Over vier maanden gaat de volgende fase van de EU AI Act in. Vanaf 2 augustus 2026 gelden de verplichtingen voor hoog risico AI systemen, transparantieregels en de registratieplicht. En de boetes zijn niet mild: tot 35 miljoen euro of 7% van je wereldwijde omzet. Toch weet een groot deel van de Nederlandse middelgrote bedrijven nog niet precies wat ze moeten doen. Deze AI Act checklist brengt het terug tot de essentie.
Wat de AI Act van jou verwacht als MKB
De AI Act werkt met een risicomodel. Hoe hoger het risico van je AI toepassing, hoe strenger de eisen. Voor de meeste middelgrote bedrijven geldt dat ze AI gebruiken (deployer), niet zelf bouwen (provider). Dat maakt een verschil. Providers dragen de zwaarste verplichtingen: CE markering, conformiteitsbeoordeling, technische documentatie. Als deployer zijn je verplichtingen lichter, maar ze zijn er wel degelijk.
De kern: je moet weten welke AI je gebruikt, hoe risicovol die is, en je moet kunnen aantonen dat je er verantwoord mee omgaat.
De checklist: zes stappen voor augustus 2026
1. Maak een AI register
Breng alle AI toepassingen in je organisatie in kaart. Elke tool, elk systeem, elke automatisering die gebruik maakt van AI. Dat gaat verder dan ChatGPT. Denk aan AI functies in je CRM, je boekhoudsoftware, je recruitmenttool, je marketingplatform. Per toepassing leg je vast: wat doet het, wie gebruikt het, welke data gaat erin, welke beslissingen worden beïnvloed.
Dit klinkt als veel werk, maar het is de basis van alles wat volgt. Zonder overzicht kun je niet beoordelen waar de risico's zitten.
2. Classificeer het risiconiveau
De AI Act kent vier categorieën: verboden, hoog risico, beperkt risico en minimaal risico. Voor de meeste MKB bedrijven geldt dat het gros van hun toepassingen in de categorie minimaal of beperkt risico valt. Denk aan chatbots, tekstgeneratie, data analyse.
Maar er zijn uitzonderingen. Gebruik je AI voor beslissingen over personeel? Voor kredietbeoordeling? Voor het prioriteren van nooddiensten? Dan zit je mogelijk in hoog risico. En daar gelden strenge eisen: menselijk toezicht, documentatie van het systeem, continue monitoring van de prestaties en een beoordeling van de impact op fundamentele rechten.
3. Regel AI geletterdheid in je team
Dit is de verplichting die het vaakst over het hoofd wordt gezien. Artikel 4 van de AI Act vereist dat iedereen die AI inzet of beheert binnen je organisatie voldoende kennis heeft van de werking, mogelijkheden en risico's. Dit geldt nu al. Niet pas in augustus.
AI geletterdheid is geen vrijblijvende suggestie. Het is een wettelijke verplichting die nu al geldt.
Concreet betekent dit: train je team. Zorg dat medewerkers begrijpen wat de AI tools doen die ze dagelijks gebruiken. Dit hoeft geen maandenlang programma te zijn. Een gerichte workshop van een halve dag kan al voldoende zijn om de basis te leggen. Onze AI Enablement trainingen zijn hier specifiek voor ontworpen.
4. Documenteer je gebruik van hoog risico systemen
Als je in stap 2 hoog risico toepassingen hebt geïdentificeerd, moet je als deployer een aantal zaken documenteren. Je moet kunnen aantonen dat je het systeem gebruikt waarvoor het bedoeld is, dat er menselijk toezicht is, dat je de output monitort op fouten en discriminatie, en dat je een DPIA (Data Protection Impact Assessment) hebt uitgevoerd als er persoonsgegevens bij betrokken zijn.
De omvang van deze documentatie is proportioneel. Een middelgroot bedrijf hoeft geen boekwerk te produceren. Helder vastleggen wie verantwoordelijk is, hoe het toezicht is geregeld en wat je doet als er iets misgaat, is voldoende.
5. Check je leveranciers
Als deployer mag je ervan uitgaan dat de provider van je AI systeem zijn verplichtingen nakomt. Maar je hebt wel een zorgplicht. Controleer of je leverancier de AI Act kent, of er documentatie beschikbaar is over het systeem, en of er een contactpersoon is voor vragen over compliance. Dit is vooral relevant als je AI diensten afneemt van kleinere partijen of aanbieders buiten Europa.
6. Stel een intern AI beleid op
Breng alles samen in een kort, leesbaar AI beleid. Geen juridisch document van 40 pagina's. Een helder overzicht van: welke AI mag gebruikt worden, door wie, met welke kaders, wie is verantwoordelijk, en wat doe je als er iets misgaat. Dit beleid is je vangnet bij een eventuele controle door de Autoriteit Persoonsgegevens, die in Nederland toezicht houdt op de AI Act.
Wat je nu kunt parkeren
Niet alles hoeft voor augustus geregeld te zijn. De verplichtingen rond general purpose AI modellen (zoals GPT of Claude) liggen bij de providers, niet bij jou. De volledige handhaving wordt opgebouwd in fases. En als je geen hoog risico toepassingen hebt, vallen de zwaarste eisen weg.
Wat je wel nu moet regelen: het AI register, de risicoklassificatie, en de AI geletterdheid van je team. Die drie vormen de basis en kosten relatief weinig tijd als je ze gestructureerd aanpakt.
Begin vandaag, niet in juli
De bedrijven die straks in de problemen komen, zijn niet de bedrijven die AI "verkeerd" gebruiken. Het zijn de bedrijven die niet kunnen aantonen hóe ze het gebruiken. De AI Act vraagt transparantie en bewustzijn. Beide zijn eenvoudig te organiseren als je er nu mee begint.
Start met het AI register. Loop de zes stappen door. En als je twijfelt over de classificatie van een specifieke toepassing of de juiste aanpak voor je organisatie, vraag het een specialist. Een AI Scan kan helpen om zowel de kansen als de compliance risico's van je huidige AI gebruik in kaart te brengen.