AI Act 2026: wat moet je als ondernemer nu regelen?
Je gebruikt ChatGPT om offertes te schrijven. Copilot helpt je met code. Midjourney maakt je visuals. En ergens in augustus 2026 gaat de EU AI Act volledig in werking. Uit KVK-onderzoek blijkt dat de helft van de Nederlandse ondernemers niet weet dat deze wet bestaat. Hier is wat je concreet moet regelen.
- Vanaf augustus 2026 heeft de EU regels voor AI-gebruik. De meeste verplichtingen liggen bij AI-providers (OpenAI, Google), niet bij jou.
- Jouw hoofdverplichting: transparantie. Label AI-gegenereerde content als die publiek is.
- Gebruik je AI voor HR-screening of kredietbeoordeling? Dan gelden strengere regels.
- MKB-boetebescherming: je betaalt een percentage van je omzet, niet het miljoenenmaximum.
Wat je nu moet regelen (checklist)
1. Inventariseer je AI-tools. Maak een lijst van elke AI-tool die je zakelijk gebruikt. ChatGPT, Claude, Copilot, Gemini, Midjourney, Canva AI, je boekhoudpakket met AI-functies, de AI in je CRM. Alles. Dit is je startpunt.
2. Bepaal je rol per tool. Je bent bijna altijd een "deployer" (gebruiker), niet een "provider" (ontwikkelaar). Dat scheelt enorm in verplichtingen. Je wordt pas provider als je een AI-model zelf traint, fine-tunet en onder eigen naam aanbiedt.
3. Check of je hoog-risico AI gebruikt. Kijk naar de lijst hieronder. Gebruik je AI om sollicitanten te screenen, kredietwaardigheid te beoordelen, of werknemers te evalueren? Dat is hoog risico. Gebruik je ChatGPT voor teksten en Copilot voor code? Dat is het niet.
4. Label AI-gegenereerde publieke content. Publiceer je blogs, artikelen of social media posts die door AI zijn geschreven of sterk door AI zijn bewerkt? Voeg een vermelding toe. "Dit artikel is (deels) geschreven met behulp van AI" is voldoende.
5. Maak je AI-chatbot herkenbaar. Heb je een chatbot op je website? Bezoekers moeten weten dat ze met AI praten, niet met een mens.
6. Documenteer je AI-gebruik. Voeg je AI-tools toe aan je verwerkingsregister. Noteer per tool: welke tool, waarvoor, welke data erin gaat, en of er een verwerkersovereenkomst is. Dat dekt zowel de AVG als de AI Act.
Wil je weten hoe je AI-gebruik scoort op privacy? De AI Risico Check geeft je in 2 minuten een inschatting.
De tijdlijn: wat geldt wanneer?
Februari 2025: verboden AI-praktijken zijn al van kracht. Sociale scoring, manipulatieve AI en biometrische surveillance in de openbare ruimte zijn verboden. Dit raakt de meeste ZZP'ers niet.
Augustus 2025: regels voor AI-modelproviders (OpenAI, Anthropic, Google). Zij moeten hun modellen documenteren en testen. Niet jouw probleem als gebruiker, maar het betekent dat je providers straks meer transparantie bieden.
Augustus 2026: de grote datum. Hoog-risico regels, transparantieverplichtingen en handhaving gaan volledig in. Dit is wanneer jouw verplichtingen als deployer beginnen.
Ben je "provider" of "deployer"?
Dit is het belangrijkste onderscheid in de hele wet.
Provider (aanbieder): de partij die een AI-systeem ontwikkelt of op de markt brengt. OpenAI is provider van ChatGPT. Anthropic van Claude. Midjourney van hun beeldgenerator. De zwaarste verplichtingen liggen hier: testen, documenteren, monitoren, CE-markering voor hoog-risico.
Deployer (gebruiksverantwoordelijke): de partij die een AI-systeem gebruikt in een professionele context. Dat ben jij als je ChatGPT, Copilot of Midjourney gebruikt voor je werk.
Als deployer zijn je verplichtingen beperkt. Een grafisch ontwerper die Midjourney gebruikt voor concepten, een copywriter die Claude inzet voor eerste drafts, een boekhouder die AI-functies in Exact Online gebruikt: allemaal deployers. De zware verplichtingen (testen, CE-markering, monitoring) liggen bij de providers, niet bij jou.
Als je een AI-model fine-tunet, onder je eigen naam aanbiedt, of het beoogde doel wezenlijk wijzigt, kun je worden herclassificeerd als provider. Dan gelden de zware verplichtingen. Gebruik je gewoon bestaande tools? Dan ben je deployer.
Wanneer is je AI-gebruik "hoog risico"?
De AI Act heeft een lijst (Annex III) met specifieke toepassingen die als hoog risico gelden. Voor ZZP'ers en MKB zijn dit de relevante:
- HR en werving: AI die sollicitanten screent, CV's rankt, of beslissingen neemt over aanname, promotie of ontslag
- Werknemersmonitoring: AI die prestaties van medewerkers evalueert of taken toewijst
- Kredietbeoordeling: AI die bepaalt of iemand een lening of verzekering krijgt
- Onderwijs: AI die studenten beoordeelt of toegang tot onderwijs bepaalt
Niet hoog risico: ChatGPT voor tekstwerk, Copilot voor code, Midjourney voor visuals, AI in je boekhoudpakket, Canva AI voor ontwerpen. Het overgrote deel van wat ZZP'ers met AI doen valt hier buiten.
Twee scenario's om het verschil te voelen:
Scenario A: recruiter. Je gebruikt een AI-tool die automatisch CV's rankt en de top-5 kandidaten selecteert. Dat is hoog risico. Je moet een fundamentele-rechtentoets doen, menselijk toezicht garanderen, logs 6 maanden bewaren, werknemers informeren, en je registreren als deployer in de EU-database.
Scenario B: diezelfde recruiter. Je gebruikt ChatGPT om een vacaturetekst te schrijven. Niet hoog risico. Geen extra verplichtingen. Het verschil zit niet in de tool, maar in het besluit dat de AI neemt. Selecteert de AI mensen? Hoog risico. Schrijft de AI tekst? Niet hoog risico.
Artikel 50: de labelplicht die iedereen raakt
Dit is de verplichting die voor de meeste ondernemers relevant is, ongeacht bedrijfsgrootte.
AI-chatbots: als je een chatbot op je website hebt, moeten bezoekers weten dat ze met AI praten.
AI-gegenereerde content: als je teksten, beelden of video's publiceert die door AI zijn gegenereerd, en het betreft onderwerpen van publiek belang, moet je dat vermelden.
Deepfakes: synthetische media (beeld, geluid, video) moeten altijd als zodanig worden gelabeld. Geen uitzonderingen.
De uitzondering die veel ondernemers over het hoofd zien: als je AI-gegenereerde content grondig reviewt, bewerkt en er redactionele verantwoordelijkheid voor draagt, vervalt de labelplicht voor tekst en beeld (niet voor deepfakes). Dat betekent: als je ChatGPT een concept laat schrijven en je herschrijft het substantieel, hoef je het niet te labelen.
De contra-intuïtieve les: een AI-gegenereerde blogpost die je klakkeloos publiceert moet je labelen. Dezelfde tekst die je grondig herschrijft en waar je als auteur achter staat, hoeft dat niet. De wet beloont menselijke betrokkenheid bij AI-output.
Concreet: je bent marketeer en laat ChatGPT een LinkedIn-post schrijven over cybersecurity trends. Je publiceert het 1-op-1. Label nodig. Je collega laat ChatGPT een concept maken, herschrijft het volledig, voegt eigen inzichten toe en publiceert het onder eigen naam. Geen label nodig. Het verschil: redactionele verantwoordelijkheid.
Boetes: de MKB-bescherming
De maximumboetes klinken angstaanjagend: 35 miljoen euro voor verboden AI-praktijken, 15 miljoen voor andere overtredingen. Maar de AI Act heeft een expliciete MKB-bescherming in artikel 99 lid 6.
De regel: voor MKB en startups geldt het lagere van de twee bedragen (vast bedrag of percentage omzet). Voor grote bedrijven geldt het hogere.
Voorbeeld: je bent ZZP'er met 80.000 euro omzet en overtreedt de transparantieplicht. Het vaste bedrag is 15 miljoen. Het percentage is 3% van je omzet = 2.400 euro. Voor jou geldt 2.400 euro, niet 15 miljoen. Dat is nog steeds geen pretje, maar het is proportioneel.
De eerlijke inschatting: de AI Act is net als de AVG in de beginfase. Handhaving zal zich eerst richten op grote spelers en flagrante overtredingen. Maar de regels gelden wel, en het is verstandig om nu te beginnen met de basis.
AI Act + AVG: de overlap
Als je AI-tools gebruikt om persoonsgegevens te verwerken, gelden beide wetten tegelijk.
Het goede nieuws: als je je AVG-zaken op orde hebt (verwerkingsregister, verwerkersovereenkomsten, grondslagen), heb je al een groot deel van de AI Act-documentatie gedekt. Je verwerkingsregister is de plek om ook je AI-tools te documenteren. Je DPIA voor hoog-risico AI-verwerking is dezelfde DPIA als onder de AVG.
Meer over de privacy-kant van AI-tools lees je in het artikel over ChatGPT voor werk en de vergelijking gratis vs. betaald.
Wat als je niets doet?
Eerlijk: in augustus 2026 komt er geen inspecteur aan je deur. De handhaving zal beginnen bij grote bedrijven en flagrante overtredingen, net als bij de AVG in 2018.
Maar het risico zit ergens anders. Een opdrachtgever die vraagt: "Hoe ga je om met de AI Act?" En je hebt geen antwoord. Een klant die ontdekt dat je zijn projectgegevens in een AI-tool hebt gestopt zonder het te documenteren. Een concurrent die op zijn website vermeldt "AI Act-compliant" en jij niet.
De AI Act is ook geen losstaande wet. Hij overlapt met de AVG. Als de AP je al onderzoekt voor een privacykwestie en daarbij ontdekt dat je AI-gebruik niet gedocumenteerd is, heb je twee problemen in plaats van een.
De eerlijke inschatting
Voor de meeste ZZP'ers en kleine bedrijven komt de AI Act neer op drie concrete acties: inventariseer je AI-tools, label AI-gegenereerde publieke content, en documenteer je gebruik. Dat is het.
De Nederlandse toezichthouders (naar verwachting de Rijksinspectie Digitale Infrastructuur en de AP, sectortoezichthouders zoals AFM en IGJ voor hun eigen sectoren) zijn nog in opbouw. Maar de regels gelden vanaf augustus 2026. En wie nu een half uur investeert in de checklist bovenaan dit artikel, hoeft straks niet in paniek te raken.
Het klinkt als veel. Het is een half uur. En het verschil tussen "ik heb het geregeld" en "ik moet het nog uitzoeken" is precies dat half uur.
Veelgestelde vragen
Gerelateerde artikelen
IT-professional met 20+ jaar ervaring in softwareontwikkeling en digitale beveiliging. Schrijft over privacy vanuit technische praktijkervaring — geen juridisch advies. Meer over de auteur
Dit is informatie, geen juridisch advies. Raadpleeg een specialist voor je specifieke situatie.