Agnes inventariseert de AI-tools van haar bedrijf en noteert ze in een AI-register

EU AI Act Verplichtingen voor het MKB: Wat Moet Je Bijhouden?

AI Act, Compliance, MKB

Je marketingteam gebruikt ChatGPT voor content. HR draait kandidaten door een screeningtool. De klantenservice heeft een chatbot. En de boekhouding experimenteert met geautomatiseerde factuurverwerking.

Herkenbaar? Dan valt jouw bedrijf onder de EU AI Act.

Veel mkb-ondernemers denken dat de AI Act alleen geldt voor techbedrijven die AI ontwikkelen. Dat klopt niet. De wet maakt onderscheid tussen providers (de bouwers) en deployers (de gebruikers). En de meeste mkb-bedrijven zijn deployers. Met eigen verplichtingen. Concrete verplichtingen.

Dit artikel legt uit welke dat zijn, wanneer ze ingaan en wat je vandaag al kunt doen.

Wat is de EU AI Act?

De EU AI Act is de eerste brede AI-wet ter wereld. Het Europees Parlement heeft deze verordening aangenomen om AI-systemen te reguleren op basis van risico. Hoe hoger het risico van een AI-toepassing, hoe strenger de eisen.

De wet deelt AI-systemen op in vier categorieen:

  • Onaanvaardbaar risico - verboden (bijv. social scoring, emotieherkenning op de werkvloer)
  • Hoog risico - strenge eisen voor zowel providers als deployers (bijv. AI in HR-selectie, kredietbeoordeling, biometrische identificatie)
  • Beperkt risico - transparantieverplichtingen (bijv. chatbots, deepfakes)
  • Minimaal risico - geen specifieke eisen (bijv. spamfilters, aanbevelingsalgoritmen in interne tools)

Wanneer gaan de verplichtingen in?

De AI Act wordt niet in een keer van kracht. Het tijdpad ziet er zo uit:

| Wanneer | Wat | |---|---| | Februari 2025 | Verbod op onaanvaardbare AI-systemen | | Augustus 2025 | Regels voor general-purpose AI (GPAI) en hoog-risico systemen | | Augustus 2026 | Resterende verplichtingen, waaronder voor specifieke sectorale hoog-risicotoepassingen | | Augustus 2027 | Volledige handhaving op alle categorieen |

Dit betekent dat je niet tot 2027 kunt wachten. De belangrijkste verplichtingen voor deployers gelden al vanaf augustus 2025.

Wie moet wat doen? Provider vs. deployer

Hier wordt het concreet voor mkb's. De AI Act legt de zwaarste verplichtingen bij providers: de partijen die AI-systemen ontwikkelen en op de markt brengen. Maar deployers (de organisaties die die systemen inzetten) hebben ook verantwoordelijkheden.

Als deployer moet je onder andere:

  • AI-systemen gebruiken volgens de instructies van de provider - dat klinkt simpel, maar het betekent dat je de documentatie moet lezen en bewaren
  • Menselijk toezicht waarborgen - vooral bij hoog-risico systemen mag je niet blind vertrouwen op de output
  • Input- en outputdata bewaren - bij hoog-risicosystemen moet je logging bijhouden, zodat beslissingen achteraf controleerbaar zijn
  • Transparant zijn naar betrokkenen - mensen die geraakt worden door AI-beslissingen moeten weten dat AI een rol speelt
  • Registratie in de EU-database - gebruikers van hoog-risico AI-systemen moeten zich registreren (Artikel 49)

Geen theorie. Dit zijn stappen die je bedrijfsvoering direct raken.

Het AI-systeemregister: jouw nieuwe basisdocument

Net zoals de AVG een verwerkingsregister vereist, wijst de AI Act richting een AI-systeemregister. Er is (nog) geen standaardformat voorgeschreven, maar de praktijk maakt duidelijk wat erin hoort:

  • Naam en beschrijving van het AI-systeem
  • Leverancier en eventuele conformiteitsverklaring
  • Risicoclassificatie (onaanvaardbaar, hoog, beperkt, minimaal)
  • Doel van het gebruik binnen jouw organisatie
  • Welke data het systeem verwerkt (link naar je verwerkingsregister)
  • Menselijk toezicht: wie beoordeelt de output?
  • Verwerkersovereenkomst en andere contractuele afspraken

Artikel 49 van de AI Act verplicht deployers van hoog-risico AI-systemen om zich te registreren in een openbare EU-database. Maar ook als je geen hoog-risicosystemen gebruikt, is een intern register onmisbaar. Het is je bewijs dat je verantwoord met AI omgaat. Bij een audit, een klacht of een datalek wil je dat overzicht paraat hebben.

De link met de AVG en NIS2

De AI Act staat niet op zichzelf. Veel AI-systemen verwerken persoonsgegevens, en daarmee gelden de AVG-verplichtingen onverkort. Denk aan:

  • Verwerkersovereenkomsten bijwerken voor AI-leveranciers
  • Privacy-impactanalyse (DPIA) uitvoeren als AI-systemen geautomatiseerde besluiten nemen
  • AVG-compliance als fundament waarop je AI Act compliance bouwt

En als je organisatie onder de NIS2-richtlijn valt, raken AI-systemen ook je cybersecurityverplichtingen. AI-tools die toegang hebben tot bedrijfskritische systemen of data vereisen een degelijke risicoanalyse.

Praktische checklist: 7 stappen die je nu kunt zetten

Je hoeft niet te wachten tot de volledige AI Act van kracht is. Deze stappen kun je vandaag al nemen:

1. Inventariseer alle AI-tools in je organisatie Loop elke afdeling langs. Marketing, HR, finance, klantenservice, IT. Vraag: welke tools gebruiken AI of machine learning? Denk breder dan ChatGPT. Ook je CRM met lead scoring, je boekhoudsoftware met geautomatiseerde categorisatie of je ATS met CV-screening tellen mee.

2. Classificeer op risico Gebruik de vier categorieen uit de AI Act. De meeste mkb-tools vallen in "beperkt" of "minimaal" risico. Maar HR-screeningtools, kredietbeoordelingen of biometrische systemen kunnen hoog-risico zijn. Wees eerlijk in je beoordeling.

3. Controleer je leveranciers Vraag je AI-leveranciers of ze een conformiteitsverklaring hebben of gaan leveren. Hebben ze documentatie over het beoogde gebruik? Zijn er bekende beperkingen? Dit is vergelijkbaar met hoe je verwerkersovereenkomsten controleert onder de AVG.

4. Pas verwerkersovereenkomsten aan Je bestaande verwerkersovereenkomsten dekken waarschijnlijk niet de AI-specifieke vereisten. Denk aan afspraken over trainingsdata, output-eigendom en transparantieverplichtingen. Laat je DPA's reviewen en bijwerken.

5. Richt menselijk toezicht in Bepaal per AI-systeem wie verantwoordelijk is voor het beoordelen van de output. Vooral bij systemen die beslissingen nemen over mensen (klanten, medewerkers, sollicitanten) moet iemand de output controleren voordat deze definitief wordt.

6. Informeer je medewerkers Bewustzijn is de helft van compliance. Zorg dat je team weet welke AI-tools ze mogen gebruiken, hoe, en waar de grenzen liggen. Dit hoeft geen driedaagse training te zijn. Een duidelijk intern beleidsdocument en een kwartaalupdate volstaan.

7. Bouw je AI-register op Begin met een eenvoudig overzicht: tool, leverancier, doel, risicoclassificatie, verantwoordelijke. Dat is je startpunt. Verfijn het naarmate de handhaving concreter wordt en je meer inzicht krijgt in je AI-landschap.

Wacht niet tot de handhaving begint

De neiging is begrijpelijk: "We wachten wel tot het echt moet." Maar de bedrijven die nu hun AI-landschap in kaart brengen, hoeven straks niet in paniek te handelen. Net zoals bij de AVG geldt: wie vroeg begint, heeft minder stress en lagere kosten.

ComplianceHive helpt je om je AI-systeemregister op te zetten en te onderhouden, naast je bestaande AVG- en NIS2-administratie. Alles in een overzicht, zodat je bij een audit niet hoeft te zoeken maar kunt laten zien wat je hebt geregeld.

Begin vandaag. Inventariseer je AI-tools. Classificeer ze. En leg het vast. Dat is geen bureaucratie. Dat is grip op je bedrijf.

Start vandaag nog met grip op je leveranciers en software

Laat ComplianceHive je helpen met ISO 27001, AVG, leveranciersbeheer en meer. Geen gedoe, geen spreadsheets, gewoon overzicht. Begin nu met een gratis proefperiode van 1 maand. Geen creditcard nodig, geen verborgen kosten. Ontdek het Busy Hive-plan en beheer tot wel 25 tools en leveranciers in één overzicht.

Probeer 1 maand gratis