"De AI Act geldt pas in 2026", dat hoort u vaak, en het klopt voor de meeste verplichtingen. Maar twee onderdelen zijn al sinds 2 februari 2025 van kracht, en ze raken bijna elke organisatie die AI gebruikt. In dit artikel leest u wat nu al geldt, wat eraan komt, en wat dat concreet betekent voor het MKB.
Het korte antwoord
De AI Act (Verordening (EU) 2024/1689) is een Europese verordening. Anders dan bij een richtlijn, zoals NIS2, die Nederland in de Cyberbeveiligingswet moet vertalen, werkt een verordening rechtstreeks in alle lidstaten. Er komt dus geen aparte Nederlandse "AI-wet": de tekst die in Brussel is vastgesteld, geldt hier direct.
De verordening trad op 1 augustus 2024 in werking, maar de verplichtingen komen gefaseerd. De eerste fase loopt al.
De vier risiconiveaus
De AI Act regelt niet "AI" als geheel, maar deelt toepassingen in naar risico. Hoe hoger het risico, hoe zwaarder de eisen.
| Niveau | Wat | Gevolg |
|---|---|---|
| Onaanvaardbaar | Verboden praktijken (art. 5) | Niet toegestaan |
| Hoog risico | O.a. werving, kredietbeoordeling, premiebepaling (art. 6 + Bijlage III) | Zware eisen voor aanbieder én gebruiker |
| Beperkt risico | Chatbots, AI-gegenereerde content (art. 50) | Transparantieplicht |
| Minimaal | De meeste alledaagse AI | Geen specifieke eisen |
Het grootste deel van de AI die het MKB gebruikt valt in de onderste categorie. Maar de bovenste twee niveaus verdienen aandacht, en het bovenste geldt nú al.
Wat geldt nú al (sinds 2 februari 2025)
Twee onderdelen zijn sinds 2 februari 2025 van kracht:
1. Verboden AI-praktijken (art. 5)
Een aantal toepassingen is simpelweg verboden. Voor het MKB zijn vooral deze relevant:
- Emotieherkenning op de werkplek: software die de emoties van medewerkers "leest" (behalve om medische of veiligheidsredenen)
- Manipulatieve of misleidende AI die gedrag stuurt buiten iemands bewustzijn om
- Sociale-scoringssystemen die mensen onterecht benadelen
Dit vraagt geen project, maar wel bewustzijn: weet welke AI-tools u inzet en sluit verboden toepassingen uit.
2. AI-geletterdheid (art. 4)
Organisaties die AI gebruiken, moeten zorgen voor een voldoende niveau van AI-geletterdheid bij de medewerkers die ermee werken. Geen formele certificering, wél dat uw mensen begrijpen wat de tool doet, wat de beperkingen zijn, en welke gevolgen de uitkomsten kunnen hebben.
Dan valt u onder de AI-geletterdheidsplicht. Een korte interne instructie (wat mag wel en niet, welke data nooit in een prompt, hoe u output controleert) voldoet vaak al als startpunt. Leg het vast, zodat u het kunt aantonen.
De tijdlijn
| Datum | Wat wordt van kracht |
|---|---|
| 1 augustus 2024 | Verordening in werking; nog geen verplichtingen |
| 2 februari 2025 | Verboden praktijken (art. 5) + AI-geletterdheid (art. 4) |
| 2 augustus 2025 | Regels voor AI-modellen voor algemene doeleinden (zoals ChatGPT, Copilot) |
| 2 augustus 2026 | De meeste overige verplichtingen, waaronder hoog-risico en transparantie |
| 2 augustus 2027 | AI in gereguleerde producten; bestaande algemene-doel-modellen |
Wat betekent dit voor het MKB?
De meeste MKB-organisaties zijn gebruiker ("deployer") van AI, geen bouwer. Drie situaties komen het vaakst voor:
Een chatbot of AI-assistent op uw website
Vanaf 2 augustus 2026 moet u bezoekers laten weten dat ze met een AI-systeem praten, niet met een mens (art. 50). Hetzelfde geldt voor AI-gegenereerde content die u publiceert.
Kantoor-AI zoals ChatGPT of Copilot
Hiervoor geldt de AI-geletterdheidsplicht (nu al) plus, sinds augustus 2025, de regels rond modellen voor algemene doeleinden. De praktische kern: een helder intern gebruiksbeleid.
Hoog-risico-toepassingen: let op in HR en assurantie
Sommige toepassingen zijn expliciet hoog-risico (Bijlage III) en krijgen vanaf 2 augustus 2026 zware eisen. Voor onze doelgroepen springen er twee uit:
- AI in werving en selectie: software die cv's scoort of sollicitanten rangschikt (relevant voor élke sector)
- AI in financieel advies: systemen voor kredietwaardigheidsbeoordeling of voor risico- en premiebepaling bij levens- en ziekteverzekeringen (relevant voor assurantie- en advieskantoren)
Gebruikt u zulke software van een leverancier, dan rusten er ook op u als gebruiker verplichtingen: menselijk toezicht, logbestanden bewaren en uw medewerkers vooraf informeren.
AI in financieel advies raakt niet alleen de AI Act, maar vaak ook de AVG (geautomatiseerde besluitvorming) en uw sectorregels. Dat is precies waarom wij compliance als één samenhangend dossier benaderen in plaats van los per wet.
De boetes
De AI Act kent een eigen sanctieregime (art. 99), met plafonds die met het risiconiveau meeschalen:
| Overtreding | Maximale boete |
|---|---|
| Verboden AI-praktijken | €35 miljoen of 7% van de wereldwijde jaaromzet |
| Hoog-risico non-conformiteit | €15 miljoen of 3% |
| Onjuiste informatie aan toezichthouders | €7,5 miljoen of 1,5% |
Net als bij de AVG geldt: het hoogste van de twee bedragen.
Wat u nu kunt doen
U hoeft niet alles tegelijk op orde te hebben, wél de onderdelen die al gelden. Een verstandige eerste ronde:
- Breng in kaart welke AI u gebruikt: van de chatbot tot ChatGPT op kantoor
- Sluit verboden toepassingen uit (art. 5), dit geldt nu al
- Regel AI-geletterdheid: een korte interne instructie, vastgelegd
- Markeer de hoog-risico-toepassingen: vooral in HR en, voor assurantie, in advies
- Bereid de transparantieplicht voor (chatbots, AI-content) richting augustus 2026
Samenvatting
- De AI Act is een EU-verordening met directe werking: geen aparte Nederlandse wet
- Verboden praktijken (art. 5) en AI-geletterdheid (art. 4) gelden al sinds 2 februari 2025
- De meeste overige verplichtingen volgen op 2 augustus 2026
- Voor het MKB draait het meestal om chatbot-transparantie, kantoor-AI-beleid en, in HR en assurantie, hoog-risico-toepassingen
- Boetes lopen op tot €35 miljoen of 7% van de wereldwijde jaaromzet
De AI Act voelt groot, maar het deel dat nu al geldt is goed te overzien. Begin met weten wat u gebruikt; de rest bouwt u rustig op naar augustus 2026.
Bron: EUR-Lex: Verordening (EU) 2024/1689 (AI Act)
Bron: Europese Commissie: AI Act
Benieuwd welke kaders (AI Act, AVG of NIS2) voor uw organisatie gelden? Doe de gratis scope-check.
