Over zeven weken verandert er iets waar de meeste MKB-ondernemers nog niet van wakker liggen. Op 2 augustus 2026 worden de regels voor zogeheten high-risk AI uit de EU AI Act bindend.
Dat klinkt als iets voor grote techbedrijven. Dat is het niet.
Als jij AI gebruikt om cv's te screenen, kredietwaardigheid te beoordelen, of klanten in te delen voor verzekeringen of leningen, dan val je waarschijnlijk onder die regels. Niet als bouwer van het systeem, maar als gebruiker. En precies die groep is het slechtst voorbereid.
Ik schrijf dit stuk omdat ik tien jaar in de financiële wereld heb gewerkt, met ISO-normen, ISAE-audits en audit trails. Daar leerde ik iets dat de meeste mensen verkeerd om hebben: governance is geen last die je oplegt nadat alles werkt. Het is een voorsprong die je inbouwt voordat het misgaat.
Wat de AI Act MKB-bedrijven precies oplegt
De EU AI Act deelt AI-systemen in op risico. Hoe groter het risico voor mensen, hoe strenger de regels.
De zwaarste categorie heet high-risk: AI die wordt ingezet op terreinen waar een fout iemand serieus kan raken. Denk aan werving en selectie, toegang tot onderwijs, kredietverlening, of verzekeringspremies.
Binnen die categorie zijn er twee rollen. De aanbieder bouwt of verkoopt het systeem. De gebruiker (in de wet "deployer") zet het in voor zijn eigen bedrijf. Dat laatste ben jij, als je een tool inkoopt en gebruikt.
Gebruikers hebben minder verplichtingen dan bouwers. Maar minder is niet geen. En dat misverstand kost straks geld.
Waarom "ik bouw het zelf niet" je niet redt
De meeste MKB-ondernemers denken: ik heb niets gebouwd, dus die regels gaan over de leverancier. Dat klopt deels.
Maar je wordt zelf aansprakelijk op twee momenten. Het eerste is als je het systeem anders gebruikt dan waarvoor het bedoeld is. Koop je een tool voor het ordenen van cv's en zet je hem in om kandidaten automatisch af te wijzen, dan verander je het doel en schuif je richting de zwaardere verplichtingen van een bouwer.
Het tweede is als je je niet houdt aan de instructies van de leverancier. Staat in de handleiding dat een mens elke beslissing moet controleren, en doe je dat niet, dan ben jij in overtreding. Niet de leverancier.
Dit is exact het patroon dat ik uit de financiële audit-wereld ken. De software was nooit het probleem. Het probleem was altijd het gebruik dat niemand had vastgelegd.
De checklist: wat je nu als gebruiker moet regelen
Hier wordt het concreet. Dit zijn de verplichtingen die op 2 augustus 2026 ingaan voor wie high-risk AI gebruikt. Loop ze één voor één langs.
-
Inventariseer welke AI je gebruikt en waarvoor. Maak een simpele lijst: welk systeem, voor welke beslissing, over wie. Zonder dit overzicht weet je niet eens of je onder de regels valt.
-
Bepaal of een van die toepassingen high-risk is. Werving, kredietbeoordeling, verzekeringen, toegang tot diensten: dat zijn de gevoelige gebieden. Twijfel je, ga uit van high-risk tot het tegendeel is bewezen.
-
Richt menselijk toezicht in. Bij high-risk AI mag een mens niet alleen toekijken, maar moet hij of zij een beslissing kunnen tegenhouden of overrulen. Leg vast wie dat is en wanneer.
-
Bewaar de automatische logs minstens zes maanden. Het systeem moet vastleggen wat het deed, en jij moet die vastlegging bewaren. Dit is je bewijs als er ooit een klacht komt.
-
Controleer of je een impact-toets nodig hebt. Voor bepaald gebruik (vooral door overheden en bij diensten met grote gevolgen voor mensen) is een Fundamental Rights Impact Assessment verplicht. Dat is een toets waarin je vooraf beschrijft welke gevolgen het systeem kan hebben voor de rechten van mensen.
-
Gebruik het systeem zoals de leverancier het bedoeld heeft. Lees de instructies, volg ze, en wijk er niet stilletjes van af. Verander je het doel, dan verander je je eigen aansprakelijkheid.
-
Leg je eigen afspraken schriftelijk vast. Wie controleert, wat de procedure is bij twijfel, hoe lang je logs bewaart. Niet voor de bureaucratie, maar omdat een afspraak die nergens staat in de praktijk niet bestaat.
Punt 4 lijkt het saaiste, maar het is je belangrijkste verdediging. Een sluitende logging is precies wat ik in mijn eigen werk inbouw, omdat ik weet dat een goede audit trail het verschil maakt tussen "wij denken dat het zo ging" en "hier is het bewijs".
Wat het kost als je niets doet
De boetes onder de AI Act zijn niet symbolisch. Voor overtreding van de high-risk verplichtingen kan een boete oplopen tot 15 miljoen euro, of 3 procent van je wereldwijde jaaromzet. De hoogste van die twee geldt.
Voor een MKB-bedrijf is dat geen abstract getal. Het is een bedrag dat een onderneming omver kan trekken.
Daar komt iets bij dat in de cijfers niet zichtbaar is: reputatie. Een klant die hoort dat jouw AI hem zonder controle heeft afgewezen, komt niet terug. En vertelt het verder.
Maar de deadline schuift toch op?
Dit hoor ik veel, en het klopt half. In november 2025 deed de Europese Commissie een voorstel om bepaalde deadlines te verschuiven richting eind 2027.
Een voorstel is geen wet. Dat verschil is alles.
Tot het moment dat een verschuiving daadwerkelijk is vastgelegd in regelgeving, blijft 2 augustus 2026 de geldende datum. Wie nu zijn voorbereiding stillegt omdat hij gokt op uitstel, neemt een risico met zijn hele bedrijf als inzet. Ik zou die gok niet maken.
De adviespraktijk denkt er net zo over. Zowel het overzicht van Orrick met de zes stappen vóór 2 augustus 2026 als de tijdlijn van DataGuard behandelen die datum als hard. Voorbereiden op de strengste variant is altijd goedkoper dan repareren onder druk.
Waarom governance een voorsprong is, geen last
Hier komt mijn financiële achtergrond weer terug. In de wereld van ISO en ISAE was compliance nooit het doel. Het was een bijproduct van iets beter doen: weten wat je systemen deden, en dat kunnen aantonen.
Een bedrijf dat zijn logs op orde heeft, weet sneller waar een fout vandaan komt. Een bedrijf dat menselijk toezicht heeft ingericht, vangt rare uitkomsten af voordat een klant ze ziet. Een bedrijf dat zijn afspraken heeft vastgelegd, kan een nieuwe medewerker in een uur inwerken.
Dat zijn geen compliance-voordelen. Dat zijn gewoon voordelen.
De logging die de AI Act van je vraagt is dezelfde logging die je nodig hebt om te begrijpen wat je AI eigenlijk doet. Ik bewaar zelf elke beslissing van mijn systemen in een doorzoekbaar logboek, niet omdat een wet het eist, maar omdat ik anders blind vaar. De wet maakt nu verplicht wat goede bedrijfsvoering toch al was.
Veelgestelde vragen
Begin klein, begin nu
Je hoeft vandaag geen volledig compliance-programma te hebben. Je moet beginnen.
Pak deze week één middag. Maak die inventarislijst uit stap 1. Markeer waar je AI gevoelige beslissingen raakt. Bel je leverancier en vraag of het systeem high-risk is en wat zij voor logging en toezicht hebben ingebouwd.
Die ene middag verandert je positie van "ik wist het niet" naar "ik ben bezig". Dat verschil telt, ook bij een toezichthouder.
Governance nu inrichten kost je een paar uur en een gesprek met je leverancier. Een boete straks kost een veelvoud daarvan, plus de klanten die je kwijtraakt. De rekensom is simpel, en hij is in je voordeel.