Veel ondernemers denken bij de AI Act aan grote verboden systemen, dikke juridische dossiers en boetes die vooral voor multinationals bedoeld lijken. In de dagelijkse MKB-praktijk begint het veel kleiner. Je gebruikt een chatbot, notuleert met AI, laat marketingteksten maken of koppelt een boekhoudtool met slimme herkenning. De vraag is dan: wat gebeurt er met de data?
Dit artikel is voor Nederlandse MKB-bedrijven die in 2026 AI-tools willen gebruiken zonder later te ontdekken dat klantgegevens zijn gebruikt voor modeltraining, buiten de afgesproken regio zijn verwerkt of zonder duidelijke rolverdeling bij een leverancier liggen. Geen juridisch toneelstuk, wel een praktische controlelijst.
TL;DR: controleer drie dingen vóór je AI-tool live zet - Vraag of klantdata wordt gebruikt om modellen te trainen. - Leg vast waar data wordt opgeslagen en verwerkt. - Controleer of er een verwerkersovereenkomst of duidelijke rolverdeling is. - Voeg AI-gebruik toe aan je toolregister en AVG-register. - Zet leveranciersvragen in je inkoopproces, niet pas na een incident.
Waarom modeltraining nu een zakelijke vraag is AI-tools leren soms van gebruikersdata, soms niet, en soms alleen onder bepaalde instellingen. Voor een ondernemer maakt dat verschil uit. Een tekstprompt met algemene instructies is iets anders dan een supportgesprek met persoonsgegevens, contractinformatie of commerciële marges.
De praktische angst is niet dat iedere leverancier kwaad wil. De angst is dat niemand het heeft gevraagd. Als een medewerker klantdata in een publieke tool plakt, kan dat buiten je afspraken vallen. Als een SaaS-leverancier AI toevoegt aan bestaande software, kan je verwerkersovereenkomst verouderd zijn zonder dat iemand het merkt.
De AI Act verandert vooral je bewijsritme De EU AI Act legt voor veel MKB-toepassingen geen zware hoog-risico verplichtingen op. Toch vraagt de wet om transparantie, AI-geletterdheid en verantwoord gebruik. Vanaf 2026 wordt het steeds belangrijker dat je kunt laten zien welke AI je gebruikt, waarvoor, met welke data en onder welke afspraken.
Dat bewijsritme hoeft eenvoudig te zijn. Een AI-register met toolnaam, doel, eigenaar, datatypes, leverancier, risico-inschatting en link naar contractafspraken is voor veel kleine bedrijven al een enorme stap vooruit. Het maakt losse AI-experimenten bestuurbaar.
Begin met je bestaande stack Nieuwe AI-tools krijgen vaak aandacht, maar de grootste blinde vlek zit in bestaande software. Denk aan Microsoft 365 Copilot, Google Workspace AI, CRM-functies, boekhoudherkenning, chatbots, helpdesksoftware en marketingplatforms. Daar staat al bedrijfsdata in, dus AI-functies verdienen extra controle.
Maak een lijst van alle tools waar klantdata, personeelsdata, offertes, tickets, contracten of financiële informatie doorheen gaat. Noteer per tool of AI actief is, optioneel is of alleen in een pilot draait. Die inventarisatie kost bij een klein bedrijf vaak één middag en voorkomt weken onduidelijkheid.
De vijf leveranciersvragen die elke ondernemer kan stellen Vraag één: wordt onze invoer of klantdata gebruikt voor training van algemene modellen? Vraag twee: waar wordt data opgeslagen en verwerkt? Vraag drie: kunnen wij modeltraining uitschakelen of contractueel uitsluiten? Vraag vier: welke subverwerkers zijn betrokken? Vraag vijf: hoe worden incidenten, verwijderverzoeken en modelupdates gemeld?
De antwoorden hoeven niet perfect geformuleerd te zijn, maar ze moeten wel concreet zijn. “Wij nemen privacy serieus” is geen antwoord. “Klantdata wordt niet gebruikt voor training van foundation models, verwerking vindt plaats binnen de Europese Economische Ruimte en subverwerkers staan in bijlage 2” is veel bruikbaarder.
Let op het verschil tussen verwerker en zelfstandig verantwoordelijke Veel MKB-discussies lopen vast op rollen. Soms verwerkt een AI-leverancier data namens jou en is hij verwerker. Soms bepaalt hij zelf doelen en middelen en is hij zelfstandig verwerkingsverantwoordelijke. Soms is het gemengd. Dat verschil bepaalt welke afspraken je nodig hebt.
Voor standaard SaaS met klantdata wil je meestal een verwerkersovereenkomst, duidelijke subverwerkers en afspraken over beveiliging. Voor openbare AI-diensten zonder zakelijke datacontroles moet je extra voorzichtig zijn met persoonsgegevens en vertrouwelijke bedrijfsinformatie. De tool kan nuttig zijn, maar niet voor elke input.
Modeltraining clausules in gewone taal Een praktische clausule hoeft niet literair te zijn. De kern is: data van jouw organisatie en klanten mag niet worden gebruikt om algemene modellen te trainen, tenzij jij daar expliciet schriftelijk toestemming voor geeft. Ook wil je weten of data wordt gebruikt voor kwaliteitsverbetering, logging of menselijke review.
Vraag daarnaast naar bewaartermijnen. Als prompts en outputs 30 dagen worden bewaard voor abuse monitoring, is dat iets anders dan onbeperkte opslag voor productontwikkeling. Noteer dit in je register zodat medewerkers weten welke tool waarvoor geschikt is.
Maak een groen-oranje-rood beleid Niet elke tool vereist dezelfde strengheid. Werk met drie kleuren. Groen: goedgekeurde zakelijke tools met duidelijke contracten en lage gevoeligheid. Oranje: tools die bruikbaar zijn voor geanonimiseerde of algemene input. Rood: tools waarin geen persoonsgegevens, klantdossiers, contracten of financiële details mogen.
Dit beleid werkt beter dan een lange verbodenlijst. Medewerkers willen weten wat ze wél mogen doen. Zet voorbeelden erbij: productomschrijving herschrijven mag in oranje, klantklacht met naam en bestelnummer niet. Interne offerte met marge-informatie hoort alleen in groen.
Koppel AI-geletterdheid aan echte situaties AI-geletterdheid wordt vaak als training gezien, maar voor ondernemers is het vooral werkafspraak. Laat medewerkers oefenen met drie cases: een klantmail samenvatten, een contractpassage laten uitleggen en een marketingtekst laten herschrijven. Bespreek welke data wel en niet in de tool mag.
Een sessie van 60 tot 90 minuten kan genoeg zijn voor een klein team als je aanwezigheid vastlegt en de afspraken bewaart. Het doel is niet dat iedereen AI-expert wordt. Het doel is dat niemand per ongeluk gevoelige informatie in de verkeerde tool stopt.
Controleer instellingen, niet alleen contracten Sommige zakelijke AI-tools hebben admin-instellingen voor data sharing, logging, connectors en plug-ins. Een goed contract helpt weinig als de verkeerde instelling openstaat. Controleer daarom na contractreview ook de beheeromgeving.
Zet minimaal vast wie AI-functies mag activeren, wie connectors naar mail of Drive mag koppelen, en wie nieuwe plug-ins mag installeren. Veel datarisico ontstaat niet door één prompt, maar door een tool die ineens toegang krijgt tot een hele mailbox of gedeelde map.
Praktijkvoorbeeld: helpdesktool met nieuwe AI-samenvatting Een webshop gebruikt al jaren een helpdesktool. In 2026 komt er een AI-samenvattingsfunctie bij. Het team is enthousiast, want tickets kunnen sneller worden gelezen. De eigenaar stelt vijf vragen aan de leverancier en ontdekt dat AI-data standaard niet voor modeltraining wordt gebruikt, maar dat logs 30 dagen worden bewaard.
De beslissing wordt: functie aan voor supporttickets, uit voor personeelszaken, en geen koppeling met financiële mappen. In het AI-register komt de tool op groen voor klantenservice en rood voor HR. Dat is geen rem op innovatie, maar een nette begrenzing.
Veelgemaakte fouten Fout één: wachten tot augustus 2026 en dan alles tegelijk willen oplossen. Fout twee: alleen nieuwe AI-tools registreren en embedded AI vergeten. Fout drie: vertrouwen op marketingpagina’s zonder DPA, subverwerkerslijst of admin-instellingen te controleren.
Fout vier is te juridisch beginnen. Als je eerst 30 pagina’s beleid schrijft maar niemand weet welke tool veilig is, heb je weinig gewonnen. Begin met de stack, de data en de vijf vragen. Juridische verfijning kan daarna.
Conclusie AI Act-compliance voor het MKB begint niet met paniek, maar met volwassen inkoopgedrag. Vraag wat er met data gebeurt, leg modeltraining-afspraken vast, kleur je tools groen, oranje of rood en train medewerkers met echte voorbeelden.
Wie dit in 2026 rustig opbouwt, kan AI blijven gebruiken zonder elke prompt spannend te maken. Je creëert geen bureaucratie; je creëert vertrouwen dat de juiste informatie in de juiste tool terechtkomt.
Direct toepasbare prompt
"Geef me een praktische aanpak voor [probleem] voor een Nederlands mkb-bedrijf. Houd het kort, met concrete stappen en voorbeeldtekst."