Deze AI Act compliance checklist bevat tien concrete stappen die Nederlandse MKB-bedrijven nu kunnen zetten om compliant te worden. De EU AI Act (ook wel AI-wet of AI-verordening genoemd) kan overweldigend lijken zonder juridische afdeling. Gebruik deze handleiding als praktische leidraad, van inventarisatie tot governance-structuur.
Belangrijke update: het Digital Omnibus-voorstel
In maart 2026 namen Raad (13 maart) en Europees Parlement (26 maart) hun onderhandelingsposities aan op het Digital Omnibus-voorstel (COM(2025) 836, gepubliceerd 19 november 2025). Het voorstel wil meerdere AI Act-deadlines verschuiven. De hoog-risico verplichtingen uit Bijlage III (werving, krediet, onderwijs, kritieke infrastructuur) verschuiven van 2 augustus 2026 naar 2 december 2027. Hoog-risico AI in gereguleerde producten (Bijlage I, zoals medische hulpmiddelen en machines) verschuift van 2 augustus 2027 naar 2 augustus 2028. De transparantieplicht (Artikel 50) verschuift van 2 augustus 2026 naar eind 2026 (exacte datum nog inzet van trilogue). Het pakket zit per eind april 2026 in trilogue-onderhandelingen; politiek akkoord wordt rond die tijd verwacht en formele adoptie in mei of juni 2026. Tot publicatie in het Publicatieblad gelden juridisch de oorspronkelijke deadlines.
Belangrijk: de AI-geletterdheidsplicht (Artikel 4) en het verbod op onaanvaardbare AI (Artikel 5) zijn al van kracht sinds 2 februari 2025. Ook de GPAI-regels uit Hoofdstuk V (Artikelen 51 tot en met 56) gelden al sinds 2 augustus 2025. Hier verandert niets aan.
Wat betekent dit voor uw planning? U krijgt waarschijnlijk extra tijd voor de zwaardere hoog-risico verplichtingen. Maar de basisstappen moet u nu al zetten, en plan uw hoog-risico compliance voorzichtigheidshalve op de oorspronkelijke datum van 2 augustus 2026 tot het Omnibus-pakket formeel is aangenomen.
Stap 1: Bewustwording creeren
Zorg dat het management en de belangrijkste stakeholders binnen uw organisatie op de hoogte zijn van de AI Act en de impact ervan. Dit is geen IT-project maar een organisatiebreed thema dat raakt aan juridische zaken, privacy, HR en bedrijfsvoering. Plan een korte sessie om de kern van de wet te bespreken en bepaal wie eindverantwoordelijk is voor AI compliance binnen uw organisatie.
Stap 2: AI-inventarisatie uitvoeren
Maak een compleet overzicht van alle AI-systemen die uw organisatie gebruikt. Denk hierbij breed. Niet alleen de voor de hand liggende tools zoals ChatGPT, maar ook AI die is ingebouwd in uw bestaande software. CRM-systemen, boekhoudsoftware, marketingplatforms en HR-tools bevatten steeds vaker AI-functionaliteit. Betrek alle afdelingen bij deze inventarisatie.
Stap 3: Risicoclassificatie bepalen
Classificeer elk AI-systeem uit uw inventarisatie in een van de vier risicocategorieen van de AI Act: onaanvaardbaar, hoog, beperkt of minimaal risico. Dit bepaalt welke verplichtingen voor elk systeem gelden. Let er specifiek op of uw systemen worden gebruikt voor beslissingen die mensen direct raken, of ze gevoelige data verwerken en in welke sector ze worden ingezet.
Stap 4: Verboden AI-systemen identificeren en stoppen
Controleer of u AI-systemen gebruikt die onder de categorie onaanvaardbaar risico vallen. Deze zijn sinds 2 februari 2025 verboden. Denk aan sociale kredietsystemen, bepaalde vormen van emotieherkenning op de werkplek en manipulatieve AI-technieken. Heeft u dergelijke systemen, dan moet u deze direct uitfaseren.
Stap 5: AI-beleid opstellen
Stel een AI-beleidsdocument op dat beschrijft hoe uw organisatie omgaat met AI. Dit document bevat richtlijnen voor het aanschaffen en inzetten van nieuwe AI-tools, regels voor verantwoord gebruik, een overzicht van rollen en verantwoordelijkheden en procedures voor het melden van incidenten. Een goed AI-beleid geeft uw medewerkers duidelijkheid en laat aan toezichthouders zien dat u het serieus neemt.
Stap 6: AI-register opbouwen
Richt een centraal AI-register in waarin u per systeem documenteert wat het doet, wie de leverancier is, welke data het verwerkt, welke risicocategorie het heeft en welke maatregelen u heeft genomen. Dit register vormt de basis voor al uw compliance-activiteiten en moet actueel worden gehouden.
Stap 7: Documentatie genereren
Stel voor elk relevant AI-systeem de vereiste documentatie op. Afhankelijk van de risicocategorie kan dit een risicobeoordeling zijn, een transparantieverklaring, een procedure voor menselijk toezicht, of een data governance beschrijving. Gebruik templates of geautomatiseerde tools om dit proces te versnellen.
Goed nieuws voor kleinere bedrijven: de AI Act erkent expliciet dat MKB-bedrijven vereenvoudigde documentatie mogen gebruiken. U hoeft niet dezelfde uitgebreide technische dossiers op te stellen als grote technologiebedrijven. De Europese Commissie werkt aan templates en richtlijnen die specifiek zijn afgestemd op kleinere organisaties. Zorg wel dat uw documentatie compleet is en de kernvragen beantwoordt: welk systeem, welk doel, welke risicos, welke maatregelen.
Stap 8: AI-geletterdheid waarborgen
De AI-geletterdheidsplicht uit Artikel 4 geldt al sinds februari 2025. Zorg dat alle medewerkers die met AI werken voldoende kennis hebben. Dit omvat een basisbegrip van wat AI is en hoe het werkt, kennis van de risicos en beperkingen en vaardigheden om AI verantwoord te gebruiken. Investeer in een gestructureerde training en documenteer dat uw medewerkers zijn opgeleid.
Stap 9: Monitoring en review inrichten
Compliance is geen eenmalige exercitie. Richt een proces in voor periodieke review van uw AI-register en documentatie. Plan elk kwartaal een moment in om te controleren of er nieuwe AI-systemen zijn toegevoegd, of bestaande classificaties nog kloppen, of de documentatie actueel is en of medewerkers die nieuw zijn of van rol zijn veranderd de juiste training hebben gehad.
Stap 10: Governance-structuur opzetten
Wijs een AI-verantwoordelijke aan binnen uw organisatie. Dit hoeft voor een MKB-bedrijf geen fulltime functie te zijn, het kan een onderdeel zijn van een bestaande rol. Deze persoon is verantwoordelijk voor het bijhouden van het AI-register, het coordineren van trainingen, het evalueren van nieuwe AI-tools voor aanschaf en het afhandelen van eventuele incidenten.
Bonus: maak gebruik van de AI regulatory sandbox
Elke EU-lidstaat moet voor augustus 2026 minimaal een AI regulatory sandbox oprichten. Dit is een gecontroleerde testomgeving waarin bedrijven hun AI-systemen kunnen ontwikkelen en testen onder begeleiding van de toezichthouder. MKB-bedrijven en startups krijgen voorrang bij de toegang.
Wat levert dat op? U kunt uw AI-systeem laten toetsen voordat u het op de markt brengt, zonder het risico van directe handhaving. U krijgt feedback van de toezichthouder over uw compliance-aanpak. De kosten voor deelname worden voor kleine bedrijven verlaagd of kwijtgescholden. Het is geen verplichting, maar het is een kans. Zeker als u een nieuw AI-product ontwikkelt of twijfelt over de risicoklasse van uw systeem.
Waar begint u?
Deze checklist lijkt misschien veel, maar u hoeft niet alles tegelijk te doen. Begin met stap 1 en 2: zorg voor bewustwording en maak een inventarisatie. Van daaruit kunt u stap voor stap verder werken.
Onze AI Risicoscanner helpt u met stap 2 en 3: in vijf minuten heeft u een eerste classificatie en weet u welke verplichtingen gelden. Met het AIComplianceHub portal kunt u vervolgens uw volledige AI-register opbouwen, documentatie genereren en uw team trainen. Alles in één platform, speciaal ontwikkeld voor het Nederlandse MKB.
De basisverplichtingen gelden nu al. Het Digital Omnibus-voorstel geeft naar verwachting extra tijd voor hoog-risico verplichtingen (tot 2 december 2027 als het pakket tijdig wordt aangenomen), maar wacht daar niet op. Hoe eerder u begint, hoe meer grip u heeft op het proces. En u voldoet direct aan de verplichtingen die nu al van kracht zijn: AI-geletterdheid en het verbod op onaanvaardbare AI.