ChatGPT en de EU AI Act: wat moet u regelen?
Zodra een medewerker ChatGPT opent voor werk, bent u als werkgever aansprakelijk onder de EU AI Act. De meeste Nederlandse MKB-ondernemers weten dit nog niet — en dat kan hen vanaf augustus 2026 duur komen te staan.
De EU AI Act geldt ook voor u als MKB-bedrijf
Veel ondernemers denken dat de EU AI Act alleen voor techbedrijven geldt die AI ontwikkelen. Dat is een gevaarlijke misvatting. De wet maakt onderscheid tussen twee rollen: providers (bedrijven die AI bouwen) en deployers (bedrijven die AI inzetten). Als uw medewerker ChatGPT, Microsoft Copilot of een andere AI-tool gebruikt voor werk, bent u juridisch een deployer — met concrete verplichtingen.
Dit geldt voor elk bedrijf in Nederland, ongeacht omvang. Of u nu een eenmanszaak in Amsterdam bent, een accountantskantoor in Noord-Holland of een productiebedrijf met vijftig medewerkers: zodra AI-tools worden ingezet, gelden de regels. De EU AI Act is sinds augustus 2024 van kracht en de handhavingsdeadline voor deployers valt op 2 augustus 2026.
💡 Wat is een deployer? Een deployer is elk bedrijf of individu dat een AI-systeem van een derde partij (zoals OpenAI of Microsoft) inzet voor professionele doeleinden. U hoeft de AI niet zelf te hebben gebouwd om verplichtingen te hebben.
Welke risico's loopt u als u niets regelt?
De risico's van ongecontroleerd ChatGPT-gebruik zijn drierlei: juridisch, financieel en reputatiematig. Veel Nederlandse MKB-bedrijven zijn zich van geen van drie bewust.
- Datalek via ChatGPT: Als een medewerker klantgegevens, offertes of contracten in ChatGPT plakt, kunnen die gegevens bij OpenAI (een Amerikaans bedrijf) terechtkomen. Zonder schriftelijk beleid heeft u als werkgever geen verweer bij een klacht over dit datalek onder de AVG.
- Boete van de Autoriteit Persoonsgegevens: De AP kan vanaf augustus 2026 actief handhaven op de AI Act. Bedrijven zonder documentatie kunnen geen verweer voeren bij een onderzoek.
- Aansprakelijkheid bij schade: Als een medewerker een foutieve AI-output gebruikt om een beslissing te nemen die een klant schade berokkent, heeft u geen verweer als u geen toezichtsprocedures had vastgelegd.
- Reputatieschade: Klanten en partners vragen steeds vaker naar uw AI-beleid. Bedrijven zonder antwoord op die vraag verliezen opdrachten aan concurrenten die het wel op orde hebben.
⚠️ De boetes voor de EU AI Act kunnen oplopen tot 7% van uw wereldwijde jaaromzet. Voor een Nederlands MKB-bedrijf met €500.000 omzet is dat €35.000. Voor een bedrijf met €2 miljoen omzet loopt dat op tot €140.000.
Wat verplicht de EU AI Act van ChatGPT-gebruikers?
ChatGPT valt onder de categorie minimaal risico in de EU AI Act — de laagste risicoklasse. Dat klinkt geruststellend, maar betekent niet dat u niets hoeft te doen. Voor deployers in elke risicoklasse gelden basisverplichtingen.
De drie concrete verplichtingen voor Nederlandse bedrijven die ChatGPT gebruiken:
- AI-geletterdheid (Artikel 4): U moet kunnen aantonen dat uw medewerkers begrijpen hoe ChatGPT werkt, wat de beperkingen zijn en welke risico's het gebruik met zich meebrengt.
- AI-reglement voor personeel: Een schriftelijk document met spelregels: welke tools zijn toegestaan, welke data mag nooit worden ingevoerd, wie controleert de output?
- Transparantie naar klanten (Artikel 50): Als u AI-gegenereerde content levert aan klanten, moet u dit kenbaar maken. Een e-mail geschreven door ChatGPT zonder vermelding is een overtreding.
Wat staat er in een goed AI-reglement voor ChatGPT?
Een AI-reglement voor personeel hoeft geen romans te worden. Een goed document bevat in de kern vier elementen:
- Toegestane tools: Welke AI-tools mogen medewerkers gebruiken en voor welke taken? (Bijv. ChatGPT voor tekstopstelling, niet voor juridisch advies.)
- Verboden invoer: Wat mag nooit worden ingevoerd? (Klantgegevens, personeelsdossiers, financiële prognoses, bedrijfsgeheimen.)
- Menselijk toezicht: Hoe wordt AI-output gecontroleerd voordat het wordt gebruikt of geleverd aan een klant?
- Meldprocedure: Wat doet een medewerker als hij vermoedt dat er iets mis is gegaan met AI-gebruik?
Veel Nederlandse MKB-bedrijven worstelen met het opstellen van dit soort documenten omdat ze de juridische kaders niet kennen. Dat is precies het probleem dat AIveilig.com oplost.
ChatGPT versus ChatGPT Enterprise: maakt het verschil?
Ja, maar minder dan u denkt. ChatGPT Enterprise biedt meer privacywaarborgen (geen datatraining op uw input) en een Data Processing Agreement (DPA) met OpenAI. Dit verlaagt het AVG-risico, maar neemt uw EU AI Act-verplichtingen als deployer niet weg. U bent en blijft verantwoordelijk voor een AI-reglement, een AI-register en de AI-geletterdheid van uw medewerkers — ongeacht welk ChatGPT-abonnement u heeft.
💡 Tip voor Noord-Holland en omgeving: Veel ondernemersverenigingen in de regio Amsterdam, Purmerend en omgeving organiseren voorlichting over de EU AI Act. Combineer uw compliance-traject met netwerken — u bent niet de enige die dit moet regelen.
Hoe pakt u dit praktisch aan voor augustus 2026?
De deadline van 2 augustus 2026 nadert snel. Gelukkig is compliance voor de meeste Nederlandse MKB-bedrijven geen enorm project — als u het gestructureerd aanpakt.
Stap 1: inventariseer welke AI-tools uw bedrijf gebruikt. Niet alleen ChatGPT, maar ook Copilot, Grammarly, AI-functies in uw boekhoudsoftware. Dat is de basis van uw AI-register.
Stap 2: stel een AI-reglement op voor uw personeel. Dit document legt de spelregels vast en beschermt u juridisch.
Stap 3: pas uw privacyverklaring aan zodat AI-gebruik wordt vermeld.
Stap 4: documenteer alles. Compliance zonder bewijs bestaat niet. Bewaar uw documenten en zorg voor een ondertekende versie.
Als u dit zelf uitzoekt, bent u al snel meerdere dagen kwijt. AIveilig.com heeft dit vereenvoudigd: via onze gratis risicoscan weet u in 2 minuten waar uw bedrijf staat. Voor €179 leveren wij alle documenten kant-en-klaar, op maat gemaakt voor uw situatie, binnen tien minuten.
Weet u al waar uw bedrijf staat?
Doe de gratis 2-minuten scan en ontvang direct uw persoonlijke risico-analyse. Geen registratie nodig.
Doe de gratis scan →