EU AI Act: wat moet je als B2B-bedrijf nu regelen
De EU AI Act is de eerste uitgebreide AI-wetgeving ter wereld. AI-geletterdheid is al verplicht sinds februari 2025. In augustus 2026 worden de regels voor hoog-risico systemen van kracht. Uit onderzoek blijkt dat de helft van de Nederlandse bedrijven nog geen AI-beleid heeft. In dit artikel leg ik uit wat de wet inhoudt, wat dit voor jouw bedrijf betekent, en wat je nu moet doen.
AI & automatisering consultant. Helpt B2B-bedrijven met leadgeneratie, workflow automatisering en AI-training.
Waarom dit urgent is
De EU AI Act is geen toekomstplan. Het is wet. Delen ervan zijn al van kracht. AI-geletterdheid is verplicht sinds 2 februari 2025 voor iedereen die AI inzet in een professionele context. Verboden AI-praktijken hadden op diezelfde datum gestopt moeten zijn.
In augustus 2026, over minder dan vier maanden, worden de regels voor hoog-risico AI-systemen van kracht. En in augustus 2027 geldt de volledige wet voor alle bestaande systemen.
Ondertussen blijkt uit onderzoek van het CBS en brancheorganisaties dat ongeveer de helft van de Nederlandse bedrijven nog geen AI-beleid heeft opgesteld. Veel MKB-bedrijven denken dat de wet niet voor hen geldt. Dat is een misvatting.
Wat is de EU AI Act in gewoon Nederlands?
De EU AI Act is een Europese wet die regelt hoe AI-systemen ontwikkeld en gebruikt mogen worden. Het doel is om ervoor te zorgen dat AI veilig, transparant en eerlijk wordt ingezet, zonder innovatie onnodig te remmen.
De kern van de wet is een risicogebaseerde aanpak. AI-systemen worden ingedeeld in vier categorieen op basis van hoe groot het risico is voor de samenleving. Hoe hoger het risico, hoe strenger de regels.
Voor de meeste B2B-bedrijven die AI gebruiken voor sales, marketing en operatie geldt het laagste risiconiveau. Maar er zijn wel algemene verplichtingen die voor iedereen gelden, ongeacht het risico.
De 4 risiconiveaus uitgelegd
De EU AI Act deelt AI-systemen in op basis van risico. Dit bepaalt welke regels voor jou gelden.
Verboden
AI die fundamentele rechten schendt. Volledig verboden sinds februari 2025.
Voorbeelden:
- Social scoring door overheden
- Realtime gezichtsherkenning in openbare ruimtes (met uitzonderingen)
- AI die emoties herkent op de werkplek of in het onderwijs
- AI die kwetsbare groepen manipuleert
Wat betekent dit voor jou? Niet relevant voor de meeste B2B-bedrijven. Maar als je AI inzet om medewerkers te monitoren of te scoren, pas dan op.
Hoog risico
AI die invloed heeft op belangrijke beslissingen over mensen. Strenge regels vanaf augustus 2026.
Voorbeelden:
- AI in sollicitatieprocedures (CV-screening, ranking van kandidaten)
- Credit scoring en financiele beoordelingen
- AI in het onderwijs (beoordeling van studenten)
- Medische AI-systemen
Wat betekent dit voor jou? Relevant als je AI gebruikt voor HR-processen, personeelsbeoordeling of financiele beslissingen. Niet voor standaard sales en marketing.
Beperkt risico
AI-systemen die transparantie vereisen. Je moet gebruikers informeren dat ze met AI te maken hebben.
Voorbeelden:
- Chatbots op je website
- AI-gegenereerde content (tekst, afbeeldingen, video)
- Deepfakes en synthetische media
- Emotieherkenning (waar toegestaan)
Wat betekent dit voor jou? Relevant als je een AI-chatbot op je website hebt of AI-gegenereerde content publiceert. Zorg dat gebruikers weten dat ze met AI communiceren.
Minimaal / Laag risico
De meeste AI-toepassingen in B2B sales en marketing. Geen specifieke verplichtingen, maar best practices worden aanbevolen.
Voorbeelden:
- AI voor leadgeneratie en lead scoring
- Gepersonaliseerde e-mail outreach
- Content creatie met Claude of GPT
- Workflow automatisering met n8n
- CRM-automatisering en data-verrijking
Wat betekent dit voor jou? Dit is waar de meeste B2B-bedrijven zitten. Geen strenge regels, maar AI-geletterdheid is wel verplicht en documentatie wordt aanbevolen.
Wat geldt voor B2B sales en marketing tools?
Als je AI agents voor sales gebruikt, ChatGPT inzet voor e-mails, Claude gebruikt voor content, of n8n voor workflow automatisering, dan val je onder de categorie minimaal of laag risico.
Dat betekent: geen conformiteitsbeoordeling, geen certificering, geen verplichte audit. Maar het betekent niet dat je niets hoeft te doen.
Wat wel verplicht is:
Wat sterk aanbevolen is:
Checklist: 10 dingen die je nu moet regelen
Begin bovenaan en werk naar beneden. De items met een oranje markering zijn het meest urgent.
1. Maak een AI-register
UrgentBreng alle AI-systemen in kaart die je organisatie gebruikt. Per systeem: naam, leverancier, doel, risiconiveau, verantwoordelijke en startdatum.
2. Train je team in AI-geletterdheid
UrgentIedereen die met AI werkt moet begrijpen wat het doet en wat de beperkingen zijn. Dit is verplicht sinds februari 2025. Documenteer de training.
3. Stel een AI-beleid op
UrgentEen intern document dat beschrijft hoe je organisatie AI inzet, welke regels gelden, wie verantwoordelijk is en hoe je klachten afhandelt.
4. Wijs een AI-verantwoordelijke aan
Iemand die eigenaar is van het AI-beleid, het register bijhoudt en contactpersoon is voor vragen. Hoeft geen fulltime rol te zijn.
5. Controleer je AI-leveranciers
UrgentVraag je leveranciers (OpenAI, Anthropic, etc.) naar hun compliance. Hoe verwerken ze data? Waar staan de servers? Hebben ze een verwerkersovereenkomst?
6. Check je verwerkersovereenkomsten
UrgentZorg dat je met elke AI-leverancier een verwerkersovereenkomst hebt die voldoet aan de AVG en aansluit bij de AI Act. Let op data-opslag en modeltraining.
7. Wees transparant naar gebruikers
Als je AI-chatbots gebruikt of AI-gegenereerde content publiceert, informeer je gebruikers. Voeg een disclaimer toe aan chatbots en label AI-content waar nodig.
8. Houd een mens in de loop
Voor beslissingen die mensen raken (zoals lead scoring die bepaalt wie wel en niet benaderd wordt), zorg dat een mens de eindbeslissing neemt of kan overrulen.
9. Documenteer je AI-gebruik
UrgentLeg per AI-toepassing vast: wat het doet, welke data het gebruikt, hoe de output wordt gecontroleerd en wat je doet als het fout gaat. Dit is je bewijs bij een audit.
10. Plan een jaarlijkse review
AI-wetgeving evolueert. Plan minimaal een keer per jaar een review van je AI-register, beleid en leveranciers. Pas aan waar nodig.
Veelgemaakte fouten
Denken dat de AI Act niet voor jou geldt
De meest gemaakte fout. 'Wij gebruiken alleen ChatGPT voor e-mails, dat telt niet.' Jawel, dat telt. Elk gebruik van AI in je bedrijfsvoering valt onder de wet. Het risiconiveau is laag, maar AI-geletterdheid en documentatie zijn verplicht.
Geen AI-beleid hebben
Zonder beleid is er geen kader. Medewerkers gebruiken AI-tools naar eigen inzicht, er is geen overzicht van wat er gebeurt, en bij een audit kun je niets laten zien. Een beleid hoeft niet lang te zijn, maar het moet er zijn.
AI-geletterdheid negeren
Dit is verplicht sinds februari 2025 en wordt het vaakst genegeerd. Het hoeft geen uitgebreide cursus te zijn. Een interne workshop van 2 uur met documentatie is voldoende. Maar je moet het aantoonbaar hebben gedaan.
Verwerkersovereenkomsten vergeten
Als je ChatGPT of Claude gebruikt voor bedrijfsdata, verwerk je data via een derde partij. Zonder verwerkersovereenkomst ben je niet compliant met de AVG, en ook niet met de AI Act.
Wachten tot de deadline
Augustus 2026 klinkt ver weg, maar compliance opbouwen kost tijd. Wie in juli 2026 begint, is te laat. De bedrijven die nu beginnen, doen het rustig en grondig. De rest gaat het in paniek moeten doen.
Wat kost het om compliant te worden?
AI Act Quick Scan
€750Inventarisatie van je huidige AI-gebruik, risicoanalyse per toepassing, en een prioriteitenlijst met concrete acties. Je weet precies waar je staat.
Beleid + Implementatie
€3.000 - 8.000AI-beleid opstellen, AI-register aanmaken, AI-geletterdheidsworkshop voor je team, verwerkersovereenkomsten controleren en documentatiestructuur opzetten.
Perspectief: de maximale boete voor niet-compliance is 35 miljoen euro of 7% van je jaaromzet. Een Quick Scan van 750 euro is een kleine investering om te weten waar je staat.
Hoe WaiBase hierbij helpt
Bij WaiBase combineren we AI-expertise met praktische compliance-kennis. We bouwen niet alleen AI-automatiseringen, we zorgen er ook voor dat ze compliant zijn.
Bekijk ook onze AI consulting dienst en AI training voor meer informatie.
Tijdlijn: wat wanneer verplicht is
EU AI Act gepubliceerd in het Europees staatsblad
Verboden AI-praktijken moeten gestopt zijn. AI-geletterdheid verplicht voor iedereen die AI inzet.
Regels voor general-purpose AI (GPT, Claude, Gemini) treden in werking
Regels voor hoog-risico AI-systemen worden van kracht. Conformiteitsbeoordelingen vereist.
Volledige EU AI Act van kracht. Alle regels gelden, inclusief voor bestaande systemen.
Veelgestelde vragen over de EU AI Act
Geldt de EU AI Act voor mijn MKB-bedrijf?
Ja. De EU AI Act geldt voor elk bedrijf dat AI-systemen ontwikkelt, inzet of importeert binnen de EU. Het maakt niet uit hoe groot je bent. Als je ChatGPT, Claude of andere AI-tools gebruikt in je bedrijfsvoering, moet je voldoen aan de regels die horen bij het risiconiveau van je toepassing.
Wat is AI-geletterdheid en is dat echt verplicht?
Ja, sinds 2 februari 2025. AI-geletterdheid betekent dat iedereen in je organisatie die met AI werkt, moet begrijpen wat AI doet, wat de beperkingen zijn en hoe je het verantwoord inzet. Dit hoeft geen uitgebreide cursus te zijn, maar je moet kunnen aantonen dat je team getraind is.
Zijn AI sales tools hoog risico?
Over het algemeen niet. AI-tools voor leadgeneratie, e-mail outreach, content creatie en CRM-automatisering vallen onder laag risico of minimaal risico. Ze worden pas hoog risico als ze worden ingezet voor het beoordelen van mensen in selectieprocedures, credit scoring of werknemersevaluaties.
Wat is een AI-register en heb ik dat nodig?
Een AI-register is een overzicht van alle AI-systemen die je in je bedrijf gebruikt: welke tools, waarvoor, wie verantwoordelijk is, en welk risiconiveau van toepassing is. Het is niet voor iedereen verplicht, maar het is een best practice die de Autoriteit Persoonsgegevens aanbeveelt.
Wat zijn de boetes als ik niet compliant ben?
De maximale boetes zijn fors: tot 35 miljoen euro of 7% van de wereldwijde jaaromzet voor het inzetten van verboden AI. Voor andere overtredingen gelden lagere maxima. In de praktijk zal de handhaving voor MKB beginnen met waarschuwingen en verbetertrajecten, maar het risico is reeel.
Wanneer wordt de EU AI Act volledig van kracht?
De wet treedt gefaseerd in werking. AI-geletterdheid is verplicht sinds februari 2025. Verboden AI-praktijken moeten gestopt zijn sinds februari 2025. Regels voor hoog-risico AI gelden vanaf augustus 2026. De volledige wet is van kracht vanaf augustus 2027.
Hoe lang duurt het om compliant te worden?
De basis (AI-register, beleid, training) kun je in 2 tot 4 weken regelen. Een volledig compliance-traject inclusief leverancierscontroles en documentatie kost 1 tot 3 maanden. Hoe eerder je begint, hoe kleiner de druk als de deadline nadert.
Wat kost het om compliant te worden?
Een AI Act Quick Scan kost 750 euro. Een volledig beleid- en implementatietraject kost tussen de 3.000 en 8.000 euro, afhankelijk van het aantal AI-systemen en de complexiteit van je organisatie. Vergelijk dat met de potentiele boetes en reputatieschade.
Moet ik een Data Protection Officer (DPO) hebben?
De EU AI Act vereist geen specifieke AI Officer, maar het is wel verstandig om iemand verantwoordelijk te maken voor AI-governance. Als je al een DPO hebt voor de AVG, kan die rol worden uitgebreid. Voor grotere organisaties is een aparte AI-verantwoordelijke aan te raden.
Waar kan ik de officiele tekst van de EU AI Act vinden?
De volledige tekst staat op EUR-Lex, de officiele juridische database van de EU. De Nederlandse Autoriteit Persoonsgegevens (AP) publiceert ook richtlijnen en praktische handreikingen. Voor een leesbare samenvatting kun je dit artikel als startpunt gebruiken.
Weet jij waar je staat?
Boek een AI Act Quick Scan en weet binnen een week precies wat je moet doen. Geen juridisch jargon, maar een concreet actieplan.
Boek een strategiegesprek