In januari sprak ik een ondernemer uit Zwolle die zichtbaar opgelucht was toen hij zei: 'Wij doen niks spannends met AI, dus die wet zal wel meevallen.' Twee minuten later vertelde hij dat hij automatisch cv's laat samenvatten, offertes laat prioriteren en klantmails door een AI-assistent laat schrijven. Precies daar begint de verwarring rond de EU AI Act: veel mkb'ers denken dat de regels alleen gelden voor techbedrijven, terwijl ze zelf allang AI inzetten in dagelijkse processen.
De AI Act is geen ver-van-je-bed-show meer. De wet is in beweging, handhaving wordt concreter en klanten worden kritischer. Niet alleen grote corporates, ook kleinere opdrachtgevers gaan steeds vaker vragen: welke AI-tools gebruiken jullie, waar staat de data, en wie is verantwoordelijk als er iets misgaat? Als je dan met je ogen knippert en zegt 'goede vraag', sta je al 1-0 achter.
Waar het vaak misgaat
Het goede nieuws: voor het overgrote deel van het mkb is compliance niet extreem ingewikkeld. Het vraagt vooral discipline. Je hoeft geen jurist te worden. Je moet wél weten welke toepassingen je gebruikt, wat de impact is op mensen, en welke basisafspraken je intern vastlegt. Zie het als je AVG-fase 2: eerst onduidelijk, daarna routine.
Laten we beginnen met de kern. De AI Act werkt met risicocategorieën. Onacceptabel risico is verboden. Hoog risico vereist stevige verplichtingen. Beperkt risico vraagt vooral transparantie. Minimaal risico kent weinig extra eisen. Voor veel ondernemers vallen tools voor copy, beeldgeneratie en interne productiviteit in de lagere categorieën. Maar zodra AI beslissingen beïnvloedt over mensen - denk aan sollicitaties, krediet, onderwijs of toegang tot diensten - schuif je sneller richting hoog risico.
Een praktisch voorbeeld: gebruik je AI om 200 sollicitaties te ordenen en de top 20 door te sturen naar HR? Dan beïnvloed je selectie. Ook als een mens uiteindelijk beslist, moet je kunnen uitleggen hoe dat systeem helpt, welke controles je doet en welke fouten je probeert te voorkomen. Dat vraagt dus om documentatie, niet om paniek.
De praktische aanpak
Checklist stap 1: maak een AI-register. Klinkt zwaar, is simpel. Open een spreadsheet met vijf kolommen: tool, doel, inputdata, outputgebruik en eigenaar. Voeg ook leverancier en datalocatie toe. Je wilt in 10 minuten kunnen zien waar je AI draait en wie intern verantwoordelijk is. Veel bedrijven lopen vast omdat niemand het totaaloverzicht heeft.
Checklist stap 2: label per toepassing het risiconiveau. Houd het pragmatisch: groen, oranje, rood. Groen voor lage impact (bijv. ideeën genereren), oranje voor mensgerichte impact zonder automatische besluiten (bijv. voorselectie), rood voor kritieke beslissingen of gevoelige context. Deze kleurcodering helpt teams direct om scherper te werken.
Checklist stap 3: leg human oversight vast. In normaal Nederlands: wanneer kijkt een mens mee, wie mag corrigeren, en wat gebeurt er bij twijfel? Een simpele regel die goed werkt: geen extern besluit op basis van AI-output zonder menselijke eindcontrole. Zet dat in je werkinstructie en train je team erop.
Checklist stap 4: regel transparantie naar klanten en kandidaten. Als AI inhoudelijk bijdraagt aan een advies, selectie of beoordeling, meld dat duidelijk. Niet in kleine lettertjes, maar in mensentaal. Bijvoorbeeld: 'Voor deze eerste analyse gebruiken we AI-ondersteuning. Een medewerker valideert alle uitkomsten voordat we besluiten nemen.' Dat bouwt vertrouwen op in plaats van argwaan.
Veelgemaakte fouten
Checklist stap 5: test op bias en fouten. Je hoeft geen universitair onderzoek op te zetten. Start met maandelijkse steekproeven. Neem bijvoorbeeld 20 outputs en beoordeel op juistheid, neutraliteit en consistentie. Noteer afwijkingen en beslis wat je aanpast: prompt, proces of tool. Dit kost je vaak 60 tot 90 minuten per maand en voorkomt veel schade.
Checklist stap 6: dataminimalisatie. Vraag je bij elke workflow af: moet deze persoonsgegevens bevatten? In veel gevallen is het antwoord nee. Anonimiseer waar mogelijk. Als je tóch persoonsgegevens gebruikt, zorg dat je verwerkersafspraken en beveiliging kloppen. De combinatie AI + slordige datahygiëne is precies waar risico's exponentieel groeien.
Checklist stap 7: contracteer slimmer met leveranciers. Kijk niet alleen naar prijs en features, maar ook naar auditinformatie, logging, subverwerkers en incidentmeldingen. Stel concrete vragen: wordt mijn data gebruikt voor modeltraining, hoe lang blijven prompts bewaard, en kan ik data laten verwijderen? Als een leverancier vaag blijft, is dat vaak je antwoord.
Checklist stap 8: incidentprotocol. Wat doe je als AI een fout advies geeft, discriminerende output produceert of vertrouwelijke data lekt? Leg vooraf een kort protocol vast: stoppen, melden, analyseren, herstellen, communiceren. Teams die dit vooraf afspreken reageren kalmer en professioneler wanneer het écht misgaat.
Checklist stap 9: train je team op 'AI-geletterdheid'. Niet iedereen hoeft prompt-engineer te worden, maar iedereen moet drie dingen herkennen: wanneer output onbetrouwbaar kan zijn, wanneer menselijke controle verplicht is, en hoe je twijfel escalereert. Een workshop van 90 minuten per kwartaal is vaak genoeg om het niveau zichtbaar te verhogen.
Checklist stap 10: plan een kwartaalreview. Compliance is geen eenmalige map op SharePoint. Tools veranderen, processen verschuiven, teams groeien. Zet elk kwartaal één uur in de agenda om je AI-register, risico-labels en controles bij te werken. Deze gewoonte houdt je wendbaar zonder bureaucratie.
Nu de vraag die elke ondernemer stelt: wat kost dit? Voor een mkb-team met 5 tot 25 medewerkers zie ik in de praktijk een startinspanning van 8 tot 20 uur om de basis te zetten. Daarna vaak 2 tot 4 uur per maand onderhoud. Dat klinkt als extra werk, maar de opbrengst is groter: minder juridische onzekerheid, minder operationele fouten en meer vertrouwen bij klanten.
Er zit ook een commercieel voordeel in. Steeds meer opdrachtgevers nemen AI-governance op in inkoopvragen. Als jij dan een helder register, controles en transparantiebeleid kunt tonen, win je deals die anderen verliezen op 'we zoeken het nog uit'. Compliance is dus niet alleen verdediging; het is ook positionering.
Een valkuil die ik vaak zie: ondernemers kopiëren een policy-template van internet, zetten die in een map en denken dat het geregeld is. Maar compliance leeft in je werkproces, niet in je PDF. Als je team er niet mee werkt, bestaat het praktisch niet. Begin dus klein, operationeel en toetsbaar.
Een tweede valkuil: te lang wachten op perfecte duidelijkheid vanuit wetgeving. Tegen de tijd dat alles 100% helder is, ben je te laat met implementatie. Beter is werken met 'redelijke best practices': overzicht, controle, transparantie, evaluatie. Daarmee zit je bijna altijd aan de goede kant van professioneel handelen.
Werk je met externe freelancers of bureaus die ook AI gebruiken in jouw project? Neem compliance dan mee in je samenwerking. Vraag welke tools zij inzetten, welke data zij verwerken en hoe zij fouten afhandelen. Jij blijft richting je klant vaak eindverantwoordelijk voor het totaalresultaat. Zonder ketenafspraken creëer je blind spots die later duur worden.
Denk ook aan versiebeheer van prompts en processen. Als je team prompts wijzigt, kan gedrag van AI-systemen merkbaar veranderen. Leg daarom belangrijke prompts vast in een centrale map met datum en eigenaar. Dat maakt evaluatie veel eenvoudiger: je kunt zien welke wijziging leidde tot betere kwaliteit of juist tot meer fouten.
Voor ondernemers die met sectorregels werken - bijvoorbeeld zorg, finance of onderwijs - is extra voorzichtigheid slim. Ook als je toepassing niet formeel 'hoog risico' lijkt, kan de maatschappelijke impact groot zijn. In zulke gevallen is een extra reviewlaag zinvol: laat periodiek iemand buiten het project meekijken op aannames, taal en beslislogica.
Compliance hoeft je snelheid niet te remmen als je templates gebruikt. Maak standaardteksten voor klanttransparantie, interne risico-inschatting en incidentmelding. Zet deze klaar in je operationele tooling, niet alleen in documentatie. Daardoor voer je governance uit in de flow van je werk in plaats van ernaast.
Tot slot: koppel compliance aan je bedrijfsdoelen. Meet bijvoorbeeld hoeveel deals je wint waar governance een rol speelde, hoeveel incidenten je voorkomt, en hoe snel je team afwijkingen corrigeert. Zodra je dit zichtbaar maakt, verschuift compliance van 'moetje' naar managementinstrument.
Wat kun je vandaag doen in 60 minuten? Maak je AI-register, benoem per tool een eigenaar en markeer drie workflows die mensimpact hebben. Daarmee heb je direct grip. Morgen voeg je human oversight en transparantietekst toe. Volgende week plan je je eerste steekproef. Zo wordt compliance geen project, maar ritme.
Conclusie: de EU AI Act hoeft voor het mkb geen rem te zijn. Als je het slim aanpakt, wordt het een kwaliteitskader dat je bedrijf sterker maakt. Je werkt veiliger, overtuigender en professioneler - precies wat nodig is in een markt waar AI snel normaliseert en vertrouwen het echte concurrentievoordeel wordt.
Direct toepasbare prompt
"Geef me een praktische aanpak voor [probleem] voor een Nederlands mkb-bedrijf. Houd het kort, met concrete stappen en voorbeeldtekst."