Wat de AI Act betekent voor MKB-bedrijven die software laten maken

Je hebt erover gelezen of iemand bracht het ter sprake: er komt Europese wetgeving voor AI aan, en die heet de AI Act. En nu vraag je je af of dat gevolgen heeft voor jouw bedrijf, zeker als je net software laat maken of een nieuwe website. Korte versie vooraf: als je een normale website of een gewone bedrijfsapplicatie laat bouwen, zit je vrijwel zeker goed. Geen paniek nodig. In dit stuk leg ik plat uit wat de AI Act echt betekent voor het MKB, wat er verandert en wanneer.

Even dit vooraf: dit is algemene informatie, geen juridisch advies. Heb je een specifieke twijfel over jouw situatie, leg die dan voor aan een jurist.

Eerst de geruststelling

De AI Act gaat over AI. Niet over software in het algemeen. Een standaard website, een CMS, een koppeling met je CRM, een reserveringssysteem of wat basisautomatisering zonder AI valt er gewoon niet onder. Daar verandert niets aan.

Pas als er echt kunstmatige intelligentie in het spel is, wordt de vraag interessant. En zelfs dan: de wet kijkt naar wat de AI doet en hoeveel risico daarbij hoort. De meeste alledaagse software valt in de laagste categorie, waar geen verplichtingen gelden.

De vier risiconiveaus, in gewone taal

De AI Act werkt met een risicogedachte. Hoe meer een systeem mensen kan raken, hoe strenger de regels. Er zijn vier niveaus.

1. Onaanvaardbaar risico (verboden)

Dit zijn toepassingen die gewoon niet mogen. Denk aan sociale scoring van burgers of bepaalde manipulatieve en biometrische toepassingen. Deze verboden gelden al sinds begin 2025. Voor een normaal MKB-bedrijf is dit geen issue, want dit soort dingen bouw je sowieso niet.

2. Hoog risico (mag, maar streng gereguleerd)

Dit gaat over AI die op gevoelige terreinen wordt ingezet en daar echt invloed heeft op mensen. Bijvoorbeeld AI die meebeslist over wie wordt aangenomen, wie krediet krijgt, of wie toegang krijgt tot essentiële diensten. Ook biometrie hoort hierbij. Hier komen flinke verplichtingen bij kijken. Voor de meeste MKB-bedrijven speelt dit niet, tenzij je precies zulke beslissingen door AI laat nemen of zwaar laat beïnvloeden.

3. Beperkt risico (transparantie)

Hier zit de categorie waar een gewoon bedrijf nog het snelst mee te maken krijgt. Het komt neer op eerlijk zijn. Heb je een chatbot op je site, dan moet die gebruiker weten dat hij met AI praat en niet met een mens. AI-gegenereerde content moet als zodanig herkenbaar zijn. Dat is geen zware last, het is een stukje openheid.

4. Minimaal risico (geen verplichtingen)

De grootste groep. Spamfilters, aanbevelingen, basisautomatisering, de meeste productiviteitstools. Hier gelden geen verplichte regels. Het overgrote deel van commerciële software zit hier.

Het moment 2 augustus 2026

Je hoort vaak die datum genoemd, dus even helder wat er dan gebeurt. Vanaf 2 augustus 2026 gaat de brede laag van de wet echt gelden: de zware verplichtingen voor hoog-risicotoepassingen en de transparantieregels voor de beperkt-risicocategorie (zoals dat chatbot-bericht).

Wat het niet betekent: dat gewone bedrijfssoftware ineens een nalevingslast wordt. Valt jouw software in de minimaal-risicogroep, dan verandert er voor jou praktisch niets op die datum.

Voor de volledigheid, er zijn nog wat eerdere momenten. De wet trad in werking in augustus 2024. De verboden gingen in begin 2025. En sinds augustus 2025 gelden er verplichtingen voor aanbieders van zogeheten algemene AI-modellen. Dat laatste klinkt breed, maar het richt zich op de partijen die zulke fundamentmodellen zelf bouwen (denk aan de grote modelmakers), niet op bedrijven die zo'n model gewoon gebruiken via een API. Als jouw software een bestaand AI-model aanroept, ben jij niet de modelmaker.

Wanneer het voor jouw MKB wél meer gaat spelen

Twee situaties om scherp te hebben.

De eerste: AI die meebeslist over mensen op een gevoelig terrein. Laat je software bouwen die sollicitanten voorselecteert, kredietwaardigheid inschat of toegang tot belangrijke diensten bepaalt, dan kom je richting hoog risico. Dan is het verstandig om dit vooraf goed met je bouwer en eventueel een jurist door te nemen.

De tweede, veel lichter: een klantenchatbot. Die is beperkt risico, geen hoog risico. Je hoeft niet de hele machinerie van hoog-risicoverplichtingen in te richten. Je moet vooral duidelijk maken dat de bezoeker met AI praat. Een eenvoudige melding volstaat.

Aanbieder of gebruiker, waarom dat verschil telt

De wet maakt onderscheid tussen twee rollen, en dat bepaalt hoe zwaar jouw verantwoordelijkheden zijn.

Ben je gebruiker (deployer), dan zet je een bestaand AI-systeem professioneel in zonder het zelf te ontwikkelen of ingrijpend aan te passen. Bijvoorbeeld een SaaS-tool met een AI-functie, of een externe AI-API die je aanroept. Gebruikers hebben lichtere verplichtingen. De meeste MKB-bedrijven die kant-en-klare AI-tools gebruiken vallen hier.

Ben je aanbieder (provider), dan ontwikkel je een AI-systeem en breng je het onder eigen naam op de markt. Let goed op: laat je een AI-systeem op maat bouwen, op jouw specificatie en met jouw data, dan ben jij waarschijnlijk de aanbieder, ook al doet een externe ontwikkelaar het bouwwerk. Aanbieders hebben meer verplichtingen dan gebruikers. Het is dus goed om vooraf te weten in welke rol je zit. Wil je hier dieper in, lees dan ook ons stuk over app-ontwikkelaar in Tilburg en hoe maatwerk in de praktijk loopt.

En de boetes dan?

Je leest weleens schrikbarende bedragen. Goed om te weten: dat zijn maximumboetes voor de zwaarste overtredingen. De wet houdt uitdrukkelijk rekening met de omvang van een bedrijf en schaalt voor het MKB naar verhouding. Ik noem hier bewust geen concrete cijfers, want de getallen die rondgaan slaan vrijwel nooit op de situatie van een gewoon bedrijf met nette, low-risk software.

Vragen die je gerust aan je softwarebouwer stelt

Een kort, praktisch lijstje voor je volgende gesprek:

• Zit er eigenlijk AI in wat we laten bouwen, of is het gewone software?
• Zo ja, in welke risicocategorie valt dat naar verwachting?
• Word ik hiermee aanbieder of gebruiker in de zin van de AI Act?
• Als er een chatbot of AI-content in zit, is de transparantie netjes geregeld?
• Gebruiken we ergens AI om beslissingen over mensen te nemen op een gevoelig terrein?

Met die vragen heb je het belangrijkste te pakken zonder zelf de hele wet te hoeven kennen.

Tot slot

Voor de meeste MKB-bedrijven die software laten maken is de AI Act geen reden tot zorg. Bouw je iets gewoons, dan zit je in de laagste categorie en verandert er weinig. Wordt het serieuzer, dan weet je nu waar je op moet letten en welke vragen je stelt.

Twijfel je of jouw plan AI-gevoelig is? Leg het ons gerust eens voor, dan denken we vrijblijvend met je mee over hoe je het netjes en zonder gedoe aanpakt.

Nog één keer voor de duidelijkheid: dit is algemene informatie en geen juridisch advies. Voor jouw specifieke situatie blijft een jurist het juiste adres.