De naleving van de EU AI-verordening wordt voor de meeste bepalingen verplicht vanaf 2 augustus 2026. Als uw organisatie AI-systemen inzet — zelfs kant-en-klare tools zoals ChatGPT, Microsoft Copilot of AI-gestuurde HR-screening — gelden er voor u documentatie- en toezichtverplichtingen op grond van Verordening 2024/1689. Deze gids legt de naleving van de EU AI-verordening voor het MKB uit: hoe u uw AI-systemen in kaart brengt, hun risico classificeert, menselijk toezicht documenteert en alles integreert met uw bestaande AVG-datamap.
Uw medewerkers gebruiken ChatGPT al om e-mails op te stellen, Copilot om code te schrijven en AI-aangedreven analyses om de vraag te voorspellen. Deze tools zijn ingebed in de dagelijkse bedrijfsvoering – vaak bottom-up geïmplementeerd, zonder formele goedkeuring. De AI-verordening introduceert regels die niet alleen gelden voor AI-ontwikkelaars, maar voor elke organisatie die AI-systemen gebruikt. De verordening noemt deze organisaties "gebruikers". De meeste kleine en middelgrote bedrijven zijn gebruikers. U hebt ChatGPT of uw AI-aangedreven HR-screeningtool niet zelf gebouwd — maar u hebt ervoor gekozen om ze te gebruiken, en dat maakt u verantwoordelijk voor de gevolgen ervan voor mensen. De verplichtingen zijn haalbaar, maar ze vereisen documentatie waarover de meeste MKB-bedrijven nog niet beschikken.
De tijdlijn van de AI-verordening – wat geldt wanneer?
De EU AI-verordening treedt niet in één keer in werking. De verordening werd op 12 juli 2024 in het Publicatieblad gepubliceerd, trad op 1 augustus 2024 in werking en de bepalingen ervan zijn van toepassing volgens een gefaseerd schema:
- 2 februari 2025 — Verboden AI-praktijken (art. 5) en vereisten inzake AI-geletterdheid (art. 4) zijn al van toepassing. Als uw personeel AI-systemen gebruikt, moet het al over voldoende opleiding beschikken.
- 2 augustus 2025 — Regels voor AI-modellen voor algemeen gebruik (zoals de basismodellen achter ChatGPT en Gemini) treden in werking.
- 2 augustus 2026 — Het grootste deel van de verordening treedt in werking: verplichtingen voor gebruikers (art. 26), vereisten voor AI-systemen met een hoog risico, transparantieverplichtingen (art. 50) en het volledige nalevingskader. Dit is de deadline waarop de meeste kleine en middelgrote ondernemingen zich moeten voorbereiden.
- 2 augustus 2027 — Verplichtingen voor AI-systemen met een hoog risico die veiligheidscomponenten zijn van producten die reeds onder de EU-productwetgeving vallen (bijv. medische hulpmiddelen, machines).
Waar staan we nu? Op het moment van publicatie van dit artikel (april 2026) zijn de verboden praktijken en de vereisten inzake AI-geletterdheid al van kracht. U heeft nog ongeveer vier maanden totdat de verplichtingen voor implementatoren en de vereisten voor systemen met een hoog risico op 2 augustus 2026 van kracht worden.
De risicoclassificatie van de EU AI-verordening
De AI-verordening deelt elk AI-systeem in een van vier risiconiveaus in. Uw verplichtingen zijn volledig afhankelijk van het niveau dat van toepassing is.
Onaanvaardbaar risico (verboden). Deze systemen zijn volledig verboden. Sociale scoring door overheden, subliminale manipulatietechnieken die schade veroorzaken, en realtime biometrische identificatie in openbare ruimtes voor wetshandhaving (met beperkte uitzonderingen). Als u een MKB-bedrijf bent, zult u hier waarschijnlijk niet mee te maken krijgen — maar controleer wel of geen enkele tool van een leverancier die u gebruikt de grens overschrijdt.
Hoog risico. Hier worden de verplichtingen aanzienlijk. AI-systemen die worden gebruikt voor beslissingen over aanwerving en werving, kredietscores en kredietwaardigheidsbeoordelingen, toegang tot essentiële particuliere en openbare diensten, en biometrische identificatie vallen allemaal in deze categorie. Systemen met een hoog risico vereisen een conformiteitsbeoordeling, een gegevensbeschermingseffectbeoordeling, gedocumenteerd menselijk toezicht en auditlogboeken die ten minste zes maanden worden bewaard. Als uw bedrijf AI gebruikt om cv's te screenen, kredietaanvragen te beoordelen of te bepalen of klanten in aanmerking komen voor diensten, dan exploiteert u een AI-systeem met een hoog risico.
Beperkt risico. Op grond van artikel 50 (transparantieverplichtingen) moeten chatbots en conversationele AI aan gebruikers bekendmaken dat zij communiceren met een AI. Door AI gegenereerde inhoud (deepfakes, synthetische media) moet duidelijk worden gemarkeerd. Dit geldt voor chatbots die in contact staan met klanten, AI-assistenten op uw website en al het door AI gegenereerde marketingmateriaal.
Minimaal risico. Geen specifieke vereisten. Spamfilters, AI-aangedreven zoekfuncties, aanbevelingssystemen voor content en grammaticacontroles vallen hieronder. De meeste alledaagse AI-tools vallen in deze categorie.
De belangrijkste vraag voor elke MKB-onderneming: nemen uw AI-tools beslissingen over mensen of ondersteunen ze deze direct? Zo ja, dan bevindt u zich mogelijk in een risicovol gebied, ongeacht hoe eenvoudig de tool lijkt.
Wat implementatoren moeten documenteren (art. 26)
Artikel 26 van de AI-verordening definieert zes kernverplichtingen voor implementatoren. Geen enkele daarvan vereist dat u AI-expertise vanaf nul opbouwt — maar ze vereisen allemaal documentatie.
1. Houd een AI-inventaris bij. Maak een lijst van elke dienst in uw organisatie die AI gebruikt, wat deze doet en welke gegevens deze verwerkt. Dit is niet optioneel — het is de basis voor al het andere. Als u al een register van datadiensten bijhoudt voor de AVG, breid dit dan uit. AI-diensten horen thuis in hetzelfde overzicht, naast uw CRM, e-mailprovider en cloudopslag.
2. Classificeer elk systeem op risiconiveau. Bepaal voor elke AI-dienst in uw inventaris of deze valt onder onaanvaardbaar, hoog risico, beperkt of minimaal risico. Documenteer uw redenering. Een chatbot voor klantenondersteuning is een beperkt risico. Een AI-tool die sollicitanten beoordeelt, is een hoog risico.
3. Leg het menselijk toezicht op systemen met een hoog risico vast. Wie controleert de AI-output voordat deze gevolgen heeft voor een persoon? Wat is de escalatieprocedure wanneer de AI een onjuist of bevooroordeeld resultaat oplevert? Dit moet worden vastgelegd, aan specifieke functies worden toegewezen en daadwerkelijk worden nageleefd.
4. Bewaar auditlogboeken. Bewaar voor AI-systemen met een hoog risico logboeken gedurende minimaal zes maanden. Deze logboeken moeten voldoende informatie bevatten om te kunnen reconstrueren hoe het systeem tot een bepaalde output is gekomen. De meeste AI-aanbieders genereren logboeken — het is uw taak ervoor te zorgen dat deze worden bewaard en toegankelijk zijn.
5. Meld ernstige incidenten. Als een AI-systeem met een hoog risico een ernstig incident veroorzaakt of daaraan bijdraagt (schade aan de gezondheid, veiligheid, grondrechten of eigendom), moet u dit melden aan de AI-aanbieder, de importeur of distributeur en de relevante markttoezichtautoriteit.
6. Zorg voor AI-geletterdheid (art. 4). Medewerkers die AI-systemen bedienen of daar toezicht op houden, moeten voldoende inzicht hebben in de werking van die systemen, hun beperkingen en de risico’s die ze met zich meebrengen. Dit betekent niet dat iedereen een diploma in machine learning nodig heeft — het betekent gestructureerde training die in verhouding staat tot de functie. Opmerking: in tegenstelling tot de andere hierboven genoemde verplichtingen zijn de vereisten inzake AI-kennis al op 2 februari 2025 in werking getreden — dit is geen toekomstige deadline, maar een huidige verplichting.
Het verband met de AVG
De AI-verordening vervangt de AVG niet — zij vormt een aanvulling daarop. Als uw AI-systeem persoonsgegevens verwerkt (en dat is bij vrijwel alle systemen het geval), is de AVG volledig van toepassing naast de AI-verordening.
Artikel 22 van de AVG is in dit verband bijzonder relevant: niemand mag worden onderworpen aan een besluit dat uitsluitend is gebaseerd op geautomatiseerde verwerking en dat rechtsgevolgen of evenzeer ingrijpende gevolgen heeft. Als AI beslissingen neemt of wezenlijk beïnvloedt over aanwerving, goedkeuring van leningen, verzekeringsgeschiktheid of toegang tot diensten, heeft u een rechtsgrond nodig voor die verwerking, een gedocumenteerd menselijk beoordelingsproces en het recht voor personen om de beslissing aan te vechten. Artikel 35 van de AVG vereist bovendien een gegevensbeschermingseffectbeoordeling wanneer geautomatiseerde verwerking waarschijnlijk een hoog risico voor personen met zich meebrengt — waaronder de meeste AI-gestuurde besluitvorming over personen valt.
Dit zijn geen nieuwe verplichtingen – de AVG schrijft ze al sinds 2018 voor. Maar de AI-verordening verhoogt de inzet en de specificiteit van de documentatie die toezichthouders verwachten. Uw verwerkingsregister zou de verwerkingsactiviteiten al moeten omvatten. De verwerkingsregister-handleiding legt uit hoe u dat register moet structureren. Uw datamap zou de diensten al moeten bevatten. De AVG-handleiding voor datamapping behandelt de methodologie.
Wat er met de AI-verordening verandert, is dat AI-specifieke onderdelen — risicoclassificatie, regelingen voor menselijk toezicht, training in AI-geletterdheid — nu deel moeten uitmaken van die documentatie.
4 stappen naar AI-governance voor uw organisatie
Stap 1: Inventariseer AI-diensten
Begin met het identificeren van elke AI-aangedreven dienst in uw organisatie. De voor de hand liggende diensten komen eerst: ChatGPT, Microsoft Copilot, Google Gemini. Ga vervolgens dieper. Gebruikt uw CRM AI voor leadscoring? Gebruikt uw HR-platform AI om kandidaten te rangschikken? Maakt uw analysetool gebruik van machine learning voor voorspellingen?
Voeg elke AI-dienst toe aan uw datamap, samen met het doel ervan, de gegevens die worden verwerkt en wie er toegang toe heeft. Readmodel® bevat servicesjablonen voor ChatGPT, Claude, Gemini, Copilot, Mistral en Perplexity – vooraf geconfigureerd met de juiste gegevensitems en classificaties. Maak een keuze uit de bibliotheek en u hebt uw AI-inventaris binnen enkele minuten opgesteld.
Stap 2: Classificeer het risico
Wijs voor elke AI-dienst het risiconiveau van de EU AI-verordening toe: onaanvaardbaar, hoog risico, beperkt of minimaal. Wees eerlijk over hoe de tool daadwerkelijk wordt gebruikt, niet alleen hoe de leverancier deze op de markt brengt. Een chatbot die wordt gebruikt voor veelgestelde vragen van klanten, vormt een beperkt risico. Dezelfde chatbot die wordt gebruikt voor het triëren van verzekeringsclaims, vormt mogelijk een hoog risico.
Documenteer uw redenering achter de classificatie. Wanneer een auditor vraagt waarom u een bepaald systeem als minimaal risico hebt geclassificeerd, is "omdat het een laag risico leek" geen acceptabel antwoord.
Stap 3: Documenteer menselijk toezicht
Documenteer voor elk AI-systeem met een hoog of beperkt risico wie verantwoordelijk is voor het controleren van de AI-output. Wees specifiek: noem de functie, beschrijf het controleproces en definieer wat er gebeurt als de AI een fout maakt. Voor beslissingsondersteunende systemen (AI adviseert, mens beslist) dient u te documenteren hoe de mens het advies verifieert. Voor geautomatiseerde beslissingssystemen dient u het beroepsproces te documenteren en aan te geven hoe betrokken personen om menselijke controle kunnen verzoeken.
Stap 4: Integreer met uw verwerkingsregister
AI-verwerkingsactiviteiten zijn verwerkingsactiviteiten. Ze horen thuis in uw artikel 30-register, net als al het andere. Voor elke AI-dienst moet uw verwerkingsregister de categorieën van verwerkte persoonsgegevens bevatten, de rechtsgrond, de bewaartermijn, of gegevens buiten de EU worden doorgegeven (de meeste AI-aanbieders verwerken gegevens in de VS), en de AI-specifieke velden: risicoclassificatie, menselijk toezicht en AI-geletterdheidsstatus.
Readmodel® genereert verwerkingsregister-exporten die automatisch AI-governancevelden bevatten. Als een AI-dienst als risicovol is geclassificeerd maar geen gedocumenteerde DPIA heeft, wordt dit in het risicoregister gemarkeerd. Als voor een dienst geen menselijk toezicht is gedocumenteerd, verschijnt dit als een actiepunt. Maak een gratis account aan en ontdek hoe uw AI-diensten in dezelfde compliance-workflow worden geïntegreerd als de rest van uw datamap.
Wat Readmodel® biedt
Readmodel® behandelt AI-diensten als volwaardige onderdelen van uw datamap. De sjabloonbibliotheek bevat vooraf geconfigureerde AI-dienstensjablonen met nauwkeurige gegevensitems en classificaties. Het risicoregister markeert automatisch AI-diensten waarvoor geen documentatie over menselijk toezicht bestaat of die een DPIA vereisen. Het verwerkingsregister bevat AI-specifieke kolommen, zodat uw artikel 30-register voldoet aan zowel de AVG- als de AI-verordeningseisen.
Alle AI-governancevelden zijn beschikbaar in elk abonnement, inclusief het gratis Explore-abonnement. U heeft geen bedrijfsbudget nodig om AI-governance te documenteren — u heeft een gestructureerde tool en dertig minuten nodig.
Bekijk hoe Readmodel® zich verhoudt tot andere AVG-compliance-tools , of maak uw gratis account aan en begin vandaag nog met het in kaart brengen van uw AI-diensten.
Naleving van de EU AI-verordening: veelgestelde vragen
Wie moet voldoen aan de EU AI-verordening? Elke organisatie die AI-systemen ontwikkelt, importeert, distribueert of gebruikt (implementeert) in de EU. De meeste kleine en middelgrote ondernemingen zijn gebruikers — zij kopen AI-tools in plaats van deze zelf te bouwen. Het geografische bereik is breed: een niet-EU-bedrijf dat een AI-systeem op de EU-markt brengt of waarvan de AI-output in de EU wordt gebruikt, valt hieronder.
Wanneer wordt naleving van de EU AI-verordening verplicht? De verordening is op 1 augustus 2024 in werking getreden. Verboden praktijken en verplichtingen inzake AI-geletterdheid zijn sinds 2 februari 2025 van toepassing. Het grootste deel van de verordening – verplichtingen voor implementatoren krachtens art. 26, vereisten voor systemen met een hoog risico, transparantieverplichtingen krachtens art. 50 – is van toepassing vanaf 2 augustus 2026.
Wat houdt naleving van de EU AI-verordening in voor implementatoren in het MKB? Zes verplichtingen op grond van art. 26: het bijhouden van een inventaris van AI-systemen, het classificeren van elk systeem naar risiconiveau, het documenteren van menselijk toezicht op systemen met een hoog risico, het bewaren van auditlogs gedurende ten minste zes maanden, het melden van ernstige incidenten en het waarborgen van AI-geletterdheid van het personeel op grond van art. 4.
Is naleving van de EU AI-verordening hetzelfde als naleving van de AVG? Nee, maar er is een grote overlap. De AVG regelt persoonsgegevens; de AI-verordening regelt AI-systemen, ongeacht of deze persoonsgegevens verwerken. Wanneer een AI-systeem persoonsgegevens verwerkt (wat bij de meeste het geval is), zijn beide regelingen van toepassing. In de praktijk betekent dit: breid uw AVG-datamap uit met AI-specifieke velden in plaats van een apart AI-register aan te leggen.
Wat zijn de sancties bij niet-naleving van de EU AI-verordening? Tot € 35 miljoen of 7% van de wereldwijde jaaromzet voor de ernstigste overtredingen (verboden praktijken). Tot € 15 miljoen of 3% van de omzet voor niet-naleving van de verplichtingen van de gebruiker. KMO’s en start-ups kunnen proportioneel lagere boetes krijgen, maar de bovengrenzen zijn hoog genoeg om nu al aan te zetten tot documentatie.
Heb ik een effectbeoordeling inzake de grondrechten (FRIA) nodig? Een FRIA is vereist voor AI-systemen met een hoog risico die worden gebruikt door overheidsinstanties en bepaalde particuliere implementatiepartijen (bankwezen, verzekeringen) op grond van art. 27. Voor de meeste particuliere kmo's dekt een DPIA op grond van art. 35 van de AVG hetzelfde terrein. Indien u een systeem met een hoog risico exploiteert voor werving, kredietbeoordeling of toegang tot essentiële diensten, documenteer dan expliciet een FRIA.
Kan een klein bedrijf aan de voorschriften voldoen zonder gespecialiseerd personeel? Ja. Naleving van de EU AI-verordening voor een MKB-bedrijf is grotendeels een documentatieoefening die voortbouwt op uw bestaande AVG-datamap. De verplichtingen zijn afhankelijk van de complexiteit van uw AI-gebruik. Als u alleen algemene AI zoals ChatGPT gebruikt voor routinetaken, is de documentatie beperkt. Als u AI inzet voor beslissingen op het gebied van werving, kredietverlening of gezondheidszorg, is de last groter — maar nog steeds beheersbaar.
Begin nu
De deadline voor de EU AI-verordening is 2 augustus 2026. Toezichthouders verwachten documentatie, geen goede bedoelingen. Het goede nieuws: als u al een AVG-datamap bijhoudt, bent u al halverwege. Voeg uw AI-diensten toe, classificeer het risico ervan, documenteer menselijk toezicht en integreer de resultaten in uw verwerkingsregister. Dat is naleving van de EU AI-verordening voor een MKB-bedrijf — praktisch, evenredig en voortbouwend op de nalevingsbasis die u al hebt.