Bent u directeur of HR-verantwoordelijke bij een mkb-bedrijf, dan is de vraag simpel: wat moet u nu regelen voor de AI Act? Het korte antwoord: de meeste verplichtingen voor het mkb zijn te overzien, mits u op tijd begint. Deze AI Act checklist mkb zet de stappen op een rij, met per stap een datum waarvoor het klaar moet zijn. Dit artikel hoort bij de overzichtspagina voor Nederlandse werkgevers.
Valt mijn mkb-bedrijf wel onder de AI Act?
Waarschijnlijk wel, al is dat minder ingrijpend dan het klinkt. Laat u personeel generieke AI-tools gebruiken, zoals ChatGPT of Copilot, dan bent u in de regel gebruiksverantwoordelijke ("deployer"): een organisatie die AI onder eigen verantwoordelijkheid gebruikt.
Voor een gebruiksverantwoordelijke geldt direct één belangrijke plicht: artikel 4, de plicht tot AI-geletterdheid. Die verplicht u om naar beste vermogen te zorgen voor voldoende AI-geletterdheid bij uw personeel en bij anderen die namens u met AI werken. De omvang van uw bedrijf maakt niet uit; een klein bedrijf valt er net zo goed onder als een groot.
AI-geletterdheid betekent: de vaardigheden, kennis en het begrip om AI met kennis van zaken in te zetten en de kansen en risico's ervan te herkennen. Het gaat dus niet om techniek, maar om verstandig gebruik.
Wat staat er in de AI Act checklist mkb?
Hieronder staat de afvinkbare AI Act checklist voor het mkb. Loop de stappen van boven naar beneden door. De kolom "klaar voor" geeft de datum waarop het op orde moet zijn. De meeste data hangen aan 2 augustus 2026, als in Nederland het toezicht start.
| ✓ | Stap | Wat u doet | Klaar voor |
|---|---|---|---|
| ☐ | 1. Inventariseer AI-gebruik | Noteer welke AI-tools uw mensen gebruiken (ChatGPT, Copilot) en voor welke taken. | nu, doorlopend |
| ☐ | 2. Bepaal uw rol | Stel vast of u gebruiksverantwoordelijke bent. Bij generieke tools is dat meestal zo. | nu |
| ☐ | 3. Check verboden praktijken | Stop met AI die emoties afleidt op de werkvloer; dat is verboden (artikel 5). | sinds 2 februari 2025 |
| ☐ | 4. Regel AI-geletterdheid | Geef uitleg en training op maat per rol en risico (artikel 4). | sinds 2 februari 2025; vóór 2 augustus 2026 aantoonbaar |
| ☐ | 5. Leg het vast | Houd een eenvoudig register bij van wie welke training kreeg, met datum en onderwerp. | vóór 2 augustus 2026 |
| ☐ | 6. Schrijf een AI-beleid | Zet de regels voor verantwoord AI-gebruik op papier en deel ze met uw mensen. | vóór 2 augustus 2026 |
| ☐ | 7. Check transparantieplicht | Zet u een chatbot in of publiceert u AI-content, label dat als AI (artikel 50). | vanaf 2 augustus 2026 |
| ☐ | 8. Let op werving en selectie | Gebruikt u AI om kandidaten te filteren of te rangschikken? Dat is hoog risico. | hoog-risicoplichten vanaf 2 december 2027 |
Stap 4 en 5 zijn voor de meeste mkb-bedrijven het hart van de lijst. Artikel 4 geldt al sinds 2 februari 2025, maar pas vanaf 2 augustus 2026 kan een toezichthouder er actief naar vragen. Die tijd is uw ruimte om het op orde te brengen. Hoe u een AI-beleid opstelt, leest u in het artikel over het opstellen van een AI-beleid.
Hoe regel ik AI-geletterdheid zonder dure cursus?
Dit is goed nieuws voor het mkb. De wet schrijft geen vast aantal uren voor, geen verplichte cursus en geen certificaat. Wat "voldoende" is, hangt af van de rol van de medewerker, de risico's van het AI-systeem en de context. De maatregelen zijn dus op maat: iemand die af en toe een tekst laat samenvatten, heeft minder nodig dan iemand die met AI sollicitaties beoordeelt. Eén standaardtraining voor iedereen voldoet zelden.
Een interne administratie helpt wel: houd bij wie welke training kreeg, met datum en onderwerp. Vergeet de ingehuurde krachten en dienstverleners niet: artikel 4 geldt voor iedereen die namens uw organisatie met AI werkt. Hoe u dit aantoonbaar maakt, staat in het artikel over het aantonen van AI-geletterdheid via training.
Welke boeteregel geldt er speciaal voor het mkb?
De AI Act houdt rekening met kleine bedrijven. De boetebepaling (artikel 99) kent drie categorieën, met maximumbedragen van 7,5, 15 en 35 miljoen euro of een percentage van uw wereldwijde jaaromzet. Voor grote bedrijven geldt steeds het hoogste van die twee, maar voor het mkb geldt een omgekeerde regel (artikel 99 lid 6): per categorie betaalt u het laagste van het vaste bedrag en het percentage. Een klein bedrijf met een lage omzet betaalt dus dat lage percentage, niet het hoge vaste maximum. Zo raakt een vaste boete een klein bedrijf niet onevenredig hard.
Voor te weinig AI-geletterdheid (artikel 4) is er bovendien geen directe boete: artikel 99 noemt artikel 4 niet. In de Nederlandse concept-Uitvoeringswet wordt dit gehandhaafd met een last onder dwangsom: u krijgt eerst een termijn om het op orde te brengen. Die wet was nog niet definitief, dus de sanctiekeuze kan nog wijzigen.
Welke data moet ik als mkb onthouden?
Deze tabel toont wat wanneer geldt voor een doorsnee mkb-bedrijf.
| Datum | Wat er geldt |
|---|---|
| 2 februari 2025 | Verboden praktijken (artikel 5) en AI-geletterdheid (artikel 4) zijn van toepassing |
| 2 augustus 2026 | Toezicht en handhaving in Nederland starten; transparantieplicht (artikel 50) gaat in |
| 2 december 2026 | Overgangstermijn loopt af voor het labelen van AI-content in systemen die er al waren |
| 2 december 2027 | Hoog-risicoplichten uit bijlage III, zoals AI in werving en selectie, gaan naar verwachting in |
De datum van 2 december 2027 komt uit het Digital Omnibus-akkoord van mei 2026, dat nog niet formeel was vastgesteld; die datum kan dus nog schuiven. Voor de meeste mkb-bedrijven is 2 augustus 2026 hoe dan ook de datum om naartoe te werken.
Geldt er iets extra's als ik AI gebruik bij werving en selectie?
Ja. AI gebruiken om kandidaten te werven of te selecteren geldt als hoog risico (bijlage III, punt 4). Dat is al zo zodra AI de werving of selectie wezenlijk beïnvloedt, bijvoorbeeld door sollicitaties te filteren of kandidaten te rangschikken; het systeem hoeft niet de enige beslisser te zijn. De zwaardere hoog-risicoplichten schuiven naar verwachting op naar 2 december 2027. Tot die datum gelden voor u wel al artikel 4 en mogelijk de transparantieplicht (artikel 50).
Wat moet u nu doen?
De AI Act is voor het mkb vooral een kwestie van op tijd beginnen en netjes vastleggen. Eerste stappen:
- Inventariseer uw AI-gebruik. Noteer welke tools uw mensen gebruiken en waarvoor. Dat bepaalt welk niveau "voldoende" is per rol.
- Regel AI-geletterdheid op maat en leg het vast. Geef uitleg of training en houd een eenvoudig register bij, ook van ingehuurde krachten.
- Schrijf een kort AI-beleid. Zet de regels op papier, zodat duidelijk is wat wel en niet mag. Het artikel over het opstellen van een AI-beleid helpt u op weg.
- Maak een nulmeting. Doe de AI-kennistest en zie in een paar minuten waar uw organisatie staat vóór 2 augustus 2026.
De 5-minutenversie
Heeft u weinig tijd, onthoud dan dit. U laat ChatGPT of Copilot gebruiken, dus bent u meestal gebruiksverantwoordelijke en geldt artikel 4: zorg voor voldoende AI-geletterdheid. Die plicht bestaat al sinds 2 februari 2025; vanaf 2 augustus 2026 kan een toezichthouder erop handhaven. U heeft geen certificaat en geen dure cursus nodig: uitleg op maat plus een eenvoudig register van wie welke training kreeg, is de kern. Voor het mkb geldt een zachtere boeteregel, en voor een tekort aan AI-geletterdheid is er geen directe boete, maar wel een mogelijke last onder dwangsom. Begin met inventariseren, leg vast wat u doet en doe de AI-kennistest.