De EU AI Act voor kleine bedrijven: wat bedrijven met 5–50 werknemers moeten weten in 2026

Bijgewerkt 19 mei 2026. De politieke overeenkomst van 7 mei 2026 voor de EU AI Omnibus heeft de deadline voor hoge risico's uitgesteld van 2 augustus 2026 naar 2 december 2027. Artikel 4 AI-geletterdheid blijft van kracht sinds februari 2026. Lees wat er veranderd is en wat niet.

Als u een klein bedrijf in Europa runt en AI-tools gebruikt – ChatGPT voor het opstellen van teksten, Copilot in Word, een AI-functie in uw CRM – dan is de EU AI Act op u van toepassing. Vanaf 2 december 2027 zijn verplichtingen voor AI met een hoog risico afdwingbaar, met boetes tot € 35 miljoen of 7% van de wereldwijde omzet. Artikel 4 AI-geletterdheid is vandaag al van toepassing. Het goede nieuws: naleving voor MKB is veel eenvoudiger dan de GRC-industrie voor bedrijven zou doen vermoeden.

Wie telt als een implementeerder?

De EU AI Act definieert een implementeerder (Artikel 3(4)) als elke natuurlijke of rechtspersoon die een AI-systeem onder eigen gezag gebruikt voor een professioneel doel. Een tweepersoons boekhoudkantoor dat Vic.ai gebruikt is een implementeerder. Een marketingbureau met 30 medewerkers dat Midjourney gebruikt is een implementeerder. Een solo-oprichter die ChatGPT gebruikt voor outreach is een implementeerder. De drempel gaat niet over grootte — het gaat over gebruik.

De vijf documenten die elke MKB-implementeerder nodig heeft

Volgens het proportionaliteitsbeginsel dat de Commissie consequent heeft toegepast, hebben MKB-bedrijven vijf documenten nodig — veel minder dan de 40-pagina's tellende bedrijfsmappen.

1. Beleid voor Acceptabel AI-gebruik (AUP)

Een beleid van 2-4 pagina's dat uw team vertelt welke AI-tools zijn goedgekeurd, voor welke doeleinden en met welke gegevens. Dit voldoet aan de AI-geletterdheidsverplichtingen van artikel 4 en voorkomt schaduw-AI.

2. AI-register

Een spreadsheet met elk gebruikt AI-systeem, inclusief leverancier, doel, datacategorieën, risicoclassificatie en interne eigenaar. Voor een typisch MKB-bedrijf zijn 10-30 rijen voldoende.

3. DPIA + FRIA

Alleen vereist voor AI-gebruik met een hoog risico. De Gegevensbeschermingseffectbeoordeling (GDPR Artikel 35) en de Grondrechteneffectbeoordeling (AI Act Artikel 27) gecombineerd in één document.

4. Openbaarmakingsberichten

Standaardformulering voor chatbots, AI-gegenereerde marketing, AI in werving, AI-transcriptie. Artikel 50-verplichtingen zijn zeer zichtbaar voor klanten — zorg voor de juiste en consistente formulering.

5. Leverancierslogboek

Een tracker die elke AI-leverancier toont die u gebruikt, met ondertekende gegevensverwerkingsovereenkomst, hostingregio en status van trainingsgegevens. Dit is het enige document waar een toezichthouder als eerste om zal vragen.

Wanneer verplichtingen van toepassing zijn (na Omnibus)

  • 2 februari 2026 — Artikel 4 AI-geletterdheidsplicht reeds van kracht.
  • 2 augustus 2025 — Verplichtingen van aanbieders van AI voor algemene doeleinden toegepast.
  • 2 december 2026 — Specifiek verbod op nudifier-apps.
  • 2 december 2027 — Verplichtingen voor implementeerders van hoogrisico-AI (bijlage III) zijn van toepassing. Het meeste MKB-compliancewerk richt zich op deze datum.
  • Augustus 2028 — Volledige toepassing van bijlage I verboden praktijken.

De kortste weg naar naleving

Als u 5-50 werknemers heeft en uw AI-gebruik beperkt is tot veelvoorkomende tools, kunt u binnen 48 uur voldoen. Ready AI Act levert uw volledige gepersonaliseerde pakket als een kant-en-klare service: bestel online, vul onze intake van 15 vragen in, ontvang uw gecontroleerde documentatiepakket binnen 48 uur. Bekijk pakketten — vanaf €299.

Terug naar blog