Je gebruikt een AI-tool voor klantenservice, een chatbot op je website, of misschien een slimme HR-tool voor cv-screening. En dan lees je iets over de EU AI Act en vraag je je af: moet ik hier iets mee? Een EU AI Act compliance checker geeft je in een paar minuten een eerste antwoord, zonder dat je een jurist nodig hebt.
📌 In het kort
- Een EU AI Act compliance checker laat zien of jouw AI-systeem onder de wet valt en welke verplichtingen daarbij horen.
- De meeste MKB-toepassingen vallen in de categorie minimaal of beperkt risico.
- Als deployer (gebruiker van AI-tools) heb je andere verplichtingen dan als aanbieder.
- Boetes kunnen oplopen tot €40 miljoen, maar voor MKB geldt proportionele handhaving.
Wat is een EU AI Act compliance checker?
Een AI act checker is een interactieve zelfevaluatietool. Je beantwoordt een reeks vragen over jouw AI-systeem: wat doet het, waar gebruik je het, wie gebruikt het en in welke sector? Op basis van je antwoorden geeft de tool een indicatie van het risiconiveau en de bijbehorende verplichtingen.
De bekendste versie is die van het Future of Life Institute. Maar er zijn ook andere tools beschikbaar, van consultancybureaus tot overheidsinstanties.
Belangrijk om te weten: een compliance checker geeft geen juridisch advies. Het is een eerste oriëntatie, geen definitief oordeel. De tool is zo goed als de vragen die je erin stopt. Als je jouw AI-systeem te simpel of te complex omschrijft, krijg je een vertekend beeld. Gebruik de uitkomst als startpunt, niet als eindconclusie. Voor hoog-risico toepassingen is professioneel advies echt nodig. Voor de meeste MKB-toepassingen geeft de checker genoeg houvast om te bepalen wat je vervolgens moet doen.
Ik gebruik dergelijke tools zelf ook als eerste stap bij klanten, juist omdat ze het gesprek concreter maken. Je gaat van “ik weet niet of ik iets moet regelen” naar “oké, dit is mijn situatie, dit zijn de relevante vragen.”
💡 Expert tip
Begin met het in kaart brengen van alle AI-tools die je organisatie gebruikt, inclusief tools die medewerkers zelf hebben aangeschaft. In de praktijk zijn er altijd meer AI-systemen in gebruik dan het management denkt. Bij een logistiek bedrijf dat ik begeleidde, kwamen we via een interne rondvraag op meer dan twaalf verschillende AI-tools, terwijl de directie er vijf kende. Die eerlijke inventarisatie is de logische eerste stap vóór welke ai act readiness check dan ook.
Wil je weten waar AI jou tijd bespaart?
Vul in 1 minuut de scan in. Onze specialisten sturen je binnen één werkdag een persoonlijk rapport met concrete AI-toepassingen voor jouw functie en sector.
Geen verkoopgesprek. Geen verplichtingen.
Wie moet voldoen aan de EU AI Act?
Val jij eigenlijk wel onder de EU AI Act? Dat is de eerste vraag die ik krijg van bijna elke MKB-eigenaar die ik spreek. En het antwoord hangt af van welke rol je speelt.
De wet maakt onderscheid tussen drie hoofdrollen. Welke checklist herken jij?
Ben jij aanbieder, deployer of importeur?
- Ik ontwikkel zelf een AI-systeem en breng het op de markt of lever het aan klanten. → Je bent aanbieder.
- Ik gebruik een bestaand AI-systeem van een andere leverancier in mijn eigen organisatie. → Je bent deployer.
- Ik koop een AI-systeem buiten de EU en breng het op de Europese markt. → Je bent importeur.
- Ik distribueer een AI-systeem van een ander bedrijf verder in de EU. → Je bent distributeur.
De meeste MKB-bedrijven zijn deployer. Maar ook als deployer heb je verplichtingen. Die worden te vaak vergeten.
Aanbieder (provider)
Stel: je bouwt een accountancypakket en voegt daar een AI-module aan toe die automatisch facturen controleert. Je verkoopt dat pakket aan klanten. Dan ben jij de aanbieder. Dat geldt ook als je het onder eigen naam op de markt brengt, ook al gebruik je in de achtergrond een model van OpenAI of een ander platform.
Als aanbieder draag je de meeste verantwoordelijkheid. Je bent verplicht om technische documentatie bij te houden, risicobeheer in te richten en bij hoog-risico systemen ook een conformiteitsbeoordeling uit te voeren. Dat klinkt zwaar, en voor complexe systemen is het dat ook.
Deployer
Je bent deployer als je een bestaand AI-systeem gebruikt in je eigen bedrijfsvoering. Denk aan een HR-manager die een AI-tool inkoopt voor cv-screening, of een klantenserviceteam dat dagelijks werkt met een AI-chatbot van een externe leverancier.
Als AI act deployer heb je minder verplichtingen dan een aanbieder, maar je bent absoluut niet vrijgesteld. Wat verwacht de wet van jou? Je moet transparant zijn naar gebruikers: mensen moeten weten dat ze met AI te maken hebben. Je moet menselijk toezicht inrichten bij hoog-risico toepassingen. En je mag een AI-systeem alleen gebruiken voor de doelen waarvoor het bedoeld is. Dat laatste klinkt logisch, maar wordt in de praktijk regelmatig genegeerd.
De vier risiconiveaus van de EU AI Act
Niet elke AI-tool is even risicovol. De EU AI Act werkt met vier risiconiveaus, en dat niveau bepaalt welke verplichtingen voor jou gelden. Het goede nieuws: de meeste standaard AI-tools die MKB-bedrijven gebruiken, vallen in de laagste categorieën.
| Risiconiveau | Omschrijving | Voorbeeld (MKB) | Verplichtingen |
|---|---|---|---|
| Onaanvaardbaar | Verboden toepassingen | Sociale scoring, manipulatie zonder toestemming | Volledig verbod |
| Hoog risico | Serieuze impact op rechten of veiligheid | AI-tool voor cv-screening, medische beslissingstool | Technische documentatie, menselijk toezicht, registratie |
| Beperkt risico | Transparantie nodig | Chatbot op je website | Gebruiker informeren dat het AI is |
| Minimaal risico | Geen specifieke verplichtingen | Spamfilter, aanbevelingsalgoritme in webshop | Niets verplicht |
Onaanvaardbaar risico: verboden toepassingen
Sommige AI-toepassingen zijn simpelweg verboden. Concreet gaat het om:
- AI-systemen die mensen onbewust manipuleren of misleiden
- Sociale scoring door overheden (denk aan het Chinese puntensysteem)
- Real-time biometrische surveillance in openbare ruimten (met beperkte uitzonderingen voor wetshandhaving)
- Systemen die kwetsbare groepen uitbuiten
Voor vrijwel alle MKB-bedrijven is dit niet relevant. Je komt hier niet mee in aanraking met standaard bedrijfstoepassingen. Goed om te weten, maar geen reden tot zorgen.
Hoog risico: strenge verplichtingen
Bij een klant in de zorg zag ik dat hun AI-systeem voor het prioriteren van patiëntenzorg direct onder de hoog-risico categorie viel. Dat was een verrassing voor hen. Ze dachten dat het “gewoon een planningtool” was.
Hoog-risico AI-systemen vallen in sectoren waar fouten grote gevolgen hebben voor mensen. Herken jij een van deze situaties?
- HR en personeelsbeheer: AI voor cv-screening, prestatiebeoordeling of salarisprognoses
- Zorg: AI-tools die bijdragen aan medische diagnoses of behandelkeuzes
- Onderwijs: systemen die studieprestaties beoordelen of toelating bepalen
- Kredietverlening en financiën: AI die kredietwaardigheid of verzekeringspremies bepaalt
- Kritieke infrastructuur: energienetwerken, watervoorziening, transport
- Wetshandhaving: risicoprofilering of bewijsevaluatie
Geschatte 5 tot 15% van alle AI-systemen valt in deze categorie. De verplichtingen zijn serieus: technische documentatie, menselijk toezicht, transparantie naar gebruikers, en voor sommige systemen ook registratie in een EU-database.
Beperkt en minimaal risico: transparantie of niets
Hier valt de meerderheid van wat MKB-bedrijven dagelijks gebruiken. En ik merk dat veel ondernemers hierover onnodig bezorgd zijn.
Heb je een chatbot op je website voor klantenservice? Dan val je in de categorie beperkt risico. Wat moet je doen? Gebruikers informeren dat ze met AI praten. Dat is alles. Eén zin in je chatinterface is voldoende.
Gebruik je een AI-spamfilter, een slim aanbevelingssysteem in je webshop, of AI-tools voor contentcreatie? Dan val je in de categorie minimaal risico. Geen enkele wettelijke verplichting. Je kunt gewoon doorgaan zoals je bezig bent.
Wat zijn de boetes als je de EU AI Act niet naleeft?
Wat kost het me als ik niets doe? Eerlijk gezegd een begrijpelijke vraag. Hier zijn de cijfers.
| Overtreding | Maximale boete |
|---|---|
| Verboden toepassing (onaanvaardbaar risico) | €40 miljoen of 7% van wereldwijde jaaromzet |
| Overtreding hoog-risico verplichtingen | €20 miljoen of 4% van jaaromzet |
| Andere overtredingen (bijv. onjuiste informatie aan toezichthouder) | €10 miljoen of 2% van jaaromzet |
Dat zijn grote getallen. Maar hier is de nuance die je bij concurrerende artikelen zelden leest: voor MKB geldt proportionele handhaving. De nationale toezichthouder houdt bij het opleggen van boetes rekening met de omvang van de organisatie, de ernst van de overtreding en of je aantoonbaar stappen hebt gezet om te voldoen.
Negeren is geen optie. Maar wie proactief in kaart brengt wat hij gebruikt en aantoonbaar werkt aan naleving, verlaagt het boeterisico aanzienlijk. Vrijwillige naleving, ook als je strikt genomen buiten scope valt, werkt in je voordeel.
Wat doe je na de compliance check: concrete vervolgstappen
Je hebt de checker ingevuld. Je weet nu in welke categorie je valt. Wat nu? Dit is het deel dat de meeste artikelen overslaan, terwijl het juist het meest nuttige is.
Er zijn drie mogelijke uitkomsten, elk met een eigen vervolgpad.
1. Je valt buiten scope (minimaal risico of niet van toepassing)
Goed nieuws. Maar overweeg toch om basisgovernance in te richten. De wet verandert, jouw AI-gebruik waarschijnlijk ook. Bedrijven die nu al een intern beleid hebben voor AI-gebruik, zijn morgen beter voorbereid. Denk aan een simpele gedragscode voor medewerkers, een overzicht van welke AI-tools je gebruikt en wie daar verantwoordelijk voor is.
2. Je valt in de categorie beperkt risico
Eén concrete actie: zorg dat gebruikers weten dat ze met AI communiceren. Voeg een melding toe aan je chatbot of geautomatiseerde e-mails. Documenteer dat je dit hebt gedaan. Klaar.
3. Je valt in de categorie hoog risico
Hier is meer werk aan de winkel. Concrete stappen:
- Stel technische documentatie op van je AI-systeem (wat doet het, hoe werkt het, welke data gebruikt het)
- Richt menselijk toezicht in: er moet altijd iemand zijn die de AI-beslissingen kan controleren en overrulen
- Registreer je systeem in de EU-database voor hoog-risico AI-systemen
- Informeer gebruikers actief over hoe het systeem werkt
Voor MKB-bedrijven die hoog-risico systemen gebruiken is een gestructureerde EU AI Act readiness-aanpak de meest efficiënte route. Dat hoeft niet duur of ingewikkeld te zijn, maar het vereist wel een eerlijke inventarisatie van wat je gebruikt en hoe. Als je nog oriënteert op welke aanpak bij jouw situatie past, kan strategisch AI-advies helpen om de juiste prioriteiten te stellen.
EU AI Act en MKB: wat is er speciaal voor jou geregeld?
Bij een retailbedrijf met twintig medewerkers waar ik aan tafel zat, was de eerste reactie: “Dit is toch alleen voor grote corporates?” Begrijpelijk, maar niet helemaal juist. De EU AI Act houdt namelijk expliciet rekening met kleinere organisaties.
Wat heeft de wet voor MKB en startups geregeld?
- Regulatory sandboxes: Testomgevingen waar je jouw AI-systeem kunt ontwikkelen en valideren onder toezicht van de toezichthouder, voordat je het volledig lanceert. MKB krijgt voorrangsacces.
- Lagere conformiteitskosten: De wet bevat bepalingen om de kosten voor conformiteitsbeoordelingen voor kleinere organisaties te beperken.
- Directe communicatiekanalen: MKB-bedrijven krijgen toegang tot specifieke kanalen bij nationale toezichthouders voor vragen en begeleiding.
- Trainingen voor AI-geletterdheid: De wet verplicht lidstaten om ai act geletterdheid te bevorderen, ook voor medewerkers bij kleine bedrijven. Denk aan gratis of laagdrempelige cursussen.
- Proportionele boetes: Zoals hierboven beschreven geldt voor MKB een mildere handhavingsbenadering dan voor grote platforms.
Wat betekent dat voor jou in de praktijk? Dat je niet meteen een compliance-afdeling hoeft op te bouwen. Een realistisch plan met concrete prioriteiten is genoeg om te starten.
Wil je weten waar AI jou tijd bespaart?
Vul in 1 minuut de scan in. Onze specialisten sturen je binnen één werkdag een persoonlijk rapport met concrete AI-toepassingen voor jouw functie en sector.
Geen verkoopgesprek. Geen verplichtingen.
Veelgestelde vragen
Heb je na het lezen nog vragen? De meestgestelde vragen zijn hieronder beantwoord, vanuit MKB-perspectief, zonder juridisch jargon.
Wat zijn de 4 risiconiveaus van de EU AI Act?
De vier niveaus zijn: onaanvaardbaar risico (verboden), hoog risico (strenge verplichtingen), beperkt risico (transparantie verplicht) en minimaal risico (geen verplichtingen). De meeste standaard MKB-toepassingen vallen in de laatste twee categorieën.
Wie moet voldoen aan de EU AI Act?
Aanbieders die AI-systemen op de markt brengen, deployers die AI-systemen inzetten in hun organisatie, en importeurs of distributeurs. Ook niet-EU-bedrijven vallen eronder als hun systemen in de EU worden gebruikt.
Is de EU AI Act compliance checker juridisch bindend?
Nee. De checker geeft een indicatie maar is geen juridisch advies. Voor hoog-risico systemen is professioneel juridisch advies sterk aanbevolen.
Wanneer is de EU AI Act van kracht?
De wet is op 1 augustus 2024 in werking getreden. De verboden praktijken gelden per februari 2025, de hoog-risico verplichtingen per augustus 2026.
Mag ik de EU AI Act vrijwillig naleven als mijn systeem buiten scope valt?
Ja. De wet moedigt vrijwillige gedragscodes aan voor risicobeheer, datatransparantie en menselijk toezicht, ook voor organisaties die technisch buiten scope vallen. Het is een slimme manier om alvast governance op te bouwen.
Wat is het verschil tussen een aanbieder en een deployer in de EU AI Act?
Een aanbieder ontwikkelt een AI-systeem en brengt het op de markt. Een deployer gebruikt een bestaand AI-systeem van een externe leverancier in zijn eigen organisatie. De meeste MKB-bedrijven zijn deployer.
