Er is een typisch moment waarop AI-compliance ineens echt voelt. Niet bij het lezen van een wetsartikel, maar wanneer een klant vraagt: ‘Gebruiken jullie AI in dit proces?’ Of wanneer een medewerker klantdata in een nieuwe tool plakt en niemand weet of dat mag. Dan wil je geen paniek, maar bewijs.
Dit artikel is voor Nederlandse ondernemers die in 2026 met ChatGPT, Copilot, automatische klantenservice, AI-content of slimme documentverwerking werken. De kern: voor veel mkb-bedrijven draait de EU AI Act vooral om AI-geletterdheid, transparantie en aantoonbare keuzes. Niet om een metersdik compliancehandboek.
TL;DR: regel drie bewijsstukken - Een AI-toolregister: welke tools gebruik je, waarvoor en met welke data? - Een korte AI-instructie voor medewerkers: wat mag wel, wat niet, wanneer escaleren? - Een transparantiecheck: waar praat AI direct met klanten of beïnvloedt AI beslissingen? - Controleer apart of er hoog-risico toepassingen zijn, zoals HR-selectie of kredietbeoordeling. - Herhaal dit elk kwartaal, niet één keer per jaar.
Wat verandert er praktisch in 2026? De EU AI Act is gefaseerd ingevoerd. Voor mkb-ondernemers is vooral belangrijk dat AI-geletterdheid en transparantie geen vrijblijvende thema’s meer zijn. Als medewerkers AI gebruiken, moet je redelijkerwijs zorgen dat zij begrijpen wat de tool wel en niet kan. Als klanten met AI communiceren, moet dat duidelijk zijn.
Voor de meeste kleine bedrijven betekent dit geen zware technische documentatie. Een marketingbureau dat AI gebruikt voor conceptteksten heeft andere plichten dan een leverancier van AI voor medische diagnose. Maar ‘wij zijn klein’ is geen strategie. Ook kleine bedrijven moeten kunnen uitleggen welke AI zij gebruiken en hoe zij risico’s beperken.
De fout die veel ondernemers maken is wachten op perfecte juridische duidelijkheid. Beter is een werkbaar bewijsritme. Leg vast wat je vandaag gebruikt, verbeter elke maand en maak gevoelige toepassingen bespreekbaar voordat ze live gaan. Compliance wordt dan een bedrijfsroutine in plaats van een noodproject.
Stap 1: maak een AI-toolregister op één A4 Begin met een simpele tabel. Kolommen: toolnaam, leverancier, gebruiker of team, doel, soort data, klantimpact, risico-inschatting, eigenaar en laatste reviewdatum. Meer heb je niet nodig voor de eerste versie. Het doel is overzicht, niet perfectie.
Neem ook verborgen AI mee. Denk aan AI in Microsoft 365, Google Workspace, CRM, boekhoudsoftware, helpdesk, marketingtools en chatbots. Veel bedrijven gebruiken meer AI dan ze denken, omdat functies inmiddels standaard in bestaande software zitten.
Classificeer elk gebruik grofweg als intern hulpmiddel, klantinteractie, besluitondersteuning of mogelijk hoog risico. Intern hulpmiddel is bijvoorbeeld tekst samenvatten. Klantinteractie is een chatbot. Besluitondersteuning is AI die helpt bij selectie, krediet, planning of beoordeling. Mogelijk hoog risico verdient extra aandacht.
Stap 2: schrijf AI-geletterdheid als werkinstructie AI-geletterdheid klinkt academisch, maar voor mkb moet het praktisch zijn. Medewerkers moeten weten dat AI fouten kan maken, dat output gecontroleerd moet worden, dat gevoelige data niet zomaar ingevoerd mag worden en dat AI geen eindverantwoordelijkheid draagt.
Maak een instructie van maximaal 2 pagina’s. Beschrijf toegestane toepassingen, verboden data, controleplicht, voorbeelden van goede prompts en escalatiemomenten. Voeg 5 concrete situaties toe uit je eigen bedrijf: klantmail samenvatten, offerteconcept maken, producttekst schrijven, ticket labelen, rapportage analyseren.
Plan daarna een training van 45 minuten. Niet met theorie, maar met praktijkvoorbeelden. Laat medewerkers zien hoe een AI-antwoord overtuigend maar fout kan zijn. Laat ook zien waar AI wél nuttig is. Het doel is geen angst, maar volwassen gebruik.
Stap 3: transparantie zonder klanten bang te maken Transparantie betekent niet dat je overal grote waarschuwingen hoeft te plaatsen. Het betekent dat mensen niet misleid worden over AI-gebruik. Als een chatbot antwoordt, zeg dan dat het een digitale assistent is. Als AI content genereert die als advies voelt, zorg voor menselijke controle en duidelijke verantwoordelijkheid.
Voor websites en klantenservice kun je korte zinnen gebruiken: ‘Onze digitale assistent helpt met veelgestelde vragen. Een medewerker neemt complexe of persoonlijke situaties over.’ Dat is begrijpelijker dan juridische tekst en meestal klantvriendelijker.
Bij marketingcontent is transparantie contextafhankelijk. Een blog die met AI is voorbereid maar menselijk is geredigeerd, vraagt iets anders dan een volledig automatisch gegenereerd adviesrapport. Stel jezelf de vraag: zou de klant anders beslissen als hij wist hoe AI is gebruikt? Zo ja, maak het duidelijker.
Stap 4: herken hoog-risico situaties vroeg Niet elke AI-toepassing is gelijk. Gebruik je AI voor sollicitaties, personeelsbeoordeling, kredietwaardigheid, toegang tot diensten, onderwijsbeoordeling of medische context? Dan moet je veel scherper kijken. Dit zijn geen experimenten voor vrijdagmiddag.
Voor de meeste mkb-bedrijven is de veilige route: laat AI ondersteunen, maar niet zelfstandig beslissen. AI mag cv’s samenvatten, maar niet automatisch kandidaten afwijzen. AI mag klantvragen rubriceren, maar niet zelfstandig financiële toezeggingen doen. AI mag risico’s signaleren, maar een mens beslist.
Leg bij twijfel een ‘menselijke eindbeslissing’ vast. Noteer wie controleert, waarop wordt gelet en waar bezwaar of correctie mogelijk is. Dat is niet alleen juridisch verstandiger, het beschermt ook je reputatie als AI een rare of oneerlijke uitkomst geeft.
Stap 5: bouw bewijs in bestaande routines Compliance mislukt als het een los mapje wordt dat niemand opent. Koppel AI-review aan bestaande routines: kwartaaloverleg, ISO/AVG-check, teammeeting of softwarebudgetreview. Elke 3 maanden bekijk je nieuwe tools, incidenten, klantvragen en proceswijzigingen.
Gebruik een korte vragenlijst: gebruiken we nieuwe AI-tools, is er klantimpact, is gevoelige data betrokken, zijn medewerkers geïnstrueerd, zijn er fouten of klachten geweest, moeten teksten of processen aangepast worden? Tien minuten per tool is genoeg om grip te houden.
Bewaar versies. Niet omdat papier zaligmakend is, maar omdat je bij vragen kunt laten zien dat je serieus werkt. Een register met datums, eigenaren en acties is sterker dan achteraf zeggen dat ‘iemand er wel naar gekeken heeft’. Bewijs is ritme plus documentatie.
Praktijkvoorbeeld: marketingbureau met 8 mensen Een klein bureau gebruikte AI voor social posts, advertentievarianten, klantonderzoek en meeting summaries. Iedereen deed het op zijn eigen manier. Er was geen incident, maar wel onrust: sommige klanten vroegen naar AI-gebruik en medewerkers twijfelden over vertrouwelijke briefingdocumenten.
Het bureau maakte in één week een toolregister met 11 tools, schreef een 2-pagina instructie en voegde aan offertes een korte AI-paragraaf toe. Klanten konden aangeven of bepaalde data niet in externe AI-tools mocht. Medewerkers kregen een lijst met verboden input: persoonsgegevens, contracten, financiële cijfers en vertrouwelijke strategie zonder toestemming.
De winst was niet alleen compliance. Het team werkte consistenter. Nieuwe collega’s wisten sneller wat mocht. Klanten ervaarden transparantie als professioneel, niet als eng. Dat is precies de bedoeling: AI-beleid moet vertrouwen versnellen.
Veelgemaakte fouten De eerste fout is AI verbieden zonder alternatief. Dan gaan medewerkers onder de radar werken. De tweede fout is alles toestaan omdat concurrenten ook AI gebruiken. Dan ontstaat datarisico. De derde fout is compliance uitbesteden zonder de dagelijkse praktijk te begrijpen.
Kies de middenweg: duidelijke kaders en bruikbare voorbeelden. Zeg niet alleen ‘geen persoonsgegevens’, maar geef voorbeelden van wat dat betekent in jullie werk. Zeg niet alleen ‘controleer output’, maar leg uit wanneer controle licht of zwaar moet zijn.
FAQ ### Moet elk mkb-bedrijf een AI-register hebben? Een register is niet altijd letterlijk verplicht in dezelfde vorm, maar het is de meest praktische manier om aan te tonen dat je weet welke AI je gebruikt. Voor kleine bedrijven kan één spreadsheet voldoende zijn.
Wat is AI-geletterdheid voor medewerkers? Dat medewerkers begrijpen hoe AI-tools in hun werk gebruikt worden, welke beperkingen en risico’s er zijn, welke data niet ingevoerd mag worden en wanneer menselijke controle nodig is.
Moet ik klanten vertellen dat ik ChatGPT gebruik? Als AI direct met klanten communiceert of een belangrijke rol speelt in advies of besluitvorming, is transparantie belangrijk. Voor intern gebruik zoals samenvatten of concepten maken ligt de nadruk vooral op controle en data-afspraken.
Conclusie De EU AI Act hoeft voor mkb geen papierberg te worden. Begin met drie bewijsstukken: toolregister, werkinstructie en transparantiecheck. Daarmee maak je zichtbaar dat AI geen los experiment is, maar een gecontroleerd onderdeel van je bedrijf.
Plan vandaag 60 minuten om je AI-tools op te schrijven. Niet perfect, wel eerlijk. Vanuit dat overzicht kun je trainen, verbeteren en met meer rust richting augustus 2026 werken.
Direct toepasbare prompt
"Geef me een praktische aanpak voor [probleem] voor een Nederlands mkb-bedrijf. Houd het kort, met concrete stappen en voorbeeldtekst."