Het begint meestal niet met een boze toezichthouder, maar met een simpele klantvraag. 'Gebruiken jullie AI in deze chat?' Of een grotere opdrachtgever die ineens vraagt naar je AI-beleid. Dan voelt de EU AI Act niet meer als abstract Brussel, maar als iets dat op je bureau ligt naast de btw-aangifte en de openstaande offertes.
Dit artikel is voor Nederlandse mkb-ondernemers die chatbots, AI-teksten, AI-afbeeldingen, Copilot, ChatGPT of marketingautomatisering gebruiken en vóór augustus 2026 iets aantoonbaars willen hebben. Geen juridisch boekwerk van 60 pagina's. Wel een compacte bewijsmap waarmee je kunt laten zien: we weten welke AI we gebruiken, waarom, met welke grenzen en wie controle houdt.
TL;DR: maak bewijs, geen papieren theater - Leg per AI-tool doel, leverancier, data en eigenaar vast. - Schrijf per chatbot of AI-contentflow één transparantietekst. - Bewaar 10 voorbeeldgesprekken of outputs met menselijke correcties. - Train medewerkers 45 minuten op wat wel en niet mag. - Herhaal de controle elk kwartaal, niet pas bij paniek.
Waarom een bewijsmap praktischer is dan een dik AI-beleid
Veel ondernemers beginnen verkeerd. Ze zoeken naar een AI Act-template, kopiëren juridische tekst en denken dat het daarmee geregeld is. Maar als iemand morgen vraagt welke AI-tools je gebruikt, welke klantdata daarin terechtkomt en wie de output controleert, helpt een algemeen beleidsdocument weinig. Je hebt operationeel bewijs nodig.
Een bewijsmap is simpeler. Het is één map in Google Drive, SharePoint, Notion of je fileserver met vijf onderdelen: AI-register, transparantieteksten, werkinstructies, trainingsbewijs en wijzigingslogboek. Daarmee wordt compliance een bedrijfsroutine in plaats van een jaarlijks project.
Voor 90 procent van de kleine bedrijven gaat het niet om high-risk AI. Het gaat om beperkt-risico of minimaal-risico gebruik: chatbots, tekstgeneratie, samenvattingen, marketingconcepten en interne analyse. Juist daar is aantoonbaarheid haalbaar. Je hoeft geen jurist te worden; je moet laten zien dat je bewust werkt.
Stap 1: maak een AI-register dat een mens begrijpt
Open een spreadsheet met acht kolommen: toolnaam, leverancier, doel, afdeling, gebruikte data, output, menselijke controle en risicotype. Vul niet alleen de officiële tools in. Vraag ook aan je team welke AI ze werkelijk gebruiken. Shadow AI is vaak groter dan het management denkt: iemand plakt klantmails in ChatGPT, een marketeer gebruikt een beeldgenerator, sales laat LinkedIn-berichten herschrijven.
Maak het concreet. Niet: 'ChatGPT voor productiviteit'. Wel: 'ChatGPT Team voor samenvatten van interne notities en schrijven van conceptmails; geen medische, financiële of volledige klantdossiers invoeren; output wordt door medewerker gecontroleerd.' Zo'n zin is kort, maar bruikbaar bij onboarding, audits en leveranciersvragen.
Geef elke tool een eigenaar. Zonder eigenaar veroudert het register binnen 30 dagen. De marketingmanager is eigenaar van AI-contenttools, de servicemanager van chatbotkennis, de administrateur van factuurherkenning en de ondernemer van de algemene regels. Klein bedrijf? Dan mag één persoon meerdere rollen hebben, zolang het expliciet is.
Stap 2: schrijf transparantieteksten die klanten snappen
De AI Act draait bij chatbots en synthetische content vaak om transparantie. Klanten moeten weten wanneer ze met AI praten of wanneer content wezenlijk met AI is gemaakt. Dat hoeft niet met angstige disclaimers. Een goede tekst is helder, vriendelijk en kort.
Voor een chatbot werkt bijvoorbeeld: 'Je chat eerst met onze AI-assistent. Die helpt met veelgestelde vragen op basis van onze kennisbank. Kom je er niet uit of gaat het om een persoonlijke situatie, dan neemt een medewerker het over.' Deze tekst doet drie dingen: hij benoemt AI, legt de bron uit en belooft menselijke overdracht.
Voor marketingcontent kun je intern vastleggen wanneer labelen nodig is. Een AI-ondersteunde blog die door een mens is geschreven, gecontroleerd en aangevuld, vraagt meestal een andere aanpak dan een volledig synthetische video of nepfoto. Maak drie niveaus: intern concept, gepubliceerd met menselijke redactie, duidelijk synthetisch materiaal. Per niveau noteer je of en hoe je labelt.
Stap 3: bewaar voorbeelden van menselijke controle
Bewijs ontstaat niet alleen door beleid, maar door voorbeelden. Bewaar elke maand 10 outputs: chatbotgesprekken, AI-gegenereerde productteksten, conceptmails of samenvattingen. Markeer wat de AI goed deed, wat een medewerker corrigeerde en wanneer escalatie nodig was.
Dit is verrassend waardevol. Je ontdekt welke vragen de chatbot niet begrijpt, welke marketingclaims te stellig worden en waar medewerkers AI-output te makkelijk overnemen. Na drie maanden heb je 30 voorbeelden. Dat is genoeg om patronen te zien en tegelijk klein genoeg om beheersbaar te blijven.
Gebruik een vast format: datum, tool, doel, inputtype, output, menselijke correctie, beslissing. Laat gevoelige persoonsgegevens weg of anonimiseer ze. Het doel is aantonen hoe je werkt, niet een tweede klantendatabase bouwen.
Stap 4: train je team in 45 minuten
AI-geletterdheid klinkt groot, maar de eerste training kan compact zijn. Plan 45 minuten en behandel vijf vragen: wat is AI, welke tools gebruiken wij, welke data mag nooit in een tool, wanneer moet een mens controleren en hoe melden we fouten? Sluit af met drie praktijkvoorbeelden uit je eigen bedrijf.
Laat medewerkers daarna een korte bevestiging invullen: ik ken de toegestane tools, ik weet welke data verboden is en ik weet bij wie ik twijfel meld. Dat is geen examen. Het is bewijs dat je de verplichting serieus neemt en dat nieuwe medewerkers niet op eigen houtje hoeven te gokken.
Herhaal dit elk kwartaal met 15 minuten update. Nieuwe tools, nieuwe klantvragen en nieuwe fouten komen vanzelf. Een levend ritme is sterker dan één grote training die iedereen na twee weken vergeet.
Praktijkvoorbeeld: webshop met chatbot en AI-productteksten
Een webshop met 8 medewerkers gebruikte een chatbot voor levertijden en retourvragen, plus AI om productteksten te herschrijven. Er was geen AI-beleid. Wel waren er 4 losse tools, 2 browserextensies en 1 medewerker die klantmails liet samenvatten in een privé-account. De ondernemer dacht dat hij 'alleen een chatbot' had.
In één middag maakten ze een register. Twee tools werden uitgefaseerd, de chatbot kreeg een transparantietekst, productteksten kregen een controlelijst met verboden claims en klantmails mochten alleen nog in de zakelijke omgeving worden verwerkt. Na 30 dagen hadden ze 12 voorbeeldoutputs bewaard en één korte teamtraining gedaan.
Het resultaat was geen perfecte juridische bunker. Het was beter: rust. Toen een B2B-klant vroeg hoe zij AI inzetten, konden ze binnen 10 minuten een nette samenvatting sturen. Dat won vertrouwen, juist omdat het praktisch en eerlijk was.
Checklist: je bewijsmap in één middag
- Maak een map: AI-bewijsmap 2026
- Voeg een spreadsheet toe met alle AI-tools
- Schrijf transparantieteksten voor chatbot en AI-content
- Leg per tool vast welke data verboden is
- Bewaar 10 voorbeeldoutputs met menselijke correctie
- Plan een 45-minuten teamtraining
- Zet een kwartaalherinnering voor review
- Benoem één eigenaar voor updates
FAQ
Moet elk mkb-bedrijf een AI-register hebben? Niet elk gebruik vraagt dezelfde zwaarte, maar een eenvoudig register is verstandig zodra medewerkers AI-tools zakelijk gebruiken. Het helpt bij AI Act-vragen, AVG-risico's en interne controle.
Moet ik bij elke AI-tekst melden dat AI is gebruikt? Niet altijd. Maak onderscheid tussen AI als schrijfhulp, volledig synthetische content en content waarbij mensen kunnen denken dat iets echt is. Bij chatbots en misleidingsgevoelige content is transparantie extra belangrijk.
Wat als medewerkers privétools gebruiken? Verbied niet alleen, bied een veilig alternatief. Leg uit welke data niet in privétools mag en maak een eenvoudige meldroute voor twijfelgevallen.
Conclusie
De AI Act hoeft voor kleine bedrijven geen rem op AI te zijn. Het risico zit vooral in onzichtbaar gebruik, vage verantwoordelijkheid en ontbrekende transparantie. Een bewijsmap maakt AI juist werkbaarder: iedereen weet welke tools mogen, klanten weten wanneer AI meespeelt en jij kunt aantonen dat er menselijke controle is.
Begin vandaag met het register. Als je binnen 2 uur alle tools, eigenaren en datagrenzen opschrijft, ben je verder dan veel bedrijven met een dik beleid dat niemand gebruikt.
Direct toepasbare prompt
"Geef me een praktische aanpak voor [probleem] voor een Nederlands mkb-bedrijf. Houd het kort, met concrete stappen en voorbeeldtekst."