EU AI Act voor het MKB: wat moet u écht doen in 2026?

Op 2 augustus 2026 worden de regels voor hoog-risico AI-systemen onder de EU AI Act van kracht. Vanaf nu tot dan staan compliance-leveranciers in de rij om u een traject van tien- tot honderdduizend euro te verkopen. Voor de meeste Nederlandse MKB-bedrijven is dat geld weggegooid, maar u moet wel weten waarom, anders kunt u het straks niet uitleggen aan uw accountant, klant of verzekeraar.

Wat de wet écht regelt

De AI Act verdeelt AI in vier klassen: verboden, hoog-risico, beperkt risico, en minimaal risico. "Hoog-risico" gaat over AI in werving en selectie, kredietbeoordeling, onderwijsbeoordeling, kritieke infrastructuur, en AI als veiligheidscomponent in producten onder bestaande CE-regels. De zwaarste verplichtingen liggen bij de aanbieder, de partij die het systeem bouwt en op de markt brengt, niet bij u als gebruiker, tenzij u zelf bouwt. Voor "minimaal risico", waar de meeste Copilot- en ChatGPT-toepassingen onder vallen, gelden nauwelijks verplichtingen.

Drie tests: valt u onder hoog-risico?

1. Bouwt of past u zelf een AI-model aan? Een Copilot- of ChatGPT-licentie kopen maakt u geen aanbieder. Een open-source model fine-tunen en intern uitrollen, of een eigen model trainen op klantdata, dat kan u wél aanbieder maken.

2. Neemt uw AI beslissingen die direct gevolgen hebben voor mensen? CV-screening, kredietbeoordeling, prijsstelling per individuele klant, automatische evaluatie- of ontslagbeslissingen: groot risico dat u in de hoog-risico-categorie valt.

3. Zit uw AI in een fysiek product onder bestaande CE-regels? Medisch hulpmiddel, voertuig, machine, speelgoed, dan komt de AI Act bovenop wat u al moest regelen.

Drie keer "nee"? U valt vrijwel zeker in beperkt of minimaal risico. De paniekverhalen die deze zomer rondgaan zijn niet voor u geschreven.

Hoe minimale-inspanning compliance eruitziet

Voor de typische MKB-toepassing, Copilot voor finance, ChatGPT voor marketing, een chatbot op de website, is dit het werk:

• Transparantie naar gebruikers. Maak duidelijk wanneer iemand met AI praat en niet met een medewerker.
• Eén AI-gebruiksoverzicht. Welk team gebruikt welke tool, voor welk doel, op welke data. Eén pagina is genoeg.
• Verwerkersovereenkomst op orde bij Microsoft, OpenAI, Anthropic en de andere leveranciers die u inzet. Dit is strikt genomen AVG, geen AI Act, maar de twee horen bij elkaar.
• Geen AI op verboden toepassingen. Social scoring, manipulatieve targeting van kwetsbare groepen, en ongerichte biometrische identificatie staan in de wet als verboden. Voor het Nederlandse MKB zelden een issue, maar weet dat ze bestaan.

Bij elkaar: een halve dag werk. Geen vijfcijferig traject.

Waar consultants u zullen oververkopen

Let op deze vier verkooppraatjes:

• "Volledige AI-impactassessment per tool." Overbodig zolang u in minimaal risico zit.
• "AI-governance framework als product." Een sjabloon vervangt geen beslissingen. Zonder uw eigen processen erbij is het waardeloos.
• "Certificering AI Act-conform." Er bestaat nog geen breed erkende certificering die u juridisch dekt. Voorzichtig zijn.
• Trainingen waarin tachtig procent van de inhoud over de AVG uit 2018 gaat met een AI-sticker erop.

Wat te doen, vóór 2 augustus

Maak één pagina. Welke AI-tools draaien er in uw bedrijf, waarvoor, op welke data, met welke leverancier als aanbieder. Toets die lijst tegen de drie tests hierboven. Pas als één test "ja" oplevert, is het tijd om met een specialist te praten niet eerder.

Weten wat u kunt negeren is dit voorjaar even waardevol als weten wat u moet doen.

Niet zeker waar uw AI-gebruik in de risicopiramide valt? FJAN doet een halve-dag AI-check voor MKB-bedrijven in de regio Apeldoorn. Plan een vrijblijvend kennismakingsgesprek.