Een medewerker neemt een AI-notuleertool. Marketing test een beeldgenerator. Sales gebruikt een leadtool met automatische scoring. Finance uploadt facturen in een slimme scanner. Niemand bedoelt iets verkeerd, maar na drie maanden weet de ondernemer niet meer welke AI-systemen klantdata verwerken, wie toegang heeft en welke beloftes leveranciers maken.
Dat is precies waarom AI Act inkoopbeleid in 2026 praktisch wordt voor het MKB. Niet als juridisch boekwerk, maar als rem op toolsprawl en paniek achteraf. Dit artikel is voor Nederlandse ondernemers die AI willen blijven gebruiken, maar nieuwe tools slimmer willen beoordelen voordat ze in het bedrijf landen.
TL;DR: koop AI met een vast poortje - Laat geen nieuwe AI-tool live gaan zonder eigenaar, doel en datacheck. - Classificeer risico simpel: verboden, hoog, beperkt of laag/minimaal. - Vraag leveranciers naar data-opslag, modeltraining, logging, export en menselijke controle. - Leg per tool vast of transparantie naar klant of medewerker nodig is. - Herbeoordeel elke actieve AI-tool minimaal eens per 6 maanden.
Waarom inkoopbeleid nu nodig is De EU AI Act maakt duidelijker dat bedrijven niet alleen bouwer, maar ook gebruiker van AI-systemen verantwoordelijkheden hebben. Voor veel MKB’ers zullen de zwaarste verplichtingen niet gelden, maar transparantie, AI-geletterdheid, risicodenken en documentatie worden wel normale bedrijfspraktijk.
Tegelijk groeit het aantal tools razendsnel. Bijna elk softwarepakket krijgt AI-functies: CRM, boekhouding, HR, klantenservice, marketing, projectmanagement en telefonie. Daardoor koop je soms AI zonder dat het op de factuur zo heet. Een “slimme assistent” of “automatische aanbeveling” kan alsnog AI zijn.
Inkoopbeleid voorkomt dat je later moet reconstrueren wat er allemaal is aangesloten. Het is goedkoper om vooraf 15 minuten te toetsen dan achteraf contracten, datastromen en klantcommunicatie te repareren.
De simpele AI-inkoopvraag Stel bij elke nieuwe tool één startvraag: neemt deze tool een beslissing, doet hij een aanbeveling of genereert hij output die klanten, medewerkers of financiële keuzes raakt? Als het antwoord ja is, behandel de tool als AI-relevant.
Dat betekent niet dat je hem niet mag gebruiken. Het betekent dat je vijf dingen vastlegt: doel, eigenaar, data, risico en controle. Zonder die vijf velden mag de tool niet live voor echte klant- of bedrijfsdata.
De eigenaar is belangrijk. “IT” is bij kleine bedrijven vaak niemand. Wijs één persoon aan die weet waarom de tool bestaat, wie hem gebruikt en wanneer hij opnieuw beoordeeld wordt. Zonder eigenaar wordt elke tool wees-software.
Maak een licht AI-register Een AI-register hoeft voor het MKB geen ingewikkeld systeem te zijn. Een spreadsheet of Notion-pagina kan genoeg zijn. Gebruik kolommen voor toolnaam, leverancier, afdeling, doel, data, gebruikers, risicotype, maatregelen, contractstatus, reviewdatum en eigenaar.
Vul ook in of klantcommunicatie nodig is. Een interne brainstormtool vraagt iets anders dan een chatbot op je website. Een AI die sollicitaties rangschikt vraagt veel meer aandacht dan een teksthulp voor social posts.
Het register helpt ook bij kosten. Veel ondernemers ontdekken pas na maanden dat meerdere teams vergelijkbare AI-tools betalen. Inkoopbeleid is dus niet alleen compliance; het is ook kostenbeheersing.
Risico indelen zonder juristentaal Gebruik vier praktische bakken. Bak 1: verboden of niet doen. Denk aan manipulatieve toepassingen, onduidelijke biometrie of systemen die mensen oneerlijk beoordelen zonder controle. Als je twijfelt of dit speelt, stop en vraag specialistisch advies.
Bak 2: hoog risico. Dit kan gaan over personeelsselectie, kredietwaardigheid, onderwijs, veiligheid of andere beslissingen met grote impact op mensen. MKB’ers raken dit vooral bij HR, finance, zorgachtige dienstverlening of beoordelingen. Hier hoort stevige documentatie en menselijke controle bij.
Bak 3: beperkt risico. Denk aan chatbots, AI-content, automatische klantantwoorden of systemen waarbij mensen moeten weten dat ze met AI te maken hebben. Voor veel ondernemers zit de dagelijkse praktijk hier. Transparantie en controle zijn dan de kern.
Bak 4: laag of minimaal risico. Interne conceptteksten, brainstorms, samenvattingen van niet-gevoelige informatie en persoonlijke productiviteit vallen vaak hier, mits je geen gevoelige data uploadt. Ook hier blijven basisafspraken nodig.
De 12 vragen aan elke leverancier Vraag 1: welke data verwerken jullie precies? Vraag 2: waar wordt die data opgeslagen? Vraag 3: gebruiken jullie onze input om modellen te trainen? Vraag 4: kunnen we training uitzetten? Vraag 5: hoe lang bewaren jullie prompts, bestanden en output?
Vraag 6: is er een verwerkersovereenkomst beschikbaar? Vraag 7: welke subverwerkers zijn betrokken? Vraag 8: kunnen we data exporteren en verwijderen? Vraag 9: welke logging is beschikbaar? Vraag 10: welke beheerrollen en toegangsrechten zijn er?
Vraag 11: hoe maken jullie duidelijk wanneer output door AI is gemaakt? Vraag 12: welke documentatie leveren jullie voor AI Act, AVG en security? Een leverancier die op deze vragen vaag blijft, hoeft niet automatisch af te vallen, maar verdient geen toegang tot gevoelige processen.
Inkooppoort in 30 minuten Maak het proces klein. Medewerker wil tool gebruiken. Hij vult een formulier in met doel, data en verwachte waarde. De eigenaar beoordeelt risico. Bij laag risico mag een proef met fictieve of niet-gevoelige data. Bij beperkt risico komen transparantie en reviewafspraken erbij. Bij hoog risico gaat het naar specialistische beoordeling.
Zet een budgetgrens. Bijvoorbeeld: tools onder 50 euro per maand mogen na lichte check getest worden, maar niet met klantdata. Tools boven 250 euro per maand, tools met persoonsgegevens of tools die externe communicatie sturen, krijgen extra review.
Leg ook een einddatum op pilots. Veel toolsprawl ontstaat doordat proefaccounts nooit worden opgeruimd. Elke AI-pilot krijgt een reviewdatum na 30 of 60 dagen: stoppen, verlengen of officieel opnemen in het register.
Menselijke controle als ontwerpprincipe Een AI-tool mag concepten maken, samenvattingen geven en waarschuwingen tonen. Maar bij prijzen, juridische tekst, personeelszaken, financiële besluiten en klantbeloftes moet een mens expliciet goedkeuren. Zet dit niet alleen in beleid; ontwerp je workflow eromheen.
Bijvoorbeeld: een klantenservice-AI mag een antwoord voorstellen, maar klachten boven een bepaald bedrag gaan naar een medewerker. Een leadscore mag prioriteit voorstellen, maar geen klant automatisch afwijzen. Een HR-tool mag cv’s structureren, maar niet zelfstandig bepalen wie kansloos is.
Menselijke controle werkt alleen als de mens genoeg informatie krijgt. Laat AI daarom reden, bron en onzekerheid tonen waar mogelijk. Een zwart doosje met “advies: nee” is geen controleerbaar advies.
Transparantie zonder klanten bang te maken Als klanten met een chatbot of AI-assistent praten, zeg dat duidelijk. Dat hoeft niet kil. “Je spreekt met onze digitale assistent. Bij twijfel neemt een medewerker het over” is begrijpelijker dan juridische formuleringen.
Bij AI-gegenereerde content hoef je niet elk intern concept te labelen. Maar als AI een substantiële rol speelt in externe communicatie, beeld of automatische antwoorden, is het verstandig om intern vast te leggen hoe je kwaliteit en herkomst controleert.
Transparantie is ook commercieel. Klanten vertrouwen automatisering sneller als ze merken dat er grenzen zijn. De zin “Bij complexe vragen kijkt een specialist mee” kan meer vertrouwen geven dan doen alsof de bot alles weet.
Praktijkvoorbeeld: marketingbureau met toolsprawl Een marketingbureau met 11 medewerkers had 9 AI-tools in gebruik. Sommige via bedrijfsaccount, sommige privé, sommige gratis. Klantdata ging in teksttools, calltranscripts in samenvatters en beelden in generatoren. Niemand had kwaad in de zin, maar niemand had overzicht.
Ze maakten een AI-register en inkooppoort. Binnen 2 weken werden 3 tools gestopt, 2 tools vervangen door zakelijke accounts en 4 workflows kregen duidelijke datagrenzen. Nieuwe tools mochten alleen met pilotdatum en eigenaar. Het bureau werd niet trager; het werd rustiger.
De grootste verrassing was kostenbesparing. Dubbele abonnementen verdwenen. Medewerkers wisten welke tool waarvoor bedoeld was. Klanten kregen betere uitleg bij AI-ondersteunde productie.
KPI’s voor beleid dat werkt Meet beleid niet op papierdikte. Meet aantal geregistreerde AI-tools, aantal tools zonder eigenaar, aantal verlopen pilots, dubbele abonnementen, incidenten met verkeerde data en percentage medewerkers dat de datagrenzen kent.
Een gezonde eerste mijlpaal: binnen 30 dagen 100 procent van actieve AI-tools in beeld. Binnen 60 dagen elke tool een eigenaar en reviewdatum. Binnen 90 dagen geen privétools meer voor klantdata. Dat is concreet genoeg om te sturen.
Conclusie AI Act inkoopbeleid voor het MKB hoeft geen juridische rem te zijn. Het is een eenvoudig poortje waardoor goede tools sneller veilig kunnen landen en slechte of onduidelijke tools buiten blijven.
De ondernemer die in 2026 vooruit wil, zegt niet “we mogen niks meer met AI”. Hij zegt: “we kopen AI professioneel.” Met een register, 12 leveranciersvragen, duidelijke risicobakken en menselijke controle blijft AI bruikbaar, betaalbaar en verdedigbaar.
Direct toepasbare prompt
"Geef me een praktische aanpak voor [probleem] voor een Nederlands mkb-bedrijf. Houd het kort, met concrete stappen en voorbeeldtekst."