GDPR & Cybersecurity
17 juli 2026

De AI Act: wat betekent de nieuwe Europese AI-wetgeving voor je kmo?

door Gorik Van den Bergh en Güney Yalcin

Veel kmo's gebruiken vandaag al AI, vaak zonder zich daarvan volledig bewust te zijn. Denk aan chatbots die klantvragen beantwoorden, software die facturen automatisch verwerkt, AI-assistenten die teksten genereren of toepassingen die HR-processen ondersteunen. De snelle opmars van AI vraagt om duidelijke spelregels. Daarom introduceert de Europese Unie met de AI Act een geharmoniseerd kader dat organisaties verplicht om bewuster en transparanter met AI om te gaan. Veel ondernemers denken dat deze wet alleen geldt voor technologiebedrijven die AI ontwikkelen. Dat klopt niet. Ook ondernemingen die bestaande AI-oplossingen gebruiken, kunnen met nieuwe verplichtingen geconfronteerd worden.

Wat is de AI Act?

De AI Act is een Europese verordening die ervoor moet zorgen dat AI veilig, transparant en betrouwbaar wordt ontwikkeld én gebruikt. De wet beschermt burgers tegen schadelijke toepassingen en biedt tegelijk meer kansen voor innovatie en rechtszekerheid.

De AI Act trad in werking op 2 augustus 2024, maar de verplichtingen worden stapsgewijs ingevoerd.

De belangrijkste mijlpalen:

  • 2 februari 2025: verbod op bepaalde AI-toepassingen en verplichting om betrokken medewerkers voldoende AI-kennis en opleiding te bieden.

  • 2 augustus 2025: bijkomende verplichtingen voor aanbieders van General Purpose AI-modellen.

  • 2 augustus 2026: de meeste verplichtingen worden van kracht, waaronder die voor hoog-risico AI-systemen.

Ook daarna volgen nog bijkomende verplichtingen, onder meer voor bepaalde producten met ingebouwde AI en bestaande systemen. AI-compliance wordt de komende jaren dus steeds belangrijker.

Wanneer is iets "AI"?

Volgens de wet gaat het om systemen die met een zekere autonomie werken, zich kunnen aanpassen en op basis van data zelf conclusies of voorspellingen maken.

Niet elke softwaretoepassing valt dus onder de AI Act. Software die uitsluitend vooraf ingestelde regels volgt, zonder leer- of redeneervermogen, valt buiten het toepassingsgebied.

Geldt de AI Act ook voor jouw onderneming?

In de meeste gevallen: ja.

De AI Act onderscheidt twee rollen:

  • Aanbieders (providers): organisaties die AI-systemen ontwikkelen of onder hun eigen naam op de markt brengen.

  • Gebruikers (deployers): organisaties die AI-systemen inzetten binnen hun eigen activiteiten.

De meeste kmo's behoren tot die tweede categorie. Ook als je een AI-oplossing aankoopt bij een externe leverancier, blijf je verantwoordelijk binnen je rol als gebruiker. Welke verplichtingen gelden, hangt af van het type AI-systeem en de manier waarop je het inzet.

Let wel: je rol kan veranderen. Pas je een AI-oplossing aan, commercialiseer je ze onder je eigen naam of gebruik je ze voor een ander doel dan voorzien, dan kan je volgens de AI Act als aanbieder worden beschouwd. Dat brengt bijkomende verplichtingen met zich mee.

Niet elke AI-toepassing houdt hetzelfde risico in

De AI Act werkt met een risicogebaseerde aanpak: hoe groter de impact op personen, hoe strenger de regels.

De eerste vraag luidt daarom altijd: welk risiconiveau heeft jouw AI-toepassing?

Onaanvaardbaar risico

Sommige AI-toepassingen zijn volledig verboden, zoals systemen die gedrag manipuleren of sociale scoring toepassen.

Hoog risico

Hoog-risico AI-systemen kunnen een aanzienlijke impact hebben op personen, bijvoorbeeld binnen HR, kredietverlening, onderwijs of gezondheidszorg.

Belangrijk om weten:

  • Niet elke toepassing binnen deze domeinen is automatisch hoog risico.

  • Systemen die uitsluitend ondersteunend of voorbereidend werken, vallen vaak buiten deze categorie.

Toch zien we in de praktijk dat organisaties vaak onderschatten hoe snel een toepassing als hoog-risico kan worden beschouwd zodra ze beslissingen mee beïnvloeden.

Beperkt risico

Voor bepaalde AI-toepassingen gelden vooral transparantieverplichtingen, zoals:

  • chatbots;

  • AI-assistenten;

  • generatieve AI-tools.

Gebruikers moeten duidelijk kunnen herkennen wanneer ze met AI communiceren of wanneer content door AI werd gegenereerd. Denk bijvoorbeeld aan een chatbot die zich als AI-assistent identificeert of een label bij AI-gegenereerde content.

Minimaal risico

Veel alledaagse toepassingen, zoals spamfilters of spellingscontrole, behoren tot deze categorie. Hiervoor gelden geen specifieke verplichtingen.

Belangrijk: dezelfde technologie kan, afhankelijk van de toepassing, in een andere risicocategorie terechtkomen. Een chatbot in de klantenservice vormt doorgaans een beperkt risico, terwijl diezelfde chatbot binnen rekrutering of kredietverlening als hoog-risico kan worden beschouwd.

Wat verwacht de AI Act van kmo's?

De AI Act verwacht niet dat elke onderneming AI-specialisten in dienst heeft. Wel moet je AI bewust en verantwoord inzetten.

Voor veel organisaties betekent dit dat ze vandaag al werk moeten maken van AI-governance, ook als ze zelf geen AI ontwikkelen.

Concreet gaat het onder meer om:

  • medewerkers informeren en opleiden (in functie van hun rol);

  • AI gebruiken volgens het beoogde doel;

  • menselijk toezicht voorzien bij belangrijke beslissingen;

  • AI-resultaten kritisch beoordelen;

  • documentatie bijhouden voor risicovollere toepassingen;

  • samenwerken met leveranciers om inzicht te krijgen in de compliance van gebruikte AI-oplossingen.

Een belangrijke uitdaging is dat AI steeds vaker ingebouwd zit in bestaande software, zonder dat gebruikers zich daarvan bewust zijn.

Vier stappen om je voor te bereiden

Je hoeft niet te wachten tot alle deadlines naderen. Wie vandaag start, is morgen beter voorbereid.

1. Breng je AI-gebruik in kaart

Maak een overzicht van alle toepassingen binnen je organisatie die AI gebruiken.

2. Voer een eerste risicoanalyse uit

Bepaal per toepassing het risiconiveau en de mogelijke impact op personen.

3. Evalueer je rol en verantwoordelijkheden

Ben je gebruiker of aanbieder? En kan die rol in de toekomst veranderen?

4. Werk aan AI-governance

Leg verantwoordelijkheden vast, stel interne richtlijnen op en voorzie opleiding en toezicht.

Conclusie

De AI Act is geen toekomstmuziek meer. De eerste verplichtingen zijn al van kracht en de komende jaren wordt het regelgevend kader verder uitgerold.

Ook kmo's die bestaande AI-oplossingen gebruiken, zullen steeds vaker moeten aantonen dat ze AI op een transparante en verantwoorde manier inzetten.

Organisaties die vandaag starten, vermijden niet alleen compliance-risico’s, maar creëren ook een concurrentievoordeel door vertrouwen op te bouwen rond hun AI-gebruik.

Wil je weten hoe goed jouw onderneming voorbereid is op de AI Act? Onze experten helpen je graag bij het in kaart brengen van je AI-gebruik, het uitvoeren van een risicoanalyse en het uitwerken van een praktisch AI-governancekader.

Contactformulier

Wil je graag meer weten of heb je nood aan gespecialiseerd advies? Neem contact op met een van onze specialisten.

Om dit formulier te kunnen versturen moet u het gebruik van technische cookies aanvaarden. Dat kan u hier aanpassen.
Deze cookies worden gebruikt om onderscheid te maken tussen mensen en bots. Bepaalde gegevens, zoals uw IP adres of taal, kunnen hierbij doorgestuurd worden naar Google. Meer info vindt u in onze cookieverklaring.

Deel dit artikel

Gorik Van den Bergh

Team Lead IT audit gorik.vandenbergh@vdl.be

Güney Yalcin

IT Risk Advisor guney.yalcin@vdl.be

Disclaimer
Bij onze adviezen baseren wij ons op de huidige wetgeving, interpretaties en rechtsleer. Dit verhindert niet dat de administratie deze kan betwisten of dat bestaande interpretaties kunnen wijzigen.


Nieuws en inzichten

Lees onze laatste inzichten en nieuwsberichten om op de hoogte te blijven van veranderingen in jouw sector.