De EU AI Act is in maart 2024 officieel goedgekeurd en treedt geleidelijk in werking tussen 2025 en 2026.
De wet bepaalt welke AI-systemen als hoog risico worden gezien, stelt eisen aan transparantie en legt verplichtingen op aan bedrijven die AI ontwikkelen of gebruiken.

In dit artikel legt Process 2 IT uit wat de AI Act inhoudt, wat dit betekent voor mkb-bedrijven die AI gebruiken
en hoe je je organisatie kunt voorbereiden op de nieuwe regels.
We koppelen dit onderwerp ook aan cloudstrategie en beleid,
want verantwoord AI-gebruik begint bij een goed ingerichte digitale basis.

Achtergrond van de AI Act

De Europese Commissie publiceerde het eerste voorstel voor de AI Act in 2021.
Na jaren van onderhandelingen is het nu een bindende verordening geworden.
De wet heeft als doel het gebruik van AI veiliger, transparanter en eerlijker te maken.
In tegenstelling tot richtlijnen, geldt een verordening direct in alle lidstaten — zonder nationale omzetting.

Wat wil de wet bereiken?

De AI Act wil innovatie stimuleren zonder dat veiligheid en fundamentele rechten in gevaar komen.
Samengevat draait het om drie pijlers:

• Transparantie: gebruikers moeten weten dat ze met AI te maken hebben.
• Verantwoordelijkheid: bedrijven moeten risico’s inschatten en beheersen.
• Veiligheid: AI-systemen mogen geen schade veroorzaken of discrimineren.

Deze principes gelden voor zowel ontwikkelaars als bedrijven die AI-toepassingen inkopen of gebruiken.

De vier risiconiveaus van AI-toepassingen

De AI Act deelt toepassingen in volgens een risicogebaseerde benadering:

1. Onacceptabel risico: AI-systemen die fundamentele rechten schenden, zoals manipulatie van gedrag of sociale scoring, worden verboden.
2. Hoog risico: toepassingen in sectoren als zorg, financiën, onderwijs en kritieke infrastructuur. Deze moeten voldoen aan strikte eisen voor data-kwaliteit, audit-logboeken en menselijke controle.
3. Beperkt risico: systemen zoals chatbots en AI-ondersteunde klantenservice. Transparantie is vereist — gebruikers moeten weten dat ze met AI communiceren.
4. Laag risico: toepassingen met minimale impact, zoals spamfilters of automatische vertalingen. Hier gelden nauwelijks verplichtingen.

De meeste mkb-bedrijven vallen in de categorie “beperkt risico” of “hoog risico”, afhankelijk van hun toepassing.

Verplichtingen voor bedrijven

Bedrijven die AI ontwikkelen of gebruiken, krijgen te maken met nieuwe verplichtingen. Deze verschillen per risicocategorie.

• Registratieplicht: hoog-risico-systemen moeten worden geregistreerd in de EU-AI-database.
• Documentatie: bedrijven moeten kunnen aantonen hoe hun AI-model beslissingen neemt.
• Data-beheer: gebruikte datasets moeten representatief en niet-discriminerend zijn.
• Menselijke controle: AI-beslissingen mogen nooit volledig autonoom zijn bij hoog-risico-toepassingen.
• Transparantie-vermelding: bij chatbots of AI-teksten moet duidelijk zijn dat de output door AI is gegenereerd.

Overtredingen kunnen leiden tot forse boetes: tot 35 miljoen euro of 7% van de wereldwijde jaaromzet, afhankelijk van de ernst.

Wat betekent dit voor mkb-bedrijven?

Veel mkb’ers gebruiken al AI zonder het te beseffen — denk aan slimme e-mailfilters, klantanalyses of AI-gestuurde planningstools.
De AI Act verplicht organisaties om deze toepassingen te inventariseren en classificeren.

• Controleer welke AI-systemen worden gebruikt binnen de organisatie of leveranciersketen.
• Zorg dat er een verantwoordelijke persoon is aangewezen voor compliance.
• Neem AI-beleid op in het cloud- en IT-beleid.
• Informeer medewerkers over verantwoord gebruik van AI en privacy-aspecten.

Veelgestelde vragen over de AI Act

Geldt de AI Act ook voor kleine bedrijven?

Ja, maar in mindere mate. De wet maakt onderscheid tussen ontwikkelaars en gebruikers. Mkb-bedrijven die AI-tools inkopen, hoeven meestal geen technische audits te doen, maar wél te zorgen voor verantwoord gebruik en transparantie.

Wanneer treedt de AI Act volledig in werking?

De wet wordt gefaseerd ingevoerd tussen 2025 en 2026. Bepaalde verboden toepassingen gelden direct na 2025, terwijl registratie- en controleverplichtingen pas in 2026 van kracht worden.

Wat is een hoog-risico AI-systeem?

Dat zijn systemen die een grote invloed hebben op iemands leven of veiligheid, bijvoorbeeld AI die sollicitaties beoordeelt, medische diagnoses ondersteunt of kredietrisico’s berekent.

Hoe kan mijn bedrijf zich voorbereiden?

Begin met een inventarisatie van alle AI-toepassingen. Leg vast wie eigenaar is van de data en bepaal of jouw leverancier voldoet aan de nieuwe EU-eisen.
Gebruik AI alleen binnen een gecontroleerde cloudomgeving met duidelijke verantwoordelijkheden.

Hoe kun je je voorbereiden?

• Voer een AI-inventarisatie uit en documenteer alle toepassingen.
• Stel een intern AI-beleid op waarin transparantie, privacy en veiligheid zijn opgenomen.
• Werk samen met leveranciers om te controleren of hun systemen voldoen aan de AI Act.
• Gebruik oplossingen zoals Microsoft Intune om naleving en apparaatbeheer te waarborgen.

Door nu te investeren in duidelijke processen en documentatie, voorkom je problemen wanneer de wet volledig wordt toegepast.

Samenvatting

De AI Act verandert hoe mkb-bedrijven met kunstmatige intelligentie omgaan.
Transparantie, menselijke controle en verantwoord gebruik worden de norm.
Door nu al beleid op te stellen en risico’s te documenteren, kun je innovatie combineren met naleving.

Wil je hulp bij het integreren van AI in een veilige en compliant cloudomgeving?
Neem contact op met Process 2 IT — wij helpen mkb-bedrijven bij een toekomstbestendige digitale strategie.