Een klant vraagt of je chatbot duidelijk meldt dat hij AI is. Een sollicitant vraagt hoe zijn cv is beoordeeld. Een medewerker plakt klantdata in een losse AI-tool omdat dat sneller werkt. Los van elkaar lijken het kleine momenten. Samen vormen ze precies de AI Act-vraag waar Nederlandse ondernemers in 2026 mee te maken krijgen: weet je wat je inzet, welk risico erbij hoort en wie controle houdt?
Deze gids is voor mkb-bedrijven die AI gebruiken, maar geen juridische afdeling hebben. Je krijgt een praktische AI Act-risicoscan voor één werkmiddag. Geen paniek, geen juridisch theater, wel een manier om verboden praktijken, transparantie en hoog-risico toepassingen zichtbaar te maken.
TL;DR: AI Act-risicoscan in één middag - Inventariseer alle AI-tools, ook functies in bestaande software. - Markeer klantcontact, HR, finance en besluitvorming apart. - Check verboden praktijken en hoog-risico signalen. - Leg transparantie-afspraken vast voor chatbots en AI-content. - Vraag leveranciers om documentatie voordat je opschaalt.
Waarom 2026 anders voelt dan 2025 In 2025 konden veel ondernemers AI nog zien als experiment. In 2026 wordt AI vaker onderdeel van klantcontact, administratie, marketing, HR en besluitvorming. Daarmee verschuift de vraag van ‘kunnen we dit gebruiken?’ naar ‘kunnen we uitleggen hoe we dit gebruiken?’
De AI Act werkt risicogestuurd. Niet elke AI-toepassing is zwaar gereguleerd. Een brainstormprompt voor een blogtitel is iets anders dan een systeem dat sollicitanten rangschikt of kredietwaardigheid inschat. Voor het mkb is het belangrijkste voordeel van die benadering ook meteen de uitdaging: je moet weten in welke categorie jouw gebruik valt.
Daarvoor hoef je geen jurist te worden. Je moet wel een basisregister hebben, duidelijke transparantie richting klanten en extra alertheid bij domeinen waar AI impact heeft op mensen: werk, inkomen, toegang tot diensten, gezondheid, veiligheid en rechten.
Stap 1: maak een AI-inventaris zonder schijnzekerheid Begin met een lijst van alle plekken waar AI kan zitten. Niet alleen ChatGPT, Claude of Gemini, maar ook CRM-samenvattingen, helpdesktools, vergadernotities, marketingsoftware, boekhoudpakketten en recruitmenttools. Veel AI zit verstopt in functies die teams al gebruiken.
Gebruik zes kolommen: tool, leverancier, doel, afdeling, datatype en output. Noteer bij datatype of er persoonsgegevens, klantdata, financiële gegevens, personeelsdata of vertrouwelijke bedrijfsinformatie in gaan. Noteer bij output of de AI alleen adviseert of ook automatisch actie uitvoert.
Deze inventaris hoeft op dag 1 niet perfect te zijn. Hij moet bespreekbaar zijn. Vraag elke afdeling 15 minuten om ontbrekende tools aan te vullen. Vaak komt dan boven water dat marketing andere AI gebruikt dan sales, en dat operations automatische samenvattingen heeft aangezet zonder beleid.
Stap 2: herken verboden praktijken vroeg De meeste mkb-bedrijven zullen geen verboden AI-praktijken inzetten, maar je wilt het wel bewust uitsluiten. Denk aan manipulatieve systemen, misbruik van kwetsbaarheden, bepaalde vormen van social scoring of onaanvaardbare biometrische toepassingen. Voor normale ondernemers is de praktische vraag: gebruiken wij AI om mensen ongemerkt te sturen of oneerlijk te beoordelen?
Maak het concreet. Een chatbot die standaardvragen beantwoordt, is meestal niet het probleem. Een systeem dat klanten onder druk zet met gepersonaliseerde angstboodschappen kan wel een rode vlag zijn. Een planningstool die beschikbaarheid samenvat is anders dan een systeem dat medewerkers beoordeelt zonder menselijk toezicht.
Zet in je register een kolom ‘rode vlag’. Als je twijfelt, markeer het als review nodig. Twijfel is geen falen; het is precies het signaal dat je een leverancier, jurist of brancheorganisatie moet raadplegen voordat je opschaalt.
Stap 3: bepaal waar transparantie nodig is Transparantie is voor veel ondernemers de meest directe verplichting. Als klanten met een AI-chatbot praten, moeten ze dat weten. Als AI-content wordt gebruikt in een context waar verwarring kan ontstaan, moet je nadenken over labeling. Als AI beslisinformatie oplevert, moet intern duidelijk zijn dat het om AI-output gaat.
Praktisch kun je starten met drie zinnen. Voor chat: ‘Je spreekt eerst met onze AI-assistent; een medewerker neemt over wanneer dat nodig is.’ Voor e-mailconcepten intern: ‘AI-concept, controleer feiten en toon vóór verzending.’ Voor marketingcontent: ‘Deze tekst is met AI ondersteund en menselijk gecontroleerd.’
Niet elke zin hoeft publiek onder elk bericht. Het doel is dat mensen niet misleid worden en dat medewerkers weten wanneer controle nodig is. Transparantie werkt het best als het kort, normaal en zichtbaar is. Te formele taal maakt klanten juist ongerust.
Stap 4: check hoog-risico signalen Hoog-risico AI is waar veel ondernemers nerveus van worden. Dat is begrijpelijk, maar je hoeft niet elk gebruik zwaar te behandelen. Let vooral op toepassingen in HR, krediet, toegang tot essentiële diensten, beoordeling van personen, veiligheid en bepaalde gereguleerde processen.
Een AI-tool die sollicitatiebrieven samenvat, kan al gevoeliger zijn dan een tool die blogideeën bedenkt. Een systeem dat kandidaten rangschikt of afwijst is nog gevoeliger. Een finance-tool die cashflow voorspelt voor intern gebruik is meestal minder risicovol dan een systeem dat klanten automatisch betalingsvoorwaarden weigert.
Maak een simpele beslisboom: raakt de AI-output direct een persoon, beïnvloedt het toegang tot werk of geld, en wordt er automatisch besloten? Bij twee keer ja moet je niet improviseren. Dan heb je extra documentatie, menselijke controle en mogelijk juridisch advies nodig.
Stap 5: regel menselijke controle zonder bureaucratie Menselijk toezicht betekent niet dat elke AI-samenvatting door drie managers moet. Het betekent dat iemand bevoegd en bekwaam is om AI-output te beoordelen voordat die impact heeft. Dat kan licht zijn bij laag risico en streng bij hoog risico.
Voor klantcommunicatie werkt een outputcheck van vijf punten: klopt de feitelijke informatie, is de bron betrouwbaar, past de toon bij het merk, bevat de tekst geen privacygevoelige details en doet de tekst geen toezegging die niet mag? Deze check kost bij routine minder dan 2 minuten.
Voor HR en finance moet de controle zwaarder zijn. Leg vast wie eindverantwoordelijk is, welke criteria gelden en waar afwijkingen worden opgeslagen. Niet omdat papierwerk leuk is, maar omdat je later moet kunnen reconstrueren waarom een besluit is genomen.
Stap 6: vraag leveranciers de juiste vragen Veel mkb-bedrijven gebruiken AI via leveranciers. Dan hoef je niet alles zelf te bouwen, maar je blijft wel verantwoordelijk voor je inzet. Vraag daarom om documentatie: welke AI-functies zitten in het product, welke data worden verwerkt, waar vindt verwerking plaats, hoe werkt logging en welke AI Act-classificatie hanteert de leverancier?
Vraag ook naar uitschakelmogelijkheden. Kun je AI-functies per gebruiker, afdeling of datatype beperken? Kun je dataretentie instellen? Kun je exporteren wat het systeem heeft gedaan? Deze vragen klinken technisch, maar ze bepalen of je grip houdt als gebruik groeit.
Bewaar antwoorden in je AI-register of leveranciersdossier. Een e-mail van de leverancier is beter dan mondelinge geruststelling. Als een leverancier vaag blijft over data en verantwoordelijkheid, is dat een serieus signaal.
Praktijkvoorbeeld: chatbot, recruitmenttool en marketing-AI Stel: een webwinkel gebruikt een AI-chatbot, een tool voor vacatureteksten en ChatGPT voor productomschrijvingen. De chatbot vraagt soms ordergegevens op. De vacaturetool herschrijft teksten, maar beoordeelt geen kandidaten. ChatGPT krijgt geen klantdata, alleen productinformatie.
De risicoscan geeft dan drie routes. De chatbot krijgt transparantietekst, logging en human handoff. De vacaturetool blijft laag tot midden risico zolang hij niet rangschikt of selecteert. Productcontent krijgt menselijke controle op feitelijkheid, claims en auteursrechtelijke originaliteit.
Het resultaat is geen dik compliancepakket, maar drie heldere afspraken. Klanten weten wanneer ze AI spreken. HR gebruikt AI alleen voor tekst, niet voor selectie. Marketing controleert output vóór publicatie. Dat is precies de praktische laag waar mkb-bedrijven mee kunnen beginnen.
Wat je minimaal moet vastleggen Leg per AI-toepassing vast: doel, eigenaar, datatypes, leverancier, risico-inschatting, transparantie-afspraak, controlepunt en datum van laatste review. Acht velden zijn genoeg voor een eerste register. Maak het niet ingewikkelder dan nodig.
Plan elk kwartaal een update van 30 minuten. Nieuwe tools komen erbij, leveranciers wijzigen functies en teams vinden creatieve manieren om tijd te besparen. Een register dat nooit wordt bijgewerkt, wordt snel decoratie. Een licht reviewritme blijft bruikbaar.
Veelgemaakte fouten Fout 1: denken dat de AI Act alleen voor softwarebouwers geldt. Ook gebruikers moeten professioneel omgaan met AI. Fout 2: alle AI verbieden, waardoor schaduwgebruik ontstaat. Fout 3: alleen beleid schrijven en geen gedrag veranderen.
Een vierde fout is transparantie verwarren met angstcommunicatie. Je hoeft klanten niet te overladen met juridische tekst. Zeg gewoon eerlijk wanneer AI helpt en hoe een mens kan overnemen. Duidelijkheid bouwt vertrouwen.
FAQ ### Moet elk mkb-bedrijf een AI-register hebben? Niet elk register hoeft formeel of uitgebreid te zijn, maar elk bedrijf dat AI gebruikt heeft baat bij een overzicht. Zonder overzicht kun je risico, transparantie en leveranciersvragen niet goed beantwoorden.
Is een AI-chatbot hoog-risico? Meestal niet automatisch. Een klantenservicebot die standaardvragen beantwoordt is vaak beperkt risico, met transparantie en human handoff als belangrijke maatregelen. Het risico stijgt als de bot beslissingen neemt met grote gevolgen.
Wat doe je als een leverancier geen duidelijke AI Act-informatie geeft? Vraag schriftelijk door en beperk gebruik tot laag-risico processen totdat je meer duidelijkheid hebt. Bij gevoelige data of impactvolle besluiten is vage documentatie reden om alternatieven te bekijken.
Conclusie De AI Act hoeft voor Nederlandse ondernemers geen paniekproject te zijn. De kern is overzicht, transparantie en menselijke controle op de plekken waar impact ontstaat. Met een risicoscan in één middag zie je waar je veilig zit en waar je extra aandacht nodig hebt.
Begin vandaag met je AI-inventaris. Markeer klantcontact, HR, finance en automatische besluiten. Voeg korte transparantieteksten toe en vraag leveranciers om bewijs. Dan verandert AI Act-compliance van vage dreiging naar normaal ondernemerschap.
Direct toepasbare prompt
"Geef me een praktische aanpak voor [probleem] voor een Nederlands mkb-bedrijf. Houd het kort, met concrete stappen en voorbeeldtekst."