Hoe hoog zijn de boetes voor de EU AI Act?
De EU AI Act kent boetes tot 7% van de wereldwijde jaaromzet. Maar voor de meeste Nederlandse MKB-bedrijven is het reële risico anders dan de krantenkoppen doen vermoeden. Dit is wat u precies moet weten.
De drie boetecategorieën van de EU AI Act
De EU AI Act werkt met drie boetecategorieën, afhankelijk van de ernst van de overtreding. Het is belangrijk te begrijpen dat de hoogste boetes niet voor gewone MKB-bedrijven zijn bedoeld — die zijn gericht op providers van verboden AI-systemen.
- Tot 35 miljoen euro of 7% jaaromzet: Alleen voor inzet van verboden AI-systemen (sociale scoring, manipulatieve AI, illegale biometrische surveillance). Dit raakt vrijwel geen Nederlands MKB-bedrijf.
- Tot 15 miljoen euro of 3% jaaromzet: Voor overtredingen van verplichtingen rondom hoog-risico AI-systemen. Denk aan AI in HR, kredietverlening of kritieke infrastructuur.
- Tot 7,5 miljoen euro of 1% jaaromzet: Voor het verstrekken van onjuiste informatie aan toezichthouders.
💡 Wat betekent dit voor de meeste MKB-bedrijven? Als u ChatGPT, Copilot of vergelijkbare tools gebruikt voor administratieve taken, valt u onder minimaal risico. De maximale boetes gelden niet voor u — maar de documentatieverplichtingen wél.
Welke boetes zijn reëel voor Nederlandse MKB-bedrijven?
Het directe boeterisico voor een typisch Nederlands MKB-bedrijf dat AI gebruikt voor tekstschrijven, klantenservice of administratie is relatief beperkt. De EU AI Act legt voor minimaal-risico AI geen zware verplichtingen op aan deployers.
Maar hier schuilt een misverstand: de EU AI Act staat niet op zichzelf. Combineer het met de AVG, en het risico wordt serieuzer. Als uw medewerker klantdata in ChatGPT invoert zonder verwerkersovereenkomst met OpenAI, dan is dat een AVG-overtreding — en de Autoriteit Persoonsgegevens kan daarvoor wél boetes uitdelen tot €20 miljoen of 4% jaaromzet.
⚠️ Het gecombineerde risico: EU AI Act-overtredingen + AVG-overtredingen kunnen tegelijkertijd worden opgelegd. Twee separate boetes voor dezelfde nalatigheid is juridisch mogelijk.
Wanneer begint de handhaving in Nederland?
De handhavingsdeadline voor deployers — bedrijven die AI gebruiken — valt op 2 augustus 2026. Vanaf die datum kan de Autoriteit Persoonsgegevens (AP), die in Nederland is aangewezen als toezichthouder, actief gaan handhaven.
Verwacht geen massale boeterondes op dag één. Toezichthouders beginnen doorgaans met grote partijen of flagrante overtreders. Maar: bedrijven zonder documentatie kunnen bij een klacht of incident geen verweer voeren. Dat maakt de kans op een boete bij een incident significant groter.
Wat is het reële risico als u niets doet?
Het risico van niets doen is niet zozeer de kans op een proactieve boete — het is de kwetsbaarheid bij een incident. Denk aan:
- Een klant die een klacht indient bij de AP omdat zijn gegevens in een AI-tool zijn ingevoerd
- Een datalek waarbij AI-gebruik een rol speelde
- Een arbeidsconflict waarbij een medewerker stelt dat AI-tools onrechtmatig werden ingezet
- Een aanbestedingsprocedure waarbij compliance wordt gevraagd als vereiste
In al deze scenario's is een bedrijf zonder AI-register en AI-reglement direct in het nadeel. Met documentatie heeft u een verweer. Zonder staat u met lege handen.
Hoe verhoudt dit zich tot andere Europese wetgeving?
De EU AI Act is onderdeel van een breder Europees digitaal wetgevingspakket. Nederlandse bedrijven hebben al te maken met de AVG (GDPR), de NIS2-richtlijn voor cybersecurity en binnenkort de AI Liability Directive. De AI Act past in dit kader als de laag die specifiek AI-risico's adresseert.
Goed nieuws: wie zijn AI Act compliance op orde heeft, is voor een groot deel ook beter voorbereid op de andere wetgeving. De documentatie overlapt aanzienlijk.
Wat kunt u nu doen om boetes te voorkomen?
De bescherming zit hem in documentatie. Drie concrete stappen voor Nederlandse bedrijven:
- Stel een AI-register op: Inventariseer alle AI-tools die uw bedrijf gebruikt. Dit is de basis van uw compliance-dossier.
- Schrijf een AI-reglement: Leg vast wat medewerkers wel en niet mogen doen met AI. Dit toont aan dat u als werkgever maatregelen heeft genomen.
- Controleer uw verwerkersovereenkomsten: Heeft u een DPA met de aanbieders van uw AI-tools? Zonder deze overeenkomst loopt u AVG-risico.
AIveilig.com levert alle benodigde documenten voor €179 — kant-en-klaar, op maat gemaakt voor uw bedrijf. Gemiddeld binnen tien minuten na het invullen van uw bedrijfsprofiel. Dat is minder dan een uur factureerbaar werk voor de meeste ondernemers.
Hoe kwetsbaar is uw bedrijf?
Doe de gratis risicoscan en weet in 2 minuten wat uw specifieke risico is onder de EU AI Act.
Doe de gratis scan →