Bij MKB-organisaties hangt de AI Act vaak boven het hoofd als iets vaag-belangrijks. Te complex om zelf uit te dokteren, te duur om een consultant op af te sturen. Toch is de praktische kern voor het overgrote deel van het MKB best behapbaar. Hier de echte lijst.
Geldt de wet voor mij?
Kort antwoord: bijna altijd ja, als u AI gebruikt. De EU AI Act maakt geen onderscheid op organisatiegrootte. Of u nu een eenmanszaak bent met ChatGPT of een MKB met 200 mensen, de wet is van toepassing zodra u AI inzet binnen de EU. Wel zijn er verlichtingen voor MKB en startups: lagere boete-plafonds, vereenvoudigde technische documentatie en prioriteit bij regulatory sandboxes.
U bent in vrijwel alle gevallen deployer (gebruiksverantwoordelijke). U koopt AI in via SaaS, gebruikt ChatGPT of Copilot, of laat AI ontwikkelen door een leverancier. Provider (aanbieder) wordt u zodra u AI onder eigen naam in de markt brengt of een ingekocht model significant aanpast (bijvoorbeeld door fine-tuning).
Wat moet u echt regelen?
De MKB-essentials zijn vijf onderdelen.
AI-inventaris. Welke AI-tools draaien er in uw organisatie? Lijst ze op. Vergeet ingebouwde AI-features in software niet (Microsoft 365 Copilot, AI in HR-platforms, slimme zoekfuncties). Onze 5-minuten risicoscan doet dit gestructureerd.
Risicoclassificatie per tool. Per AI-tool: is het verboden, hoog-risico, beperkt of minimaal? Voor MKB komt 90 procent uit op minimaal of beperkt risico. Hoog-risico komt voor in HR (cv-screening, performance monitoring), finance (kredietbeoordeling) en zorg (medische AI).
AI-geletterdheid. Verplicht sinds 2 februari 2025. Iedereen die met AI werkt moet voldoende kennis hebben. Voor MKB betekent dit: een interne training plus aantoonbare bewijs (certificaat, deelnamelijst, gespreksverslag). Niet ingewikkeld, wel verplicht.
AI-beleid. Een document van 2-4 paginas dat regelt wat mag en wat niet, welke data niet in publieke AI-tools mag, wie verantwoordelijk is en hoe u incidenten meldt. Geen scriptie nodig, wel een geschreven referentie.
Transparantie naar klanten. Gebruikt u een chatbot? Mensen moeten weten dat ze met AI praten (Artikel 50, juridisch geldend vanaf 2 augustus 2026, vermoedelijk via Digital Omnibus naar eind 2026). Genereert AI klantfacing content? Label of disclaimer toevoegen. Eenmaal goed ingericht is dit een kleine moeite.
Wat kunt u overslaan?
Voor het MKB met alleen minimaal-risico AI komt veel werk niet aan de orde. Conformiteitsbeoordeling is alleen voor providers van hoog-risico systemen of producten met ingebedde AI. FRIA is alleen verplicht in specifieke contexten (publieke sector, financiele sector). Volledige technische documentatie zoals voorgeschreven in Bijlage IV is alleen relevant voor wie hoog-risico AI ontwikkelt.
Kortom: stuur niet een hoofdstuk vol regels op uw mensen af die voor uw situatie niet gelden.
In welke volgorde pakt u dit aan?
Week 1: scanner draaien, inventaris compleet, eerste classificatie zichtbaar. Een uur werk voor een gemiddeld MKB.
Week 2: AI-beleid concept opstellen of generator gebruiken. Vier uur werk inclusief afstemming met directie.
Week 3: AI-geletterdheidstraining inplannen voor alle relevante medewerkers. Twee uur per medewerker, 90 minuten plenair plus 30 minuten werkpraktijk.
Week 4: documentatie afronden, register inrichten, transparantie-elementen op website plaatsen. Acht uur voor de eindverantwoordelijke.
Na een maand staat de basis. Vanaf dan is het kwartaalonderhoud: nieuwe AI gemeld, register bijgewerkt, beleid getoetst.
Wat kost dit?
In directe uitgaven: meestal niets als u zelf de kennis ophaalt en de basistools gebruikt. Een SaaS-platform zoals AIComplianceHub kost vanaf 49 euro per maand en bundelt scanner, register, beleidsgenerator en e-learning. Vergeleken met een externe consultant (150-300 euro per uur) verdient dat zich snel terug.
In tijd: reken op 30-40 uur de eerste maand voor een MKB van 5-50 medewerkers. Na inrichting: enkele uren per kwartaal.
De boetes
Voor MKB en startups gelden lagere maxima dan voor grote ondernemingen. De wet maakt expliciet onderscheid en houdt rekening met de belangen van het MKB inclusief startups. Toch zijn ook gereduceerde boetes substantieel. Een verboden AI-praktijk kan tot honderdduizenden euro's kosten, een transparantie-overtreding op uw website tot enkele tienduizenden. Reputatieschade is vaak een grotere zorg dan de boete zelf.
Waar begint u vandaag?
Met de gratis 5-minuten risicoscan. Eindigt u met een lijst, een eerste risicoprofiel en een concreet stappenplan. Vanaf dat punt is alles bekend en behapbaar. De grootste belemmering bij MKB-naleving is niet complexiteit, maar uitstel.