EU AI Act checklist voor het MKB in 2026

Drie dingen die elk Nederlands MKB-bedrijf moet regelen voor augustus 2026. Geen juridisch jargon, geen overkill — alleen wat u als ondernemer werkelijk nodig heeft.

Waarom heeft het MKB een aparte checklist nodig?

De EU AI Act is geschreven voor een breed publiek: van techgiganten tot eenmanszaken. De wet maakt geen onderscheid in omvang, maar de praktische verplichtingen zijn voor een MKB-bedrijf heel anders dan voor een multinational. Een accountantskantoor in Amsterdam met zes medewerkers heeft andere risico's dan een AI-startup in Rotterdam.

Deze checklist is specifiek geschreven voor Nederlandse MKB-ondernemers die AI-tools gebruiken zoals ChatGPT, Microsoft Copilot, Gemini of AI-functies in hun software — maar zelf geen AI ontwikkelen. U bent een deployer, en dit zijn uw verplichtingen.

Checklist item 1: Weet welke AI-tools u gebruikt

Klinkt eenvoudig, maar de meeste ondernemers onderschatten hoeveel AI-tools er al actief zijn in hun bedrijf. ChatGPT is voor de hand liggend, maar wat dacht u van:

• AI-functies in Microsoft 365 (Copilot)
• Automatische antwoorden in uw e-mailsoftware
• AI-functies in uw boekhoud- of CRM-pakket
• Grammatica- en schrijftools zoals Grammarly
• AI-chatbots op uw website
• Beeldgeneratoren voor marketing

Al deze tools moeten worden opgenomen in uw AI-register. Dat register is uw bewijs dat u weet welke AI u inzet en waarom.

Checklist item 2: Stel een AI-reglement op voor uw personeel

Een AI-reglement is een schriftelijk document met de spelregels voor AI-gebruik in uw bedrijf. Het hoeft geen uitgebreid juridisch document te zijn — voor de meeste MKB-bedrijven volstaan twee tot vier A4's.

Wat er minimaal in moet staan:

• Welke AI-tools zijn goedgekeurd voor gebruik?
• Welke informatie mag nooit in een AI-tool worden ingevoerd? (Klantgegevens, personeelsdata, bedrijfsgeheimen)
• Hoe controleert u AI-output voordat het wordt gebruikt?
• Hoe meldt een medewerker een probleem met AI-gebruik?

Dit document toont aan dat u als ondernemer maatregelen heeft genomen. Zonder dit document staat u bij een incident of klacht vrijwel altijd in het ongelijk.

Checklist item 3: Pas uw privacyverklaring aan

De EU AI Act en de AVG vereisen transparantie over AI-gebruik richting klanten en bezoekers. Uw privacyverklaring moet vermelden:

• Welke AI-tools u gebruikt
• Of klantdata in AI-systemen wordt verwerkt
• Welke verwerkersovereenkomsten u heeft afgesloten
• Hoe klanten bezwaar kunnen maken

Veel Nederlandse websites hebben privacyverklaringen die jaren oud zijn en geen woord over AI bevatten. Dat is een overtreding van zowel de AI Act als de AVG.

Aanvullende stappen voor een completer compliance-dossier

De drie items hierboven zijn het minimum. Wie echt gedekt wil zijn, voegt hier nog aan toe:

• AI-geletterdheidsverklaring (Artikel 4): Een verklaring dat u en uw medewerkers begrijpen hoe de gebruikte AI-tools werken en welke risico's eraan kleven.
• Juridisch compliance dossier: Een overzicht van alle maatregelen die u heeft genomen, in één document — handig als de Autoriteit Persoonsgegevens ooit vragen stelt.
• Verwerkersovereenkomsten: Met alle externe leveranciers van AI-tools die klantdata verwerken.

Klinkt als veel werk? Dat is het zonder hulp zeker. Een gemiddelde ondernemer in Noord-Holland of elders in Nederland is hier snel twee tot drie volle dagen mee bezig als hij of zij het zelf moet uitzoeken.

Hoeveel tijd kost EU AI Act compliance voor een MKB-bedrijf?

Als u het zelf doet: reken op twee tot vier werkdagen. U moet de wet bestuderen, uw situatie in kaart brengen, documenten schrijven en alles laten controleren.

Als u AIveilig.com inschakelt: reken op 15 minuten voor de scan en het invullen van het formulier. Wij leveren alle documenten binnen tien minuten. Geen juridische kennis vereist. Prijs: €179 eenmalig — inclusief alle vijf de documenten die u nodig heeft.

Bekijk ook onze informatie over de mogelijke boetes als u niets doet, en lees hoe u een AI-register maakt.