EU AI Act voor KMO's: zo bereidt u zich voor op de deadline van augustus 2026

EU AI Act voor KMO's: zo bereidt u zich voor op de deadline van augustus 2026

Op 2 augustus 2026 wordt het volledige compliancekader van de EU AI Act van kracht. Ontdek in 7 stappen wat dit voor uw KMO betekent en hoe u boetes vermijdt.

Op 2 augustus 2026 treedt het volledige nalevingskader van de EU AI Act in werking. Voor veel KMO's voelt dat als nog een verplichting bovenop e-facturatie, GDPR en NIS2. Toch is er goed nieuws: voor de meeste kleinere ondernemingen is de impact beperkter dan gevreesd, op voorwaarde dat u nu de juiste stappen zet. In dit artikel leest u wat de AI Act concreet betekent voor uw bedrijf, welke verplichtingen u wel en welke u niet treffen, en hoe u zich in zeven stappen voorbereidt op de deadline.

Wat is de EU AI Act precies?

De Artificial Intelligence Act is de eerste uitgebreide AI-wetgeving ter wereld. Ze werd op 1 augustus 2024 van kracht, maar de verplichtingen worden gefaseerd ingevoerd. De wet deelt AI-systemen op in vier risicocategorieën en koppelt aan elke categorie een eigen set regels.

De filosofie is eenvoudig: hoe groter het risico voor mensen of de samenleving, hoe strenger de verplichtingen. Een spamfilter wordt anders behandeld dan een AI-systeem dat beslist of u een lening krijgt of niet.

Voor België geldt geen aparte wet. De AI Act is een Europese verordening en werkt rechtstreeks door in de Belgische rechtsorde. De FOD Economie en de toekomstige Belgische AI-toezichthouder krijgen de taak om de regels te handhaven.

De vier risicocategorieën uitgelegd

1. Onaanvaardbaar risico (verboden)

Sinds 2 februari 2025 zijn bepaalde AI-toepassingen volledig verboden in Europa. Het gaat om systemen die fundamentele rechten schenden:

  • Social scoring zoals in China, waarbij burgers een score krijgen op basis van gedrag
  • AI die emoties leest op het werk of op school
  • Manipulatieve systemen die kwetsbare mensen misleiden
  • Real-time gezichtsherkenning in publieke ruimtes (met enkele uitzonderingen)

    • De meeste KMO's komen hier niet mee in aanraking. Maar als u software gebruikt die emoties van uw medewerkers analyseert tijdens videovergaderingen, gaat u nu al de mist in.

    2. Hoog risico (strikt gereglementeerd)

    Dit is de categorie waar het echte werk zit. AI-systemen worden als hoog risico beschouwd wanneer ze worden ingezet in gevoelige domeinen:

  • Werving en selectie (CV-screening, kandidaatbeoordeling)
  • Toegang tot onderwijs of beoordeling van studenten
  • Kredietbeoordeling en verzekeringen
  • Toegang tot essentiële diensten (energie, water, sociale zekerheid)
  • Veiligheidscomponenten in machines, voertuigen of medische apparaten

    • Gebruikt uw HR-afdeling AI om CV's te screenen? Werkt u met een tool die automatisch beslissingen neemt over kredietverlening aan klanten? Dan valt u in deze categorie en moet u voldoen aan strenge verplichtingen rond documentatie, transparantie, menselijk toezicht en datakwaliteit.

    3. Beperkt risico (transparantieplicht)

    Dit raakt verreweg het grootste aantal KMO's. Onder beperkt risico vallen:

  • AI-chatbots en virtuele assistenten
  • Generatieve AI die tekst, beeld of audio creëert
  • Deepfake-technologie
  • Systemen die met klanten communiceren

    • De verplichting hier is eenvoudig: u moet duidelijk maken dat de gebruiker met een AI praat, niet met een mens. Heeft u een AI-chatbot op uw website? Dan moet de bezoeker dat weten. Genereert uw nieuwsbrief automatisch teksten met AI? Dan moet u dat communiceren wanneer dit relevant is.

    4. Minimaal risico (geen verplichtingen)

    De overgrote meerderheid van AI-toepassingen valt in deze categorie. Spamfilters, aanbevelingssystemen in webshops, AI in videogames, automatische ondertiteling: voor deze toepassingen verandert er niets.

    Wat verandert er concreet vanaf 2 augustus 2026?

    De deadline van 2 augustus is een belangrijk moment. Vanaf die datum:

  • Geldt het volledige compliancekader voor hoog-risico AI-systemen
  • Moet u voor hoog-risico AI een conformiteitsbeoordeling kunnen voorleggen
  • Is technische documentatie verplicht
  • Moet menselijk toezicht aantoonbaar zijn ingebouwd
  • Treden de hoogste boetes in werking

    • Als u alleen werkt met chatbots, copilots, generatieve AI voor marketing of automatiseringen voor uw backoffice, dan blijft uw nalevingslast beperkt tot transparantie en goede documentatie. Als u AI inzet voor HR, krediet of andere gevoelige beslissingen, ligt de lat hoger.

    Hoe groot zijn de boetes?

    De AI Act voorziet drie niveaus van boetes:

  • Tot 35 miljoen euro of 7% van de wereldwijde omzet voor verboden AI-praktijken
  • Tot 15 miljoen euro of 3% van de omzet voor andere overtredingen
  • Tot 7,5 miljoen euro of 1,5% voor het verstrekken van foute informatie aan toezichthouders

    • Voor KMO's geldt een gunstigere regeling: u betaalt het laagste van de twee bedragen. Een boete van 7% van een omzet van 2 miljoen euro is nog altijd 140.000 euro, maar het is geen 35 miljoen. De wetgever wil KMO's niet kapotmaken, maar wel motiveren om in regel te zijn.

    Belangrijker dan de boetes is het reputatierisico. Wanneer u publiekelijk wordt aangeklaagd omdat uw AI-systeem discrimineert of fundamentele rechten schendt, is de schade aan uw merk groter dan welke boete ook.

    Een praktisch zevenstappenplan

    Stap 1: Maak een AI-inventaris

    U kunt niets in regel brengen wat u niet kent. Maak een register met alle AI-systemen die uw bedrijf gebruikt. Denk niet alleen aan duidelijke AI zoals ChatGPT of een chatbot. Denk ook aan:

  • AI-functies in uw boekhoudsoftware (factuurherkenning, fraudedetectie)
  • AI in uw CRM (lead scoring, gesprekssamenvattingen)
  • AI in uw e-mailprogramma (Smart Compose, prioritering)
  • AI in uw marketingtools (Klaviyo, HubSpot, Mailchimp)
  • AI in uw HR-software (CV-screening, planning)
  • AI in uw beveiligingssystemen

    • Voor elk systeem noteert u: naam, leverancier, doel, type data dat wordt verwerkt, en op welke afdeling het wordt gebruikt.

    Stap 2: Classificeer elk systeem

    Loop uw inventaris door en classificeer elk systeem in één van de vier categorieën. Voor de meeste tools is dit eenvoudig. Bij twijfel hanteert u de regel: als de AI een belangrijke beslissing neemt over een persoon, ga uit van hoog risico tot het tegendeel bewezen is.

    Let vooral op tools die geleidelijk meer beslissingsmacht hebben gekregen. Een CV-screeningtool die vroeger alleen rangschikte, neemt vandaag misschien al een eerste filterbeslissing. Dat verandert de classificatie.

    Stap 3: Vraag uw leveranciers om documentatie

    De meeste KMO's gebruiken AI niet door zelf modellen te bouwen, maar door SaaS-oplossingen in te kopen. De wet legt verplichtingen op aan leveranciers (providers) en gebruikers (deployers). Voor ingekochte AI ligt het zwaartepunt bij uw leverancier.

    Vraag actief om:

  • Een conformiteitsverklaring volgens de AI Act
  • Technische documentatie van het systeem
  • Een uitleg over de gebruikte trainingsdata
  • Een beschrijving van risicobeheersing
  • Een procedure voor het melden van incidenten

    • Grote spelers zoals Microsoft, Google en Anthropic hebben deze documentatie klaar. Kleinere SaaS-leveranciers misschien nog niet. Door er nu om te vragen, dwingt u hen om in regel te komen vóór het te laat is.

    Stap 4: Bouw transparantie in

    Voor systemen met beperkt risico is transparantie de kernverplichting. Praktisch betekent dat:

  • Uw chatbot opent met een mededeling dat de gebruiker met een AI praat
  • AI-gegenereerde content wordt als zodanig gelabeld waar nodig
  • Klanten weten wanneer een AI hun aanvraag verwerkt

    • Dit is geen academische oefening. Veel KMO's hebben deze transparantie nu al nodig om vertrouwen op te bouwen bij hun klanten. Een chatbot die zich als mens voordoet en daarna ontmaskerd wordt, vernietigt dat vertrouwen instant.

    Wilt u zien hoe u een professionele en compliant chatbot bouwt? Lees ook hoe u uw website automatisch leads laat genereren met AI.

    Stap 5: Organiseer menselijk toezicht

    Voor hoog-risico systemen is menselijk toezicht een harde verplichting. Maar ook voor andere AI-toepassingen is het een goed idee. De wet vraagt dat een mens:

  • De output van het systeem kan controleren
  • Beslissingen kan overrulen
  • Het systeem kan stilleggen indien nodig
  • Periodiek de prestaties evalueert

    • In de praktijk betekent dit dat u procedures opstelt. Wie controleert de AI-beslissingen? Hoe vaak? Wat gebeurt er bij twijfel? Documenteer dit, want bij een audit moet u kunnen aantonen dat dit geen papieren tijger is.

    Stap 6: Train uw medewerkers

    Sinds 2 februari 2025 geldt artikel 4 van de AI Act: organisaties moeten zorgen dat medewerkers die met AI werken voldoende opgeleid zijn. Dat hoeft geen tweedaagse opleiding te zijn, maar uw team moet weten:

  • Wat de AI wel en niet kan
  • Welke beperkingen het systeem heeft
  • Hoe ze fouten of vooroordelen herkennen
  • Wanneer ze zelf moeten ingrijpen

    • Voor een KMO van tien medewerkers volstaat een interne opleiding van een halve dag, eventueel aangevuld met korte updates wanneer u nieuwe AI-tools inzet. Documenteer wel dat de opleiding heeft plaatsgevonden en wie eraan deelnam.

    Stap 7: Stel een AI-beleid op

    Een kort intern AI-beleid lost veel problemen op. Daarin staat:

  • Welke AI-tools mogen worden gebruikt en welke niet
  • Hoe medewerkers omgaan met bedrijfs- en klantgegevens in AI-tools
  • Wie de eindverantwoordelijkheid draagt
  • Hoe nieuwe AI-tools worden goedgekeurd vóór implementatie

    • Een pagina of twee volstaat. Het belangrijkste is dat het beleid bestaat, gekend is en wordt toegepast. Een ondernemer die ChatGPT gebruikt om gevoelige klantcontracten te analyseren zonder duidelijke regels, loopt niet alleen een AI Act-risico, maar ook een GDPR-risico.

    Speciale aandacht voor generatieve AI

    Generatieve AI verdient een eigen sectie omdat bijna elke KMO er vandaag mee in aanraking komt. ChatGPT, Claude, Gemini en Copilot zitten ingebakken in tools die u dagelijks gebruikt. De AI Act stelt voor deze systemen specifieke regels:

  • AI-gegenereerde content moet machineleesbaar gemarkeerd worden waar mogelijk
  • Deepfakes moeten als zodanig herkenbaar zijn
  • Modellen die getraind zijn op auteursrechtelijk beschermde data moeten transparant zijn over de gebruikte bronnen
    • Deel dit artikel:

    Gerelateerde artikelen

    SEO in 2025: van zichtbaarheid naar omzet: het 90‑dagen actieplan - AI-automatisering artikel door Hugarro

    SEO in 2025: van zichtbaarheid naar omzet: het 90‑dagen actieplan

    SEO in 2025 vraagt om topicale autoriteit, razendsnelle UX en slimme structured data. Ontdek het 90‑dagen actieplan en conversietactieken om zichtbaarheid om te zetten in leads en sales.

    AI-klantportalen: hoe KMO's hun klantenservice automatiseren - AI-automatisering artikel door Hugarro

    AI-klantportalen: hoe KMO's hun klantenservice automatiseren

    Klanten verwachten vandaag 24/7 toegang tot informatie, bestellingen en support. Met een AI-klantportaal op maat geeft u uw klanten die ervaring - zonder extra personeel. Ontdek hoe KMO's dit slim aanpakken.

    Hoe workflow automatisering uw bedrijf geld kan besparen - AI-automatisering artikel door Hugarro

    Hoe workflow automatisering uw bedrijf geld kan besparen

    Ontdek hoe het automatiseren van bedrijfsprocessen niet alleen tijd bespaart, maar ook direct bijdraagt aan kostenreductie en verhoogde winstgevendheid.

    Meer inzichten ontdekken?

    Bekijk alle inzichten