Op maandag 09:12 kreeg Iris, operationeel manager van een dienstverlener in Utrecht, een mail van een grote klant: ‘Kunnen jullie bevestigen dat jullie AI-gebruik AI Act-proof is voor augustus 2026?’
Ze gebruikte drie AI-tools, had vijf freelancers met eigen accounts en twee automatische workflows. Maar niemand wist wie formeel eigenaar was van risico’s, logging en menselijk toezicht.
Dat is precies het mkb-probleem in 2026: niet te weinig tools, maar te weinig rolverdeling. De AI Act draait minder om een magisch vinkje en meer om aantoonbare verantwoordelijkheid.
Dit artikel is voor ondernemers en managers die snel duidelijkheid willen. Je krijgt een concreet model met leveranciersverklaring, interne rollen en een 30-dagen route zonder juridisch theater.
TL;DR
- Maak per AI-toepassing één eigenaar met beslisbevoegdheid.
- Vraag leveranciers om een korte AI Act-verklaring met scope en beperkingen.
- Leg menselijk toezicht vast in praktische werkinstructies.
- Houd een incidentlog bij, ook als er nog geen incidenten zijn.
- Plan maandelijks 45 minuten AI-governance in je teamritme.
Waarom augustus 2026 ineens wél urgent voelt
In gesprekken met mkb-teams zie je hetzelfde patroon: AI is ‘erbij’ gegroeid. Sales gebruikt één assistent, support een chatbot, finance een documenttool. Niemand heeft het geheel in beeld.
Totdat een klant, accountant of aanbesteding om bewijs vraagt. Dan blijkt dat technische keuze, contractuele plichten en operationele praktijk door elkaar lopen.
De deadline werkt als katalysator. Niet omdat elk mkb-bedrijf direct een hoog-risico systeem bouwt, maar omdat ketenpartners nu aantoonbaarheid eisen in hun leveranciersselectie.
Praktisch onderscheid: toolgebruiker, implementator, leverancier
Veel verwarring begint bij woorden. Je bedrijf kan gebruiker zijn van een model, maar tegelijk implementator van een eigen workflow richting klanten.
Maak daarom per toepassing drie kolommen: wie levert de AI-kern, wie configureert, wie gebruikt output voor zakelijke beslissingen.
Zodra je dat uitschrijft, zie je direct waar gaten vallen. Vooral bij prompts, datastromen en uitzonderingen is vaak geen duidelijke eigenaar benoemd.
De leveranciersverklaring die je vandaag kunt opvragen
Vraag je leverancier niet om een juridisch essay, maar om een éénpagina-verklaring met zeven punten. Dan krijg je sneller bruikbare antwoorden.
Punt 1: productnaam en versiescope. Punt 2: beoogd gebruik en expliciete beperkingen. Punt 3: beveiligings- en datalocatie-informatie.
Punt 4: monitoring en loggingmogelijkheden. Punt 5: update- en wijzigingsbeleid. Punt 6: contactroute voor incidenten. Punt 7: verantwoordelijkheidsafbakening.
Met deze structuur kun je leveranciers vergelijken op bruikbaarheid, niet op marketingtaal. Je ziet meteen of een partij volwassen genoeg is voor zakelijke afhankelijkheid.
Interne rolverdeling: vier petten, geen dertien
Een klein team heeft geen compliance-afdeling nodig, wel vier duidelijke petten. Houd het simpel en benoem namen, geen functietitels.
Pet 1 is proceseigenaar: bepaalt waar AI wel en niet gebruikt mag worden. Pet 2 is dataverantwoordelijke: bewaakt inputkwaliteit en privacygrenzen.
Pet 3 is kwaliteitsbewaker: controleert outputkwaliteit en escalaties. Pet 4 is incidentcoördinator: registreert fouten, leert ervan en koppelt terug naar leveranciers.
In teams onder tien mensen kunnen twee personen meerdere petten dragen. Belangrijk is dat bij elk incident direct duidelijk is wie beslist.
Menselijk toezicht vertalen naar werkvloer
‘Menselijk toezicht’ klinkt abstract, maar op de werkvloer is het gewoon een checklist vóór verzending, publicatie of besluitvorming.
Bouw een stoplichtmodel: groen voor lage impact, oranje voor twijfel, rood voor beslissingen met juridisch of financieel gevolg. Oranje en rood krijgen verplichte tweede check.
Voorbeeld: supportantwoorden mogen automatisch bij FAQ-vragen, maar niet bij klachten over facturen boven €500. Daar moet een medewerker eerst accorderen.
Zo maak je toezicht niet theoretisch, maar uitvoerbaar in drukke weken. Teams volgen regels die in hun werkritme passen.
Incidentlog: klein beginnen, groot effect
Veel mkb’ers denken dat een incidentlog pas nodig is bij grote fouten. Juist kleine incidenten geven de beste stuurinformatie.
Noteer minimaal: datum, toepassing, type fout, impact, tijdelijke maatregel, structurele fix, eigenaar en evaluatiedatum. Dat kost vaak minder dan vijf minuten per geval.
Na tien registraties herken je patronen: dezelfde promptfout, dezelfde bronverwarring, dezelfde klantvragen. Dan kun je gericht verbeteren in plaats van brandjes blussen.
Voorbeeld uit de praktijk: marketingbureau met 14 mensen
Een bureau in Eindhoven gebruikte acht AI-tools door elkaar. Offertes verschilden per accountmanager en klantdocumenten werden soms op verkeerde plekken geüpload.
Ze startten met één AI-register in Notion, voegden leveranciersverklaringen toe en koppelden elke tool aan een proceseigenaar. Binnen drie weken was onduidelijkheid vrijwel weg.
Belangrijkste winst: minder discussie, snellere onboarding en betere antwoorden op klantvragen. Compliance werd geen rem, maar een operationeel kwaliteitsinstrument.
Kostenplaatje voor mkb: realistisch begroten
Voor een klein bedrijf ligt de implementatie meestal tussen 12 en 28 uur intern werk in de eerste maand, afhankelijk van aantal tools en teams.
Reken daarnaast op 2 tot 6 uur leveranciersafstemming en mogelijk contractupdates. Geen gratis traject, maar vaak goedkoper dan één verloren enterprise-klant.
Gebruik een vaste maandslot van 45 minuten voor onderhoud. Daarmee blijft je dossier actueel zonder dat het een project op zichzelf wordt.
30-dagen actieplan
Week 1: inventariseer alle AI-toepassingen, inclusief ‘verborgen’ tools in individuele abonnementen. Benoem per toepassing eigenaar en impactniveau.
Week 2: stuur leveranciersverklaringen uit en verzamel antwoorden centraal. Markeer ontbrekende of vage antwoorden als risico.
Week 3: voer stoplichttoezicht in op drie kritieke processen: klantcommunicatie, offertevorming en financiële verwerking.
Week 4: start incidentlog, plan eerste review en communiceer je AI-werkwijze intern én richting belangrijke klanten.
Veelgemaakte fouten
Fout 1: alleen IT betrekken. AI-risico zit juist in operatie, sales en support. Fix: multidisciplinair kernteam van drie mensen.
Fout 2: denken dat leverancier alles dekt. Fix: contractuele afbakening checken en interne gebruiksregels vastleggen.
Fout 3: geen versiebeheer van prompts en workflows. Fix: werk met changelog en release-notes per kritieke toepassing.
Fout 4: governance eenmalig behandelen. Fix: maandelijkse mini-review van 45 minuten met vaste agenda.
FAQ
Moet elk mkb-bedrijf direct volledige AI Act-documentatie hebben?
Nee. Begin met toepassingen die klantimpact, financiële impact of personeelsimpact hebben. Daar levert aantoonbaarheid direct waarde op.
Wat als een leverancier geen duidelijke verklaring wil geven?
Zie dat als risico-indicator. Vraag een alternatief of plan een fallback, vooral bij processen die omzet of compliance raken.
Is dit juridisch advies?
Nee. Dit is een operationeel implementatiekader. Laat contracten en sectorspecifieke verplichtingen toetsen door een jurist waar nodig.
Conclusie
De AI Act-deadline van augustus 2026 vraagt van mkb’ers vooral één vaardigheid: verantwoordelijkheid concreet organiseren. Niet harder werken, maar helderder toewijzen.
Met leveranciersverklaringen, vier interne petten en een simpel incidentritme maak je compliance uitvoerbaar. En belangrijker: je bouwt tegelijk betrouwbaardere dienstverlening.
Direct toepasbare prompt
"Geef me een praktische aanpak voor [probleem] voor een Nederlands mkb-bedrijf. Houd het kort, met concrete stappen en voorbeeldtekst."