EU AI Act voor het mkb: wat er echt verandert (en wat niet)
Moet ook u zich aanpassen aan de AI Act? Voor bijna elk mkb-bedrijf is het antwoord geruststellender dan verwacht. Deployer versus provider, de vier risiconiveaus, wanneer de last serieus wordt, het verband met GDPR en DPIA en het Italiaanse kader van de Garante — in heldere taal en zonder paniekzaaierij.
Sinds de EU AI Act in werking is getreden, is de vraag die we het vaakst horen van ondernemers en managers van mkb-bedrijven er maar één, en ze komt voort uit angst: «moet ook ik me aanpassen? En hoeveel kost het me?». Het korte antwoord is, voor de overgrote meerderheid van de Italiaanse kleine en middelgrote ondernemingen, geruststellender dan de pers laat uitschijnen — maar het moet goed begrepen worden, want «gerust» betekent niet «het gaat mij niet aan».
We proberen ordening te brengen, in heldere taal, in wat er echt verandert voor een mkb-bedrijf en — even belangrijk — in wat er niet verandert.
Eerste onderscheid: u bent een gebruiker, geen producent
De AI Act scheidt scherp twee rollen, en om uw verplichtingen te begrijpen moet u weten in welke u zich bevindt. De leverancier (provider) is wie een AI-systeem ontwikkelt of op de markt brengt: OpenAI, Google, een softwarehuis dat een eigen model verkoopt. De gebruiker (deployer) is wie dat systeem in zijn eigen activiteit gebruikt — het bedrijf dat een copilot voor verkoop adopteert, een assistent voor klantenservice, een tool om marketingcontent te genereren.
Bijna alle mkb-bedrijven zijn deployer, geen provider. Dat is goed nieuws: de verplichtingen van artikel 26 van de AI Act, die welke rusten op wie AI gebruikt, zijn reëel maar veel lichter dan die opgelegd aan wie haar bouwt. Het grootste deel van de regelgevende last blijft stroomopwaarts, bij de leverancier.
De vier risiconiveaus (en waar bijna alle AI van een mkb-bedrijf eindigt)
Het hart van de AI Act is een risicogebaseerde aanpak: niet alle AI-toepassingen worden op dezelfde manier behandeld. De officiële samenvatting van de verordening definieert vier niveaus:
- Onaanvaardbaar risico — verboden. Systemen zoals de social scoring van overheidswege of gedragsmanipulatie. Het is geen ondernemersterrein: ze mogen simpelweg niet gebruikt worden.
- Hoog risico — toegestaan, maar met zware verplichtingen. Het betreft «gevoelige» toepassingen opgesomd in Annex III: selectie en beheer van personeel, scoring van kredietwaardigheid, biometrische identificatie, onderwijs, essentiële diensten. Hier beslist de AI over rechten en kansen van mensen.
- Beperkt risico — transparantieverplichtingen. Het typische geval: een chatbot moet de gebruiker kenbaar maken dat hij met een machine praat; door AI gegenereerde content moet als zodanig worden gemarkeerd.
- Minimaal risico — geen specifieke verplichting. Antispamfilters, interne suggesties, het gros van de productiviteitscopilots.
-
Onaanvaardbaar risico
Verboden — social scoring, gedragsmanipulatie. Buiten het ondernemersterrein.
-
Hoog risico
Toegestaan, maar met zware verplichtingen (Annex III): personeel, krediet, biometrie, essentiële diensten.
-
Beperkt risico
Transparantieverplichtingen — een chatbot moet zich als zodanig kenbaar maken, AI-content moet worden gemarkeerd.
-
Minimaal risico
Geen specifieke verplichting. Hier valt bijna alle AI van een mkb-bedrijf: copilots, concepten, antispam.
Het punt dat de aanvankelijke angst omkeert: de meest voorkomende AI-toepassingen in een mkb-bedrijf — een assistent voor verkoop, het genereren van marketingconcepten, een interne supportbot, de automatisering van operations-activiteiten — vallen bijna altijd onder beperkt of minimaal risico. De zware machinerie van artikel 26 gaat pas aan voor de hoog-risicotoepassingen.
Wanneer de last echt serieus wordt
Het loont te weten wanneer men in de veeleisende tier komt, want het is daar dat een project vanaf het begin met aandacht moet worden ontworpen. Als u AI gebruikt voor beslissingen over personeel (cv-screening, beoordelingen, promoties), om de kredietwaardigheid te beoordelen van een klant, of voor biometrische identificatie, zit u met alle waarschijnlijkheid in het hoog-risicobereik. In dat geval vraagt artikel 26 de deployer om, onder meer:
- het systeem te gebruiken volgens de instructies van de leverancier;
- een effectief menselijk toezicht op de beslissingen te waarborgen;
- ervoor te zorgen dat de invoergegevens relevant zijn voor het doel;
- de werking ervan te monitoren en de logs minstens zes maanden te bewaren;
- ernstige incidenten te melden.
Het is geen onmogelijke verplichting, maar het is ook niet «zet de tool aan en ga». De praktische regel is eenvoudig: de hoog-risicotoepassingen moeten al vanaf het projectontwerp apart gehouden worden, niet stroomafwaarts ontdekt. Het is de reden waarom in onze methode elke workflow een verklaard risiconiveau meebrengt, nog vóór de toolkeuze.
Let op: de GDPR is niet verdwenen
Een veelgemaakte fout is denken dat de AI Act de privacy vervangt. Het is omgekeerd: hij komt erbij. Als uw AI-gebruik persoonsgegevens verwerkt — en dat is bijna altijd het geval — blijft de GDPR in het spel, met een vaak over het hoofd gezien onderdeel: de effectbeoordeling (DPIA) van artikel 35. Ze is verplicht wanneer de verwerking «waarschijnlijk hoog risico» is, en drie gevallen laten haar automatisch aangaan: geautomatiseerde beslissingen met juridische of aanmerkelijke gevolgen, verwerking op grote schaal van bijzondere categorieën gegevens, systematische monitoring van openbare ruimten.
Er is een detail dat de generieke DPIA-modellen fout doen: ze zijn ontstaan vóór AI en dekken niet de risico's die specifiek zijn voor intelligente systemen — de opaciteit van het model, de memorisatie van de trainingsdata, het afdrijven van de antwoorden in de tijd, het conflict tussen het recht op wissing en een reeds getraind model. Een serieuze DPIA voor AI heeft een aparte sectie voor deze risico's nodig, niet het gebruikelijke gekopieerde formulier.
In Italië: de Garante is al aan het werk
In Italië is het kader niet alleen Europees. De Italiaanse privacytoezichthouder (Garante Privacy) houdt een themapagina over kunstmatige intelligentie bij die hij vaak bijwerkt, en is actief bezig met controles op het gebruik van AI. Op wetgevend vlak heeft het land zich voorzien van een eigen kader van algemene AI-principes dat, onder meer, het bereik van de effectbeoordeling verruimt ten opzichte van de GDPR-basis alleen. Het is een gebied in beweging: vóór u een specifieke verplichting voor vaststaand aanneemt, is het altijd goed de vigerende tekst te verifiëren, want de regels en de sancties worden juist nu vastgesteld.
En de deadlines? De waarheid is dat ze een bewegend doelwit zijn
Veel alarmerende artikelen draaien rond een precieze datum. De realiteit is genuanceerder: de AI Act is niet in één keer in werking getreden, maar gefaseerd verspreid over meerdere jaren, en een deel van de kalender is heropend en heronderhandeld door de Europese instellingen — enkele deadlines voor de hoog-risicotoepassingen zijn naar achteren verschoven terwijl we dit schrijven. Vertaald voor wie een onderneming leidt: de afzonderlijke datum najagen is minder nuttig dan de richting kennen.
De richting is helder en zal niet veranderen: transparantie over de zichtbare toepassingen, menselijk toezicht op de toepassingen die mensen raken, traceerbaarheid van wat de AI beslist. Wie deze drie dingen goed opzet, is klaar wat de definitieve datum ook is.
Wat nu te doen, in de praktijk
Er is geen complianceproject van een grote onderneming nodig. Voor een mkb-bedrijf is het verstandige traject kort:
- Maak de inventaris van waar u al AI gebruikt (vaak meer dan u denkt: schrijftools, CRM, support). Vraag u voor elk af in welk risiconiveau het valt.
- Isoleer de gevoelige toepassingen — personeel, krediet, biometrie: het zijn de enige die de machinerie van artikel 26 vereisen. Behandel ze apart, met toegewijde controles.
- Zet transparantie en menselijk toezicht daar waar de AI met klanten praat of een beslissing beïnvloedt. Het zijn de controles met het hoogste rendement en de laagste kosten.
- Verifieer of u een DPIA nodig hebt en, zo ja, dat die de AI-specifieke risico's dekt en niet alleen het generieke GDPR.
Het is precies de logica van onze compliance-overlay: aan elk AI Workflow Design dat we ontwerpen haken we het AI-Act-risiconiveau vast, de DPIA-controle, het risicolabel volgens een erkende taxonomie (MIT AI Risk Repository) en de Italiaanse noot waar nodig. Compliance is geen apart hoofdstuk om later aan te pakken: het is deel van het ontwerp, vanaf de eerste dag.
Het startpunt is altijd hetzelfde
Nog vóór de compliance komt de positie: begrijpen waar u staat en met welke afdeling u het beste begint. Als u dat nog niet gedaan hebt, is de eerste stap uw AI-readiness te meten — daarna kiest u, afdeling voor afdeling, wat te automatiseren en met welke controles eromheen. Automatiseren zonder controles is de snelste manier om later te moeten stoppen; automatiseren met de juiste controles is wat een ent in staat stelt aan te slaan en te duren.
We hebben deze eerste stap omgezet in een self-service en gratis beoordeling: een paar vragen en een aanwijzing over waar te beginnen, met hoeveel aandacht voor compliance. Doe de AI-readiness-beoordeling — daarna, als het zinvol is, praten we erover.
Dit artikel is louter ter oriëntatie en weerspiegelt het regelgevende kader in een fase waarin verschillende deadlines van de EU AI Act nog in ontwikkeling zijn: het vormt geen juridisch advies of conformiteitsbeoordeling. Voor de concrete verplichtingen van uw bedrijf verwijzen we naar de vigerende tekst van de verordening, de aanwijzingen van de Garante en gekwalificeerde juridische ondersteuning.
Lees verder
Andere analyses over AI-adoptie in een mkb-bedrijf.
Van theorie naar uw bedrijf. Wij enten AI.
Wilt u weten met welke afdeling u in uw bedrijf het beste kunt beginnen? De gratis beoordeling geeft u binnen twee minuten een eerste antwoord — daarna, als het zinvol is, praten we verder.