Artikel

EU AI Act voor mkb: wat geldt al en wat moet je doen?

Eerlijke uitleg over de EU AI-verordening: welke verplichtingen gelden nu al, voor wie, en hoe kom je er zonder gedoe aan.

Geschreven door Loek Delahaye, oprichter, Delahaye Solutions · ex-CTO met 10+ jaar ervaring in software en AIGepubliceerd:
Kort antwoord
  • AI-geletterdheid (artikel 4 EU AI-verordening) is al verplicht voor elk bedrijf dat AI-tools gebruikt — ook ChatGPT en Copilot. De verplichting geldt al sinds 2 februari 2025.
  • De meeste bedrijven die AI gebruiken hebben hier nog niets aan gedaan, terwijl de verplichtingen al van kracht zijn.
  • Compliant worden vraagt drie stappen: maak een AI-inventarisatie, leg dit vast in een AI-register en geef gedocumenteerde AI-geletterdheidstraining per rol.
  • De AI Act Scan van Delahaye Solutions regelt alle drie in ongeveer een week voor een vaste prijs: €750 voor zzp'ers en kleine teams, €1.500 voor 10-50 medewerkers.

Artikel 4 geldt nu al — ook voor jou

Veel ondernemers weten dat de EU AI-verordening eraan komt, maar gaan ervan uit dat het pas speelt in 2026 of later. Dat klopt deels: het handhavingsregime start op 2 augustus 2026, wanneer de nationale toezichthouders hun bevoegdheden krijgen. Maar de plicht tot AI-geletterdheid — artikel 4 van de verordening — geldt al sinds 2 februari 2025. Als jouw team ChatGPT, Copilot of AI-functies in je software gebruikt, ben jij nu al een gebruiksverantwoordelijke (deployer) onder de EU AI-verordening. En dat brengt verplichtingen met zich mee die je al had moeten nakomen.

Wat de verordening van je vraagt

Vier dingen die je moet weten

De EU AI-verordening maakt onderscheid tussen wie AI bouwt en wie AI gebruikt. Voor de meeste mkb-bedrijven is de rol van gebruiksverantwoordelijke het meest relevant.

Ben jij een 'gebruiksverantwoordelijke'?

Als je AI-tools inzet in je bedrijf — ook als je ze inkoopt, niet zelf bouwt — val je onder de categorie gebruiksverantwoordelijken (deployers). Dat geldt bij ChatGPT voor klantcommunicatie, Copilot voor tekst, AI-functies in je boekhoudsoftware of een automatisering die AI gebruikt. Bouw je zelf AI-systemen en breng je ze op de markt? Dan ben je een aanbieder (provider), met zwaardere verplichtingen. Voor de meeste mkb-bedrijven is de deployer-rol van toepassing.

Wat artikel 4 concreet van je vraagt

Artikel 4 verplicht je om te zorgen dat medewerkers die AI gebruiken voldoende 'AI-geletterd' zijn: ze moeten weten hoe de AI-tools werken die ze inzetten, waar de kansen liggen en welke risico's eraan zitten. De verordening schrijft niet exact voor hoe je dit invult, maar het moet gedocumenteerd zijn en afgestemd op de rol van de medewerker. In de praktijk betekent dit: een overzicht van welke AI-tools je gebruikt, wie ze gebruikt en bewijs van training per rol.

Wat er op 2 augustus 2026 verandert

Op 2 augustus 2026 krijgen de nationale toezichthouders hun bevoegdheden en kan er gehandhaafd worden. De AI Act trad al in werking op 1 augustus 2024; de plicht tot AI-geletterdheid geldt al sinds februari 2025. 2026 is dus geen startdatum — het is het moment waarop handhaving praktisch begint. Voor hoog-risico-AI (zoals bij personeelsselectie of kredietscoring) zijn strengere regels gepland. De EU werkt via de 'Digital Omnibus' (november 2025) aan een mogelijke verschuiving van die verplichtingen; dat voorstel is nog niet definitief aangenomen. De plicht tot AI-geletterdheid staat hier los van en geldt nu al.

Hoe hoog zijn de boetes?

We doen geen bangmakerij. De verordening kent voor dit soort verplichtingen een band tot €15 miljoen of 3% van de wereldwijde jaaromzet, het hoogste van de twee. Voor het mkb geldt juist het laagste bedrag. In de praktijk begint toezicht meestal met vragen en herstelverzoeken, niet met het maximum. Het echte argument om nu in actie te komen: je wilt het op orde hebben voordat iemand erom vraagt — een toezichthouder, een opdrachtgever of een aanbestedende partij.

Drie concrete stappen

Zo word je compliant met artikel 4

Compliance met de AI-geletterdheidsverplichting vraagt niet om een groot project. Het gaat om drie stappen: (1) Maak een AI-inventarisatie — breng in kaart welke AI-tools je team gebruikt en waarvoor. Denk aan ChatGPT, Copilot, AI in je CRM of boekhoudsoftware, of maatwerk-automatiseringen met een AI-component. (2) Leg dit vast in een AI-register — wie gebruikt welke tool, met welk doel en wie is daarvoor verantwoordelijk? Een overzichtelijk document is voldoende. (3) Geef AI-geletterdheidstraining per rol — niet een generieke cursus, maar afgestemd op wat medewerkers in hun werk echt tegenkomen. Documenteer dat je dit hebt gedaan. Samen vormen deze drie stappen de kern van wat artikel 4 vraagt. Alles daarboven (beleid, dossieropbouw) versterkt je positie, maar de basis is haalbaar voor elk mkb-bedrijf.

Veelgestelde vragen

Veelgestelde vragen over de EU AI Act en compliance voor mkb

Geldt de EU AI-verordening ook voor kleine bedrijven en zzp'ers?
Ja. De AI-geletterdheidsverplichting (artikel 4) geldt voor elke organisatie die AI-tools inzet, ongeacht de grootte. Er zijn geen uitzonderingen voor zzp'ers of microbedrijven. Als je ChatGPT of een andere AI-tool gebruikt in je werk, val je eronder. Voor het mkb geldt juist het laagste bedrag van de in de verordening genoemde band.
Wat is AI-geletterdheid precies en hoe bewijs ik dat ik het doe?
AI-geletterdheid betekent dat medewerkers die AI-tools gebruiken begrijpen hoe die tools werken, welke beperkingen ze hebben en welke risico's eraan zitten. De verordening schrijft geen specifieke vorm voor. In de praktijk toont een combinatie van een AI-register (wie gebruikt wat?), een AI-beleid (hoe mag AI worden ingezet?) en gedocumenteerde training per rol aan dat je het serieus neemt. Een handtekeningenlijst of e-learning-certificering is al een sterke indicatie.
Moet ik nu al actie ondernemen, of kan ik wachten tot 2026?
Nu. Artikel 4 (AI-geletterdheid) geldt al sinds 2 februari 2025. Op 2 augustus 2026 starten de bevoegdheden van de toezichthouders — dat is het moment waarop gecontroleerd kan worden, niet het moment waarop de verplichting ingaat. Wachten tot 2026 betekent al ruim een jaar in overtreding zijn op het moment dat het handhavingsregime start.
Wat zijn de risico's als ik niets doe?
Het directe risico is een controle waarbij je moet aantonen dat je medewerkers adequaat zijn bijgeschoold over de AI-tools die ze gebruiken. Bij een negatieve bevinding kan de toezichthouder een hersteltermijn opleggen, gevolgd door boetes (tot €15 miljoen of 3% van de mondiale jaaromzet, het hoogste van de twee; voor mkb het laagste bedrag). Praktisch zijn er ook indirecte risico's: opdrachtgevers in overheid en grote bedrijven vragen steeds vaker naar AI-compliance bij leveranciers.
Hoe snel kan ik compliant worden?
Met de AI Act Scan van Delahaye Solutions ben je in ongeveer een week compliant: we doen de inventarisatie, het register, het beleid en de training voor je en leveren een audit-klaar dossier. De vaste prijs is €750 voor zzp'ers en kleine teams; €1.500 voor bedrijven met 10-50 medewerkers. Daarna hoef je het dossier alleen bij te houden als er iets verandert in je AI-gebruik.
Meer lezen

Wil je snel compliant zijn?

Plan een gratis intake voor de AI Act Scan. We kijken samen waar je nu staat, wat je nodig hebt en wat het kost — gratis en vrijblijvend.

Plan een gratis AI Act intake →

Gratis en vrijblijvend · Reactie binnen één werkdag · Vaste prijs vooraf, geen verrassingen