultant van Wux AI zit glimlachend aan een houten vergadertafel met een laptop tijdens een strategisch adviesgesprek over de AVG en AI-wetgeving.

Het fundament van de wet

De EU AI Act is niet ontworpen om innovatie te blokkeren. De wet wil juist burgers beschermen tegen de gevaren van oncontroleerbare technologie. Om dit behapbaar te maken, hanteert de Europese Unie een risicogebaseerde aanpak. Dit betekent dat de wetgeving AI-systemen niet over één kam scheert. De regels zijn gekoppeld aan de mate van risico die een systeem vormt voor de veiligheid, grondrechten en privacy van mensen. Hoe groter het potentiële risico voor de maatschappij, hoe strenger de regels en hoe intensiever de controleplicht.

Voor het MKB is deze opdeling goed nieuws. Het betekent dat je niet direct aan loodzware administratieve eisen hoeft te voldoen als je simpelweg teksten genereert of een spamfilter gebruikt. De wet deelt AI op in vier duidelijke risicocategorieën: onacceptabel, hoog, beperkt en minimaal. Als ondernemer moet je van elke gebruikte tool weten in welke categorie deze valt. Alleen op die manier kun je bepalen welke acties er van jouw team worden vereist om aan de wet te voldoen.

Waar valt jouw MKB-tool onder?

Om de wetgeving concreet te maken, moeten we kijken naar de specifieke software die dagelijks binnen je bedrijf wordt opgestart. De wet maakt hierin een heel scherp onderscheid tussen onschuldige hulpmiddelen en systemen met een grote impact op mensenlevens.

Systemen die simpelweg verboden zijn

Binnen deze eerste categorie vallen systemen die een duidelijke bedreiging vormen voor de veiligheid en de rechten van EU-burgers. Denk hierbij aan software voor sociale scoringssystemen door overheden, of AI die menselijk gedrag op een manipulatieve manier beïnvloedt. Ook biometrische identificatie in de openbare ruimte valt hieronder. In de reguliere MKB-praktijk zul je deze systemen gelukkig nooit tegenkomen. De wet is hier heel kort over: deze technologie is binnen de Europese Unie strikt verboden.

Software met een grote impact en strenge regels

Dit is de categorie waar je als MKB-ondernemer extreem goed op moet letten. AI-systemen worden als ‘hoog risico’ bestempeld als ze worden ingezet in cruciale sectoren zoals de gezondheidszorg, het onderwijs, de infrastructuur of de rechtspraak. In het MKB vallen hier met name tools onder die gebruikt worden voor personeelsbeheer en werving en selectie. Gebruik je een slimme AI-tool die automatisch cv’s scant, sollicitanten beoordeelt of de prestaties van je werknemers analyseert? Dan werk je met een hoog-risico AI-systeem.

De wet stelt strenge eisen aan deze categorie. Je bent verplicht om te zorgen voor hoogwaardige trainingsdata om discriminatie en bias te voorkomen. Daarnaast moet er gedetailleerde technische documentatie aanwezig zijn en moet het systeem transparant werken. De belangrijkste eis is misschien wel de verplichte ‘human-in-the-loop’. Dit betekent dat een menselijk oog altijd de uiteindelijke beslissing moet kunnen controleren en overruilen.

De tools voor dagelijks gebruik en de transparantieplicht

Onder deze categorie vallen de systemen die we tegenwoordig bijna allemaal gebruiken. Denk aan generatieve AI-modellen zoals ChatGPT, Microsoft Copilot of Midjourney om teksten en afbeeldingen te genereren. Ook de slimme chatbots op de klantenservice van je website vallen onder dit niveau. Het risico voor de mensheid is hier relatief laag, waardoor de wetgeving mild is. Er is echter wel één harde eis: de transparantieplicht.

De wet eist dat gebruikers altijd weten wanneer ze met een AI-systeem te maken hebben. Communiceert een klant met een chatbot op jouw website? Dan moet dit expliciet vermeld worden. Worden er AI-gegenereerde deepfakes of teksten gepubliceerd die als echt bedoeld zijn? Dan moet er een duidelijke melding of watermerk bij staan. De gebruiker heeft het wettelijke recht om te weten dat er technologie in het spel is.

Vrijgesteld van wet- en regelgeving

De laatste categorie omvat AI-toepassingen die geen of nauwelijks risico met zich meebrengen. Denk hierbij aan de AI-gestuurde spamfilters in je mailbox, de slimme spellingcheckers in je tekstverwerker of AI-functies in videogames. De EU AI Act legt deze systemen geen enkele strobreed in de weg. Je kunt deze tools als MKB-bedrijf blijven gebruiken zonder dat je rekening hoeft te houden met wettelijke verplichtingen of administratieve rompslomp.

Een ontwikkelaar van Wux AI analyseert backend code op een monitor om een veilige AI-integratie te bouwen die voldoet aan de EU AI Act.

Ken het verschil tussen AI gebruiken en AI bouwen

Voordat je een actieplan opstelt, moet je jouw rol in de keten bepalen. De wet maakt namelijk een cruciaal verschil tussen de partij die de AI bouwt en de partij die de AI inzet. De verplichtingen en de aansprakelijkheid verschillen per rol enorm.

De overgrote meerderheid van het MKB valt onder de categorie ‘gebruikers’, in de wet ook wel deployers genoemd. Je koopt of gebruikt een tool van een externe leverancier, zoals een marketingplatform of een HR-pakket. Als gebruiker ben je primair verantwoordelijk voor het volgen van de gebruiksinstructies van de leverancier. Je moet zorgen dat de invoerdata correct is en je moet voldoen aan de eventuele transparantieplicht naar je klanten toe. Om dit voor je hele team in één keer goed in te richten, kiezen veel MKB-bedrijven voor een centraal en beveiligd AI-platform. Hiermee behoud je als organisatie de volledige controle en weet je zeker dat iedereen binnen de legale kaders werkt.

Je wordt echter een ‘aanbieder’ (provider) als je zelf een AI-tool ontwikkelt en deze commercieel op de markt brengt. Let hierbij goed op: je wordt door de wet ook als aanbieder gezien als je een bestaand open source-model pakt en dit zo ingrijpend aanpast of finetuned dat het onder je eigen merknaam als een nieuw product aan klanten wordt geleverd. Als aanbieder draag je de volledige juridische last van de EU AI Act. Dit betekent dat jij verantwoordelijk bent voor de conformiteitsbeoordelingen, de CE-markering en de registratie in de EU-database.

Wat merkt jouw team op de werkvloer?

De EU AI Act is geen abstract feestje voor de IT-afdeling alleen. De wet heeft directe gevolgen voor de dagelijkse operatie van verschillende teams binnen je MKB-bedrijf. We lichten de drie belangrijkste afdelingen uit.

HR moet de controle houden over het selectieproces

Zoals eerder besproken vallen veel AI-toepassingen binnen HR onder de hoog-risicocategorie. Dit heeft een enorme impact op hoe je talent aantrekt en beoordeelt. Als jouw HR-team software gebruikt die automatisch cv’s rangschikt op basis van trefwoorden, moet je direct in actie komen. Je moet bij de leverancier van deze software opvragen of de tool volledig compliant is met de EU AI Act.

Je moet kunnen aantonen dat het algoritme niet discrimineert op basis van geslacht, afkomst of leeftijd. Daarnaast moet je HR-medewerker getraind worden om de resultaten handmatig te controleren. Een afwijzing van een kandidaat mag nooit puur en alleen door de AI worden besloten. Er moet altijd een menselijke controle plaatsvinden. Dit vraagt om een directe aanpassing van je interne recruitment-protocollen.

Marketing moet helder zijn over AI-gegenereerde content

De marketingafdeling is vaak de koploper als het gaat om het gebruik van generatieve AI. Copywriters gebruiken ChatGPT voor blogs, en designers genereren beelden via Midjourney of Adobe Firefly. Voor deze afdeling is de transparantieplicht de belangrijkste factor. Maakt je team gebruik van AI om realistische afbeeldingen of video’s te maken van personen? Dan moet dit vanaf nu duidelijk vermeld worden bij de uiting. De content moet voorzien zijn van een label of watermerk.

Dan stelt de EU AI Act ook nog strenge eisen aan de makers van deze modellen op het gebied van auteursrecht. Ze moeten openbaar maken welke auteursrechtelijk beschermde data is gebruikt om de AI te trainen. Als MKB-bedrijf moet je daarom kritisch kijken naar de tools die je marketeers gebruiken. Gebruik bij voorkeur tools van leveranciers die garanderen dat hun trainingsdata legaal is verkregen. Dit voorkomt dat jouw bedrijf later aansprakelijk wordt gesteld voor inbreuk op het auteursrecht.

Klantenservice mag niet verzwijgen dat er een chatbAot praat

Binnen de klantenservice is de inzet van AI-chatbots inmiddels de standaard. Veel MKB-bedrijven gebruiken deze systemen om de druk op het team te verlagen. De EU AI Act verplicht je nu om de klant hierin direct duidelijkheid te bieden. Zodra een bezoeker een chatvenster opent, moet er direct een melding verschijnen. De tekst moet helder maken dat de klant praat met een virtuele assistent. Dit geldt ook voor voicebots aan de telefoon. De klant mag nooit in de veronderstelling gelaten worden dat hij met een echt mens praat.

Daarnaast gebruiken salesteams steeds vaker AI voor predictive dialing of het analyseren van verkoopgesprekken. Let er hierbij op dat de software de privacyrechten van de klant niet schendt. Gesprekken mogen niet zomaar zonder expliciete toestemming door een AI worden geanalyseerd om emoties te herkennen. Dit brengt ons direct bij de link met de privacywetgeving.

Twee wetten, één databeleid

Veel ondernemers vragen zich af hoe de nieuwe AI-wetgeving zich verhoudt tot de bestaande privacywetgeving. De link tussen de EU AI Act en de Algemene Verordening Gegevensbescherming (AVG of GDPR) is onlosmakelijk. De twee wetten vervangen elkaar niet, maar versterken elkaar juist. Ze werken nauw samen om de data van burgers te beschermen. Waar de AVG zich primair richt op het beschermen van persoonsgegevens, richt de AI Act zich op de veiligheid en het ethische gebruik van het AI-systeem zelf. Als een AI-systeem persoonsgegevens verwerkt, moet je aan beide wetten tegelijk voldoen.

Dit heeft grote gevolgen voor de data-input van je systemen. De EU AI Act eist dat hoog-risico systemen worden getraind met kwalitatieve en representatieve data. Als deze trainingsdata echter persoonsgegevens bevat, moet die dataverwerking volledig voldoen aan de AVG. Dit betekent dat je een geldige wettelijke grondslag moet hebben om die gegevens te gebruiken. Je kunt niet zomaar klantgegevens uit je CRM in een AI-model stoppen om het algoritme te trainen. Dit is een direct datalek en een zware overtreding van de AVG.

Daarnaast kent de AVG het bekende ‘recht op vergetelheid’. Een klant kan eisen dat zijn data wordt gewist. In de praktijk is het technisch extreem lastig om de data van één specifieke persoon uit een reeds getraind AI-model te wissen. Dit vraagt om een zeer zorgvuldige inrichting van je datastromen. Je moet persoonsgegevens anonimiseren of pseudonimiseren voordat ze in aanraking komen met AI-software. Alleen op die manier voorkom je dat je aan de lopende band de AVG overtreedt tijdens het optimaliseren van je technologie.

Een ander belangrijk raakvlak is de zogenaamde Data Protection Impact Assessment (DPIA). De AVG verplicht bedrijven al om een DPIA uit te voeren bij verwerkingen met een hoog privacyrisico. De EU AI Act sluit hier naadloos op aan. Als je een hoog-risico AI-systeem introduceert op de werkvloer, ben je verplicht om een grondige risicoanalyse uit te voeren. Je moet de impact op de privacy én de impact op de grondrechten van je medewerkers of klanten documenteren. Dit betekent dat je compliance-officer of IT-manager de documentatie voor beide wetten in elkaar moet vlechten. Een AI-tool kan volgens de AI Act perfect ontworpen zijn, maar als de invoer van data de AVG schendt, is het project alsnog illegaal. Het integreren van beide wetgevingen in je bedrijfsbeleid is de enige weg naar succes.

Een medewerker werkt in een beveiligde enterprise-omgeving achter een computer via het centrale en compliant AI-platform van Wux AI.

Het stappenplan naar een veilige en legale AI-omgeving

Het is belangrijk om de regelgeving niet vooruit te schuiven. De boetes voor non-compliance kunnen oplopen tot miljoenen euro’s of een aanzienlijk percentage van de wereldwijde jaaromzet. Daarnaast wegen reputatieschade en het verlies van het vertrouwen van je klanten vaak nog zwaarder. Met dit concrete stappenplan maak je jouw MKB-bedrijf snel en effectief klaar voor de nieuwe wetgeving.

Stap 1: Maak een interne AI-inventarisatie

Je kunt pas aan de regels voldoen als je weet wat er binnen je muren gebeurt. Breng alle software en tools in kaart die door je medewerkers worden gebruikt. Kijk verder dan de officiële bedrijfssoftware. Inventariseer ook de tools die teams zelfstandig hebben aangeschaft, zoals gratis AI-schrijftools of online designtools. Noteer per tool wie het gebruikt en met welk doel.

Stap 2: Bepaal het risiconiveau van elke tool

Leg de inventarisatie naast de risicocategorieën van de EU AI Act. Identificeer direct of er systemen tussen zitten die onder het ‘hoog risico’ vallen, zoals software voor je recruitmentproces. Deel de rest in onder beperkt of minimaal risico. Dit geeft je een helder overzicht van waar de juridische prioriteiten liggen.

Stap 3: Richt de transparantie in

Controleer de touchpoints met je klanten. Maak je gebruik van een AI-chatbot op je website? Zorg dat er direct een duidelijke melding in het chatscherm staat die de klant informeert dat hij met een algoritme praat. Dit is een eenvoudige aanpassing die direct zorgt voor compliance met de transparantieplicht.

Stap 4: Werk aan AI-geletterdheid en train je personeel

De wet eist dat organisaties die AI gebruiken zorgen voor een basisniveau van kennis bij hun personeel. Train je medewerkers zodat ze begrijpen hoe AI-tools werken en wat de risico’s zijn op het gebied van data-privacy. Spreek duidelijke regels af over welke bedrijfsgegevens wel en niet in publieke AI-modellen geüpload mogen worden. Dit verhoogt niet alleen de compliance, maar beschermt ook je intellectueel eigendom.

Neem vandaag nog de leiding over jouw AI-toekomst

De EU AI Act is geen reden om te stoppen met innoveren, maar vraagt wel om een bewuste en gestructureerde aanpak. Door nu je processen in kaart te brengen en te sturen op transparantie, leg je een veilige basis voor de digitale groei van je MKB-bedrijf. Wachten tot de wetgeving volledig handhaaft is een onnodig risico dat je eenvoudig kunt voorkomen.

Wil je er honderd procent zeker van zijn dat jouw software en processen aan alle nieuwe Europese regels voldoen? Plan een vrijblijvende kennismaking met de experts van Wux AI. Wij lichten je huidige systemen door, bouwen veilige oplossingen op maat en zorgen dat jouw organisatie compliant blijft én optimaal rendeert.

Bo Pennings Strategic AI specialist

Ik ben al 17 jaar actief binnen Wux. Wat ooit begon als een eenmansmissie waarin ik letterlijk alles zelf deed, van design en development tot marketing en strategie, is uitgegroeid tot een full-service digital agency met een team van specialisten.

In de loop der jaren heb ik me ontwikkeld van allround developer tot solutions architect en inmiddels tot CEO, innovatie-aanjager en AI-expert. Vanuit die rol verbind ik ondernemerschap, techniek en strategie om digitale groei voor onze klanten mogelijk te maken.

Met mijn brede technische achtergrond in front-end, back-end en softwareontwikkeling help ik bedrijven in het MKB bij complexe vraagstukken en vertaal ik deze naar schaalbare, gebruiksvriendelijke toepassingen. De laatste jaren richt ik me vooral op de inzet van kunstmatige intelligentie, hoe AI processen slimmer maakt, kansen blootlegt en organisaties wendbaarder maakt.

Door mijn ervaring heb ik honderden bedrijven geholpen met online groei en digitale transformatie. Daarnaast word ik regelmatig gevraagd om mijn visie te delen over innovatie en AI in het bedrijfsleven, zowel in media als op events.

Op zoek naar een spreker die AI begrijpelijk, tastbaar en inspirerend maakt? Ik help organisaties om de stap van ‘begrijpen’ naar ‘doen’ te zetten. Reserveer jouw datum voor een AI-lezing op bopennings.nl.

Deze tekst is geschreven volgens de redactionele richtlijnen van Wux en is oorspronkelijk gepubliceerd op 29 juni 2026. De laatste update van dit artikel vond plaats op 30 juni 2026. De inhoud van deze pagina is geschreven en goedgekeurd door Bo Pennings.

Aanbevolen berichten

Tips
14 minuten
Hoe bereken je de ROI van AI binnen je organisatie?

Op de hoogte blijven van de laatste ontwikkelingen in AI?

Meld je aan voor onze nieuwsbrief

Andere berichten

Een consultant van Wux AI berekent de exacte ROI en winst van AI op een laptop in een focusruimte.
Tips
Hoe bereken je de ROI van AI binnen je organisatie?
Meer lezen

Wacht niet langer.
Stap in de wereld van AI.

Verken de mogelijkheden voor jouw organisatie en zie hoe slimme toepassingen vandaag al waarde kunnen toevoegen.

Ontdek wat AI voor jou kan betekenen