Wat kost AI Act compliance? Het antwoord is voor het overgrote deel van het Nederlandse MKB minder spectaculair dan menig consultant suggereert. Voor een organisatie die alleen minimaal- of beperkt-risico AI inzet, ligt de directe uitgave tussen nul en enkele duizenden euro's. Voor MKB met hoog-risico AI loopt het op tot vijfcijferige bedragen per systeem. Het verschil zit in vier kostenposten en de vraag of u zelf de kennis in huis haalt of extern inkoopt.
Hoe komt de prijs tot stand?
De AI Act zelf legt geen registratiefee of compliance-tarief op. Er is geen toezichthouder die u factureert om aanwezig te zijn. De kosten ontstaan door wat u doet om aantoonbaar te voldoen: tijd van uw mensen, eventuele software en tools, en specifieke verplichtingen voor hoog-risico AI zoals een onafhankelijke conformiteitsbeoordeling. Wie deze kostendrijvers begrijpt, kan een realistische begroting maken.
Vier kostenposten
Elke MKB-organisatie krijgt met dezelfde vier categorieen te maken. De omvang per categorie verschilt sterk afhankelijk van uw AI-portefeuille.
AI-geletterdheid en training. Verplicht sinds 2 februari 2025 onder Artikel 4. Iedereen die met AI werkt moet voldoende kennis hebben afgestemd op rol en context. Voor MKB betekent dit een interne training plus aantoonbaar bewijs. Een doe-het-zelf-aanpak via een e-learning kost tussen 0 en 30 euro per medewerker per jaar. Een externe trainer voor een halve dag kost tussen 1.500 en 3.500 euro. Reken voor een organisatie van 25 medewerkers op 750 tot 5.000 euro eenmalig, plus enkele honderden euro's per jaar voor refreshers en nieuwe medewerkers.
Governance en documentatie. Een AI-beleid van twee tot vier pagina's, een AI-register en een procedure voor incidentmelding. Wie dit zelf opstelt is vier tot acht uur kwijt aan beleid plus enkele uren per AI-systeem voor het register. Een externe jurist rekent doorgaans 150 tot 300 euro per uur. Een SaaS-platform met beleidsgenerator en register-templates kost vanaf 49 euro per maand en bundelt deze taken. Voor de meeste MKB komt dit neer op 0 tot 5.000 euro eenmalig, daarna een bescheiden abonnementsbedrag.
Risicoanalyse en aanvullende beoordelingen. Voor minimaal-risico AI volstaat een lichte inventarisatie van enkele uren. Voor hoog-risico AI geldt Artikel 9: een doorlopend risicobeheersysteem dat aantoonbaar is geimplementeerd. Een Fundamental Rights Impact Assessment (FRIA, Artikel 27) is verplicht voor specifieke deployers in de publieke sector en voor bepaalde Bijlage III-systemen in financiele dienstverlening. Een DPIA onder de AVG voor hoog-risico AI loopt vaak parallel. Externe begeleiding kost tussen 5.000 en 15.000 euro per traject. Wie ervaring heeft met DPIA's onder de AVG kan veel zelf doen.
Conformiteitsbeoordeling en certificering. Alleen relevant als u zelf hoog-risico AI in de markt zet. Een notified body voert dan een onafhankelijke beoordeling uit. De Europese Commissie raamde in haar impact assessment uit 2021 (SWD(2021) 84) gemiddelde compliance-kosten rond 29.000 euro per nieuw hoog-risico AI-systeem. Praktijkindicaties van consultancies en notified bodies wijzen op een spreiding van 15.000 tot 80.000 euro afhankelijk van complexiteit. Vrijwillige certificering tegen ISO 42001 is een aparte route en kost een MKB doorgaans tussen 15.000 en 50.000 euro inclusief voorbereiding.
Twee scenario's
De meeste MKB-organisaties vallen in scenario A. Pas als uw AI in een Bijlage III-context wordt ingezet (HR, kredietbeoordeling, kritieke infrastructuur, onderwijs, rechtshandhaving, migratie of justitie), schuift u op naar scenario B.
Scenario A: MKB zonder hoog-risico AI. Inschatting eenmalige kosten: 1.000 tot 5.000 euro. Doorlopend: 600 tot 2.500 euro per jaar. Dit dekt training, een werkbaar AI-beleid, een register en transparantie-aanpassingen op uw website. Een ondernemer met affiniteit voor compliance kan dit zelf doen in ongeveer 30 tot 40 uur over de eerste maand. Een platform-abonnement zoals AIComplianceHub vanaf 49 euro per maand verdient zich terug zodra u een uur externe consulting bespaart.
Scenario B: MKB met hoog-risico AI als deployer. Inschatting eenmalige kosten: 10.000 tot 30.000 euro per hoog-risico systeem. Doorlopend: 5.000 tot 15.000 euro per jaar. Dit dekt extra documentatie volgens Bijlage IV-light, FRIA waar verplicht, doorlopend risicobeheer en monitoring. Bent u zelf provider van een hoog-risico systeem (u brengt het onder eigen naam op de markt of past het significant aan), dan komt daar de conformiteitsbeoordeling bovenop: 15.000 tot 80.000 euro per systeem.
Wat verandert onder Digital Omnibus?
Het Digital Omnibus-pakket is op het moment van schrijven een Commissie-voorstel met aanname verwacht in mei of juni 2026. Voor MKB bevatten de huidige conceptteksten drie verlichtingen: vereenvoudigde technische documentatie, langere overgangstermijnen voor hoog-risico Bijlage III (verschuiving naar 2 december 2027) en gerichte ondersteuning via regulatory sandboxes. Tot het pakket is aangenomen blijven de oorspronkelijke deadlines van 2 augustus 2026 en 2 augustus 2027 juridisch geldend. Plan uw begroting met scenario A of B op de huidige timing en boek de mogelijke verschuiving als opslag-buffer, niet als zekerheid.
Verborgen kosten
De directe uitgave is vaak het kleinste deel. Drie posten worden onderschat.
Tijd van sleutelmensen. Een directielid of compliance-officer die 30 tot 40 uur over een maand investeert, kost intern aanzienlijk meer dan de SaaS-licentie. Reken bij een vol uurtarief van 100 euro op 3.000 tot 4.000 euro aan interne tijd in scenario A.
Aanpassingen in werkprocessen. Een AI-beleid waarin u stelt dat clientdata niet in publieke AI-tools mag, vraagt om een alternatief: een private AI-tool of duidelijke werkafspraken. Een private LLM-licentie of een ChatGPT Enterprise-account voegt 25 tot 60 euro per gebruiker per maand toe. Voor een team van tien is dat al snel 3.000 tot 7.000 euro per jaar.
Onderhoud en evolutie. AI-tools veranderen, de wet evolueert (Digital Omnibus, latere wijzigingen, sectorrichtsnoeren) en uw register vraagt kwartaalonderhoud. Plan twee tot vier uur per kwartaal voor de eindverantwoordelijke. Wie dit overslaat, ontdekt bij de eerste audit dat het register verouderd is.
Wat kunt u zelf en wanneer extern?
De vuistregel: bouw zelf voor minimaal- en beperkt-risico AI, koop extern in voor hoog-risico of waar juridische aansprakelijkheid speelt.
Zelf doen werkt voor: AI-inventaris, eerste risicoclassificatie, AI-beleid op basis van een goede template, register-inrichting, AI-geletterdheidstraining via een e-learning platform en transparantie-aanpassingen op uw website. Tools zoals AIComplianceHub bundelen deze stappen in een werkbare interface.
Extern advies loont voor: beoordeling of een specifiek systeem hoog-risico is in een grijs gebied, FRIA in publieke of financiele context, onderhandeling met een notified body, juridisch advies bij een vermoeden van Artikel 5-overtreding (verboden AI-praktijken) en het opstellen van leveranciersvragenlijsten als u AI inkoopt onder zware compliance-eisen. Reken voor een eerste juridisch orientatiegesprek op 1.500 tot 3.000 euro.
Wanneer is gratis genoeg?
Voor zzp'ers en MKB met alleen ChatGPT, Microsoft 365 Copilot en vergelijkbare beperkt-risico tools volstaat in de basis een gratis aanpak: een AI-inventaris in een spreadsheet, een eenvoudig AI-beleid uit een template, en de gratis 5-minuten risicoscan. Een betaald platform wordt rendabel zodra u meer dan vijf AI-tools heeft, hoog-risico-elementen tegenkomt, of meerdere medewerkers wilt opleiden met aantoonbaar bewijs.
De rekening die u niet wilt krijgen
De boetes onder Artikel 99 lopen op tot 35 miljoen euro of 7 procent van de wereldwijde jaaromzet voor verboden AI-praktijken. Voor MKB en startups verlaagt Artikel 99(6) deze plafonds: het laagste van het vaste bedrag of het percentage geldt. Toch is een gereduceerde boete substantieel. Een Artikel 50-overtreding op uw website kan oplopen tot tienduizenden euro's. Reputatieschade en gemiste tenders door ontbrekende compliance kosten in de praktijk vaak meer dan de boete zelf.
Waar begint u?
Kies een scenario op basis van uw AI-portefeuille, maak een budget voor twaalf maanden vooruit en plan de tijd in. Een gratis 5-minuten risicoscan plaatst u binnen het juiste scenario en geeft een concreet stappenplan. Vanaf dat punt is de begroting realistisch te maken en de uitvoering te plannen. De grootste hidden cost is uitstel: hoe later u begint, hoe meer u in een keer moet inhalen wanneer een audit, klant of toezichthouder het vraagt.