AI Act 2026: wat moet je als ondernemer weten?

Europa heeft de eerste uitgebreide AI-wet ter wereld. De AI Act — officieel de "Verordening betreffende artificiële intelligentie" — is een feit, en de verplichtingen worden stapsgewijs van kracht. Als ondernemer heb je er ongetwijfeld iets over gelezen. Maar wat betekent het concreet voor jouw bedrijf? Moet je je zorgen maken? Of biedt het juist kansen?

In dit artikel leg ik de AI Act uit in gewoon Nederlands. Geen juridisch jargon, maar praktische informatie die je als ZZP'er of MKB-ondernemer direct kunt toepassen. Inclusief vijf concrete tips om ervoor te zorgen dat je AI-gebruik helemaal op orde is.

Wat is de AI Act?

De AI Act is een Europese verordening die regels stelt voor het ontwikkelen en gebruiken van kunstmatige intelligentie. Het is de eerste wet ter wereld die AI op deze manier reguleert. Het doel? Risicovolle toepassingen van AI aan banden leggen, terwijl innovatie mogelijk blijft.

Vergelijk het met de AVG (GDPR) voor privacy. Die wet veranderde hoe bedrijven met persoonsgegevens omgaan. De AI Act doet hetzelfde voor kunstmatige intelligentie. En net als bij de AVG geldt de wet voor iedereen die in de EU opereert — ongeacht waar het bedrijf gevestigd is.

Het kernidee is simpel: hoe hoger het risico van een AI-toepassing, hoe strenger de regels. Een AI die grappige foto's genereert? Minimaal risico, nauwelijks regels. Een AI die beslist of iemand een hypotheek krijgt? Hoog risico, strenge eisen. Die gelaagde aanpak is slim, want het voorkomt dat onschuldige toepassingen worden overspoeld met bureaucratie.

Wanneer treedt de AI Act in werking?

De AI Act is niet in een keer van kracht geworden. De EU heeft bewust gekozen voor een gefaseerde invoering, zodat bedrijven tijd hebben om zich aan te passen. Hier is de tijdlijn:

• Februari 2025: De eerste verboden zijn ingegaan. AI-toepassingen met onaanvaardbaar risico (denk aan social scoring en manipulatieve AI) zijn vanaf deze datum verboden.
• Augustus 2025: Governance-regels en verplichtingen voor general-purpose AI-systemen (zoals GPT-modellen) zijn van kracht. Aanbieders van deze modellen moeten aan transparantie-eisen voldoen.
• Augustus 2026: De hoofdverplichtingen voor hoog-risico AI-systemen treden in werking. Dit is de grote deadline waar de meeste aandacht naar uitgaat.
• Augustus 2027: Aanvullende regels voor specifieke hoog-risico systemen die al onder bestaande EU-wetgeving vielen.

We zitten nu dus midden in de overgangsperiode. De verboden en governance-regels gelden al. De zwaardere verplichtingen voor hoog-risico AI komen er in augustus 2026 aan. Dat klinkt ver weg, maar als je je er nu in verdiept, loop je straks niet achter de feiten aan.

Wat betekent dit voor MKB en ZZP'ers?

Hier komt het goede nieuws. De AI Act richt zich primair op aanbieders van AI-systemen — de bedrijven die AI ontwikkelen en op de markt brengen. Als jij als ondernemer AI-tools gebruikt (en dat doet het overgrote deel van het MKB), dan val je onder de lichtere regels voor "deployers" of gebruikers.

De kans is groot dat jouw AI-gebruik in de categorie minimaal risico valt. Gebruik je ChatGPT voor het schrijven van teksten? AI voor het plannen van je social media? Een AI agent voor e-mailbeheer? Dat zijn allemaal toepassingen met minimaal risico. Daar gelden nauwelijks extra verplichtingen voor.

Maar — en dit is belangrijk — "nauwelijks verplichtingen" is niet hetzelfde als "geen verplichtingen." Je moet de basis op orde hebben. En zelfs als de wet het niet eist, verwachten je klanten steeds vaker dat je transparant bent over je AI-gebruik. Het is dus sowieso slim om je erin te verdiepen.

De vier risicocategorieën uitgelegd

De AI Act deelt AI-toepassingen in vier categorieën in. Hoe hoger de categorie, hoe strenger de regels. Laten we ze langslopen.

Onaanvaardbaar risico (verboden)

Dit zijn AI-toepassingen die zo gevaarlijk zijn dat ze simpelweg niet mogen bestaan in de EU. Voorbeelden:

• Social scoring: Mensen een score geven op basis van hun gedrag, vergelijkbaar met het Chinese systeem
• Manipulatieve AI: Systemen die kwetsbare groepen (kinderen, ouderen) bewust manipuleren
• Ongerichte gezichtsherkenning: Het massaal scrapen van gezichten van internet of camerabelden
• Emotieherkenning op de werkvloer: AI die emoties van werknemers analyseert in werkcontexten

Als ZZP'er of MKB-ondernemer heb je hier waarschijnlijk niets mee te maken. Maar het is goed om te weten dat deze grens er is — vooral als je ooit overweegt om AI in te zetten voor klantanalyse of personeelszaken.

Hoog risico

Hier wordt het al relevanter. Hoog-risico AI-toepassingen mogen wel, maar moeten aan strenge eisen voldoen. Denk aan uitgebreide documentatie, risicobeoordeling, menselijk toezicht, en transparantie. Voorbeelden:

• HR en recruitment: AI die cv's screent of sollicitanten selecteert
• Kredietbeoordeling: AI die beslist over leningen of verzekeringen
• Medische AI: Diagnostische systemen en medische hulpmiddelen
• Onderwijs: AI die examens beoordeelt of studenten toewijst aan opleidingen
• Kritieke infrastructuur: AI in energie, water, of verkeerssystemen

Gebruik je AI voor het selecteren van personeel? Dan kan dit relevant voor je zijn, zelfs als klein bedrijf. In dat geval is het verstandig om juridisch advies in te winnen over je specifieke situatie.

Beperkt risico

Hier zitten de meeste AI-toepassingen die ondernemers dagelijks tegenkomen. De belangrijkste verplichting: transparantie. Als je een chatbot inzet op je website, moet je bezoekers laten weten dat ze met AI praten. Als je AI-gegenereerde content publiceert, moet dat duidelijk zijn.

Concreet betekent dit:

• Chatbots op je website moeten vermelden dat het AI is
• AI-gegenereerde afbeeldingen en video's moeten als zodanig herkenbaar zijn
• Deepfakes moeten gelabeld worden

Dit is een kleine aanpassing met een grote impact op klantvertrouwen. Wees open over je AI-gebruik — de meeste klanten waarderen dat.

Minimaal risico

Veruit de grootste categorie, en hier valt het meeste dagelijkse AI-gebruik van ondernemers onder. Geen aanvullende verplichtingen vanuit de AI Act. Voorbeelden:

• AI voor het schrijven en redigeren van teksten
• E-mail sorteren en beantwoorden met AI
• AI-gestuurde planning en agendabeheer
• Content creatie voor social media
• Data-analyse en rapportage
• AI-assistenten voor dagelijkse taken

Gebruik je AI op een van deze manieren? Dan hoef je vanuit de AI Act weinig extra te doen. Maar zoals ik al zei: basis-hygiene op het gebied van privacy en transparantie is altijd verstandig.

Vijf praktische tips om AI Act-proof te werken

Of je AI-gebruik nu minimaal risico is of iets hoger — met deze vijf tips zit je altijd goed. Beschouw het als je AI-basiskit.

1. Wees transparant over je AI-gebruik

Laat klanten en relaties weten waar je AI inzet. Dat hoeft niet met een uitgebreid juridisch document. Een zin op je website of in je offerte volstaat: "Wij gebruiken AI-tools ter ondersteuning van onze dienstverlening. Alle output wordt gecontroleerd door een mens." Klaar. Transparantie wekt vertrouwen, geheimzinnigheid wekt wantrouwen.

2. Check je tools

Niet alle AI-tools zijn gelijk. Gebruik gerenommeerde AI-providers die zelf ook aan de AI Act moeten voldoen. Grote spelers als OpenAI, Google, en Anthropic investeren fors in compliance. Als zij hun zaken op orde hebben, ben jij als gebruiker automatisch beter beschermd. Wees voorzichtiger met onbekende AI-tools van obscure aanbieders.

3. Bewaar geen onnodige persoonsgegevens in AI

Dit raakt ook aan de AVG, maar het is extra relevant in de context van de AI Act. Voer geen klantgegevens, BSN-nummers, of medische informatie in een AI-tool in tenzij dat strikt noodzakelijk is. Werk met geanonimiseerde data waar mogelijk. En vraag je af: als deze data op straat komt te liggen, wat is dan de schade?

4. Houd een mens in de loop

Dit is een kernprincipe van de AI Act: bij belangrijke beslissingen moet er altijd een mens meekijken. Laat AI geen definitieve beslissingen nemen over mensen — niet bij aannames, niet bij klachtafhandeling, niet bij juridische zaken. Gebruik AI als adviserend, niet als beslissend. Dat is niet alleen wettelijk verstandig, het is ook gewoon goed ondernemen.

5. Documenteer je AI-gebruik

Houd bij welke AI-tools je gebruikt, waarvoor je ze inzet, en welke maatregelen je hebt genomen. Een simpel document volstaat — geen ISO-certificering nodig. Maar als iemand vraagt hoe je AI inzet (een klant, een toezichthouder, een samenwerkingspartner), dan kun je het laten zien. Dat straalt professionaliteit uit.

Je hoeft geen jurist te zijn om de AI Act te begrijpen. De kern is gezond verstand: wees open, wees voorzichtig met gevoelige data, en laat een mens de eindverantwoordelijkheid houden.

Voordeel voor wie het goed doet

De AI Act wordt vaak gepresenteerd als een last. Meer regels, meer verplichtingen, meer gedoe. Maar draai het eens om: de AI Act is ook een concurrentievoordeel voor ondernemers die het goed aanpakken.

Klanten maken zich steeds meer zorgen over AI. Is het betrouwbaar? Wat gebeurt er met mijn data? Wordt er onzichtbaar AI op me losgelaten? Als jij kunt laten zien dat je bewust en verantwoord met AI omgaat, win je vertrouwen. En vertrouwen is in het MKB de belangrijkste valuta die er is.

Bovendien: bedrijven die nu al hun AI-gebruik documenteren en transparant zijn, hoeven straks niet in paniek alles om te gooien als de regels strenger worden. Je bent voorbereid. Terwijl je concurrent nog aan het uitzoeken is wat de AI Act überhaupt is, heb jij het al op orde.

Denk ook aan aanbestedingen en samenwerkingen met grotere bedrijven. Steeds meer opdrachtgevers vragen naar je AI-beleid. Als je dat kunt laten zien, sta je een stap voor.

De ondernemers die het beste uit de AI-revolutie komen, zijn niet degenen die de regels negeren. Het zijn degenen die de regels omarmen en er een kwaliteitskenmerk van maken. Vergelijkbaar met hoe de beste webshops de AVG niet zagen als obstakel, maar als kans om zich te onderscheiden met een helder privacybeleid.

Hoe past een eigen AI medewerker hierin?

Nu wordt het interessant. Want als je kijkt naar de AI Act, dan valt op dat privacy en controle over data centrale thema's zijn. En dat is precies waar een eigen AI medewerker uitblinkt ten opzichte van cloud-gebaseerde AI-diensten.

Met een tool als OpenClaw zet je een AI assistent op die lokaal draait — op je eigen computer. Dat betekent:

• Je data blijft bij jou. Geen bedrijfsinformatie die naar servers van derden wordt gestuurd. Geen klantgegevens die ergens in een Amerikaans datacenter belanden.
• Volledige controle. Jij bepaalt wat de AI wel en niet mag doen. Jij bepaalt welke data erin gaat. Jij bepaalt de grenzen.
• Eenvoudiger compliance. Omdat je data lokaal blijft, is het makkelijker om te voldoen aan zowel de AVG als de AI Act. Geen ingewikkelde verwerkersovereenkomsten met AI-providers nodig.
• Transparantie ingebouwd. Je weet precies welk model je gebruikt, hoe het werkt, en wat het doet met je data. Geen black box.

Dit maakt een eigen AI medewerker niet alleen praktisch aantrekkelijk (je kunt er uren per week mee besparen), maar ook juridisch verstandig. Je bent automatisch beter beschermd dan iemand die al zijn bedrijfsdata in een cloud-AI gooit zonder na te denken.

Dat wil niet zeggen dat cloud-AI per definitie slecht is. Maar als ondernemer is het slim om bewust te kiezen. En als privacy en controle hoog op je lijstje staan — wat met de AI Act steeds belangrijker wordt — dan is een lokale oplossing het overwegen meer dan waard.

Wat je nu moet doen

De AI Act is geen reden om te stoppen met AI. Integendeel — het is een reden om het beter te doen. Hier is je actieplan:

• Inventariseer welke AI-tools je nu gebruikt en waarvoor
• Bepaal de risicocategorie van je AI-gebruik (voor de meeste ondernemers: minimaal risico)
• Implementeer de vijf tips uit dit artikel
• Overweeg een eigen AI medewerker als privacy en controle belangrijk voor je zijn
• Blijf op de hoogte — de regelgeving ontwikkelt zich nog

De AI Act is niet het einde van AI voor ondernemers. Het is het begin van een volwassener, betrouwbaarder AI-landschap. En de ondernemers die daar nu al op inspelen, plukken daar straks de vruchten van.