Uw medewerkers gebruiken ChatGPT om e-mails op te stellen, Copilot om code te schrijven en AI-gestuurde analysetools om de vraag te voorspellen. Deze tools zijn al ingebed in de dagelijkse werkzaamheden — vaak bottom-up geadopteerd, zonder formele goedkeuring of documentatie. De AI-verordening (Verordening 2024/1689) is op 1 augustus 2024 in werking getreden en de verplichtingen worden gefaseerd ingevoerd. De verordening introduceert regels niet alleen voor AI-ontwikkelaars, maar voor elke organisatie die AI-systemen gebruikt. De verordening noemt deze organisaties "gebruikers" (deployers).
De meeste kleine en middelgrote bedrijven zijn gebruikers. U hebt ChatGPT of uw AI-gestuurde HR-screeningtool niet gebouwd — maar u hebt ervoor gekozen ze te gebruiken, en dat maakt u verantwoordelijk voor de impact op mensen. De verplichtingen zijn beheersbaar, maar ze vereisen documentatie die de meeste MKB-bedrijven nog niet hebben. Deze gids legt uit wat u moet doen: uw AI-systemen inventariseren, het risico classificeren, menselijk toezicht documenteren en dit alles integreren met uw bestaande AVG-dataregistratie.
De tijdlijn van de AI-verordening — wat geldt wanneer?
De AI-verordening treedt niet in één keer in werking. De verordening is op 12 juli 2024 gepubliceerd in het Publicatieblad, op 1 augustus 2024 in werking getreden, en de bepalingen zijn van toepassing volgens een gefaseerd schema:
- 2 februari 2025 — Verboden AI-praktijken (Art. 5) en vereisten voor AI-geletterdheid (Art. 4) zijn al van toepassing. Als uw medewerkers AI-systemen gebruiken, moeten zij al over voldoende training beschikken.
- 2 augustus 2025 — Regels voor AI-modellen voor algemene doeleinden (zoals de basismodellen achter ChatGPT en Gemini) worden van kracht.
- 2 augustus 2026 — Het grootste deel van de verordening wordt van toepassing: verplichtingen voor gebruikers (Art. 26), vereisten voor AI-systemen met hoog risico, transparantieverplichtingen (Art. 50) en het volledige nalevingskader. Dit is de deadline waarvoor de meeste MKB-bedrijven zich moeten voorbereiden.
- 2 augustus 2027 — Verplichtingen voor AI-systemen met hoog risico die veiligheidscomponenten zijn van producten die al onder EU-productwetgeving vallen (bijv. medische hulpmiddelen, machines).
Waar staan we nu? Op het moment van publicatie van dit artikel (april 2026) zijn de verboden praktijken en vereisten voor AI-geletterdheid al van kracht. U hebt nog ongeveer vier maanden tot de verplichtingen voor gebruikers en de vereisten voor hoog risico ingaan op 2 augustus 2026.
De risicoclassificatie van de AI-verordening
De AI-verordening deelt elk AI-systeem in op een van vier risiconiveaus. Uw verplichtingen hangen volledig af van welk niveau van toepassing is.
Onaanvaardbaar risico (verboden). Deze systemen zijn ronduit verboden. Sociale scoring door overheden, subliminale manipulatietechnieken die schade veroorzaken en real-time biometrische identificatie in openbare ruimten voor rechtshandhaving (met beperkte uitzonderingen). Als MKB-bedrijf is de kans klein dat u hiermee te maken krijgt — maar controleer of geen enkele leverancierstool de grens overschrijdt.
Hoog risico. Hier worden de verplichtingen aanzienlijk. AI-systemen die worden gebruikt voor werving en selectie, kredietbeoordeling, toegang tot essentiële publieke en private diensten en biometrische identificatie vallen allemaal in deze categorie. Systemen met hoog risico vereisen een conformiteitsbeoordeling, een gegevensbeschermingseffectbeoordeling (DPIA), gedocumenteerd menselijk toezicht en auditlogboeken die minimaal zes maanden worden bewaard. Als uw bedrijf AI gebruikt om cv's te screenen, leningaanvragen te beoordelen of klantgeschiktheid voor diensten te bepalen — dan werkt u met een AI-systeem met hoog risico.
Beperkt risico. Op grond van Artikel 50 (transparantieverplichtingen) moeten chatbots en conversationele AI aan gebruikers melden dat zij met een AI communiceren. Door AI gegenereerde content (deepfakes, synthetische media) moet duidelijk worden gelabeld. Dit geldt voor klantgerichte chatbots, AI-assistenten op uw website en elk door AI gegenereerd marketingmateriaal.
Minimaal risico. Geen specifieke vereisten. Spamfilters, AI-gestuurde zoekmachines, aanbevelingssystemen voor content en grammaticacontrole vallen hieronder. De meeste dagelijkse AI-tools belanden in deze categorie.
De kernvraag voor elk MKB-bedrijf: nemen een van uw AI-tools beslissingen over mensen, of ondersteunen ze die direct? Zo ja, dan bevindt u zich mogelijk in het gebied van hoog risico, ongeacht hoe eenvoudig de tool lijkt.
Wat gebruikers moeten documenteren (Art. 26)
Artikel 26 van de AI-verordening definieert zes kernverplichtingen voor gebruikers. Geen daarvan vereist dat u AI-expertise vanuit het niets opbouwt — maar ze vereisen allemaal documentatie.
1. Onderhoud een AI-inventaris. Maak een lijst van elke dienst in uw organisatie die AI gebruikt, wat deze doet en welke gegevens deze verwerkt. Dit is niet optioneel — het is de basis van al het andere. Als u al een register van datadiensten bijhoudt voor de AVG, breid dat dan uit. AI-diensten horen in dezelfde datakaart als uw CRM, e-mailprovider en cloudopslag.
2. Classificeer elk systeem op risiconiveau. Bepaal voor elke AI-dienst in uw inventaris of deze onder onaanvaardbaar, hoog, beperkt of minimaal risico valt. Documenteer uw redenering. Een chatbot voor klantenservice is beperkt risico. Een AI-tool die sollicitanten beoordeelt is hoog risico.
3. Documenteer menselijk toezicht voor systemen met hoog risico. Wie beoordeelt de AI-output voordat deze invloed heeft op een persoon? Wat is het escalatieproces wanneer de AI een onjuist of bevooroordeeld resultaat oplevert? Dit moet worden vastgelegd, worden toegewezen aan benoemde rollen en daadwerkelijk worden gevolgd.
4. Bewaar auditlogboeken. Bewaar voor AI-systemen met hoog risico logboeken gedurende minimaal zes maanden. Deze logboeken moeten voldoende zijn om te reconstrueren hoe het systeem tot een bepaalde output is gekomen. De meeste AI-aanbieders genereren logboeken — uw taak is ervoor te zorgen dat ze worden bewaard en toegankelijk zijn.
5. Meld ernstige incidenten. Als een AI-systeem met hoog risico een ernstig incident veroorzaakt of daaraan bijdraagt (schade aan gezondheid, veiligheid, grondrechten of eigendommen), moet u dit melden bij de AI-aanbieder en in sommige gevallen bij de bevoegde nationale autoriteit.
6. Zorg voor AI-geletterdheid (Art. 4). Medewerkers die AI-systemen bedienen of daarop toezicht houden, moeten voldoende begrip hebben van hoe die systemen werken, hun beperkingen en de risico's die ze met zich meebrengen. Dit betekent niet dat iedereen een diploma in machinaal leren nodig heeft — het betekent gestructureerde training die evenredig is aan de rol. Let op: in tegenstelling tot de andere verplichtingen hierboven, zijn de eisen voor AI-geletterdheid al van kracht sinds 2 februari 2025 — dit is geen toekomstige deadline maar een huidige verplichting.
De AVG-verbinding
De AI-verordening vervangt de AVG niet — ze bouwt erop voort. Als uw AI-systeem persoonsgegevens verwerkt (en bijna allemaal doen ze dat), is de AVG volledig van toepassing naast de AI-verordening.
Artikel 22 van de AVG is bijzonder relevant: niemand mag worden onderworpen aan een besluit dat uitsluitend is gebaseerd op geautomatiseerde verwerking en dat rechtsgevolgen heeft of vergelijkbare aanzienlijke gevolgen. Als AI beslissingen neemt of wezenlijk beïnvloedt over werving, leninggoedkeuring, verzekeringsgeschiktheid of toegang tot diensten, hebt u een rechtsgrondslag voor die verwerking nodig, een gedocumenteerd proces voor menselijke beoordeling en het recht voor betrokkenen om de beslissing aan te vechten. Artikel 35 AVG vereist daarnaast een gegevensbeschermingseffectbeoordeling wanneer geautomatiseerde verwerking waarschijnlijk een hoog risico voor personen oplevert — wat geldt voor de meeste AI-gestuurde besluitvorming over mensen.
Dit zijn geen nieuwe verplichtingen — de AVG vereist ze al sinds 2018. Maar de AI-verordening verhoogt de eisen en de specificiteit van welke documentatie toezichthouders verwachten. Uw ROPA zou de verwerkingsactiviteiten al moeten dekken. De ROPA-toolgids legt uit hoe u dat register structureert. Uw datakaart zou de diensten al moeten bevatten. De AVG-dataregistratiegids behandelt de methodologie.
Wat verandert met de AI-verordening is dat AI-specifieke velden — risicoclassificatie, afspraken over menselijk toezicht, AI-geletterdheidstraining — nu deel moeten uitmaken van die documentatie.
4 stappen naar AI-governance voor uw organisatie
Stap 1: Inventariseer AI-diensten
Begin met het identificeren van elke AI-gestuurde dienst in uw organisatie. De voor de hand liggende komen eerst: ChatGPT, Microsoft Copilot, Google Gemini. Ga dan dieper. Gebruikt uw CRM AI voor leadscoring? Gebruikt uw HR-platform AI om kandidaten te rangschikken? Gebruikt uw analysetool machinaal leren voor voorspellingen?
Voeg elke AI-dienst toe aan uw datakaart met het doel, de verwerkte gegevens en wie er toegang toe heeft. Readmodel® bevat dienstsjablonen voor ChatGPT, Claude, Gemini, Copilot, Mistral en Perplexity — voorgeconfigureerd met de juiste gegevensitems en classificaties. Kies uit de bibliotheek en u hebt uw AI-inventaris binnen enkele minuten gestart.
Stap 2: Classificeer risico
Wijs voor elke AI-dienst het risiconiveau van de AI-verordening toe: onaanvaardbaar, hoog, beperkt of minimaal. Wees eerlijk over hoe de tool werkelijk wordt gebruikt, niet alleen hoe de leverancier hem op de markt brengt. Een chatbot voor veelgestelde klantvragen is beperkt risico. Dezelfde chatbot die verzekeringsclaims trieert is potentieel hoog risico.
Documenteer uw classificatieredenering. Wanneer een auditor vraagt waarom u een bepaald systeem als minimaal risico hebt geclassificeerd, is "omdat het laag risico leek" geen acceptabel antwoord.
Stap 3: Documenteer menselijk toezicht
Documenteer voor elk AI-systeem met hoog en beperkt risico wie verantwoordelijk is voor het beoordelen van de AI-output. Wees specifiek: noem de rol, beschrijf het beoordelingsproces en definieer wat er gebeurt wanneer de AI het fout heeft. Documenteer voor beslissingsondersteunende systemen (AI adviseert, mens beslist) hoe de mens de aanbeveling verifieert. Documenteer voor geautomatiseerde beslissingssystemen het beroepsproces en hoe betrokkenen om menselijke beoordeling kunnen vragen.
Stap 4: Integreer met uw ROPA
AI-verwerkingsactiviteiten zijn verwerkingsactiviteiten. Ze horen in uw Artikel 30-register naast al het andere. Voor elke AI-dienst zou uw ROPA moeten bevatten: de categorieën van verwerkte persoonsgegevens, de rechtsgrondslag, de bewaartermijn, of gegevens buiten de EU worden doorgegeven (de meeste AI-aanbieders verwerken gegevens in de VS), en de AI-specifieke velden: risicoclassificatie, menselijk toezicht en AI-geletterdheidsstatus.
Readmodel® genereert ROPA-exports die automatisch AI-governancevelden bevatten. Als een AI-dienst is geclassificeerd als hoog risico maar geen gedocumenteerde DPIA heeft, signaleert het risicoregister dit. Als een dienst geen gedocumenteerd menselijk toezicht heeft, verschijnt dit als actiepunt. Maak een gratis account aan en ontdek hoe uw AI-diensten integreren in dezelfde compliance-workflow als de rest van uw datakaart.
Wat Readmodel® biedt
Readmodel® behandelt AI-diensten als volwaardige onderdelen van uw datakaart. De sjabloonbibliotheek bevat voorgeconfigureerde AI-dienstsjablonen met nauwkeurige gegevensitems en classificaties. Het risicoregister signaleert automatisch AI-diensten die documentatie over menselijk toezicht missen of een DPIA vereisen. De ROPA-export bevat AI-specifieke kolommen zodat uw Artikel 30-register zowel de AVG als de AI-verordening weerspiegelt.
Alle AI-governancevelden zijn beschikbaar op elk plan, inclusief het gratis Explore-plan. U hebt geen enterprise-budget nodig om AI-governance te documenteren — u hebt een gestructureerde tool en dertig minuten nodig.
Bekijk hoe Readmodel® zich verhoudt tot andere AVG-compliancetools, of maak uw gratis account aan en begin vandaag nog met het in kaart brengen van uw AI-diensten.
Begin nu
De deadline van de AI-verordening is 2 augustus 2026. Toezichthouders verwachten documentatie, geen goede voornemens. Het goede nieuws: als u al een AVG-datakaart bijhoudt, bent u halverwege. Voeg uw AI-diensten toe, classificeer het risico, documenteer menselijk toezicht en integreer de resultaten in uw ROPA. Dat is AI-governance voor het MKB — praktisch, proportioneel en gebouwd op het compliance-fundament dat u al hebt.