Skip to content
Go To Agency
Go To Agency
/Cyberbeveiliging
Cyberbeveiliging

AI Act 2 augustus 2026: wat Nederlandse MKB moet weten over GPAI-verplichtingen

Op 2 augustus 2026 wordt de AI Act algemeen van toepassing en start de handhaving rond GPAI-modellen. Wat verandert voor het Nederlandse MKB: boetes, governance, conformiteit en praktische checklist.

Door Robin Monteiro27 mei 20269 min · 2 047 mots
AI ActMKBComplianceNederlandGPAI
Artikel delen
AI Act 2 augustus 2026: wat Nederlandse MKB moet weten over GPAI-verplichtingen

Over precies tien weken — op 2 augustus 2026 — wordt het tweede grote luik van de Europese AI Act van kracht. Voor het Nederlandse MKB betekent dat geen vrijblijvend richtsnoer meer, maar een hard regelgevend kader met boetes die kunnen oplopen tot 35 miljoen euro of 7% van de wereldwijde jaaromzet. En in tegenstelling tot wat veel ondernemers denken: deze verplichtingen raken niet alleen techbedrijven of grote multinationals. Iedere onderneming die ChatGPT, Claude, Gemini of een ander general-purpose AI-model (GPAI) inzet in haar bedrijfsvoering, krijgt te maken met nieuwe documentatie-, transparantie- en governance-eisen.

In dit artikel zet ik op een rij wat er precies verandert op 2 augustus 2026, welke verplichtingen specifiek het Nederlandse MKB (onder 50 medewerkers) raken, hoe de Autoriteit Persoonsgegevens (AP) als coördinerend toezichthouder de handhaving aanpakt, en — belangrijker — wat u nu concreet kunt doen. Inclusief een conformiteits-checklist en een governance-template die u direct kunt invoeren.

Wat verandert er op 2 augustus 2026?

De AI Act is in fases ingevoerd. De algemene verbodsbepalingen (artikel 5) zijn al sinds februari 2025 van kracht. Op 2 augustus 2026 komt de volgende grote tranche: de algemene toepasselijkheid van de verordening — inclusief de verplichtingen voor organisaties die AI inzetten en de high-risk systemen van bijlage III — plus de hele governance-structuur op nationaal niveau. De inhoudelijke verplichtingen voor aanbieders van general-purpose AI-modellen (GPAI) gelden al sinds 2 augustus 2025; nieuw is dat de Europese Commissie ze vanaf 2026 ook met boetes kan handhaven. Dat zijn drie dingen tegelijk:

  • GPAI-providers (OpenAI, Anthropic, Google, Mistral, Meta) moeten sinds 2 augustus 2025 technische documentatie publiceren, trainingsdata-samenvattingen openbaar maken en auteursrechten respecteren via een EU-conform copyright-policy — vanaf 2 augustus 2026 kan de Europese Commissie deze verplichtingen met boetes afdwingen.
  • Downstream-deployers — dat is waar het Nederlandse MKB onder valt zodra het AI gebruikt in zijn dienstverlening — krijgen verplichtingen rond transparantie, menselijke supervisie en risicoclassificatie.
  • De nationale toezichthouders worden geactiveerd. In Nederland is dat de AP, die sinds 2024 een dedicated Directie Coördinatie Algoritmes (DCA) heeft opgetuigd.

Concreet: vanaf die datum kan de AP onaangekondigde audits uitvoeren bij MKB-ondernemingen die AI inzetten in HR-processen, klantbediening, kredietbeoordeling, prijsstelling of contentproductie. Boetes voor non-compliance lopen op in vier categorieën:

  • Verboden praktijken (artikel 5): tot 35M€ of 7% wereldwijde omzet (hoogste van de twee)
  • High-risk systemen (artikel 6): tot 15M€ of 3% omzet
  • Transparantieverplichtingen (artikel 50): tot 15M€ of 3% omzet
  • Foutieve informatie aan toezichthouder: tot 7,5M€ of 1% omzet

Voor het MKB geldt een verzachtende clausule: de boete is in principe het laagste van de twee bedragen in plaats van het hoogste. Maar 1% van uw jaaromzet is nog steeds een existentieel risico voor een onderneming met 20 medewerkers.

Wat is een GPAI eigenlijk — en gebruikt u er een?

De definitie in artikel 3 van de AI Act is breed: een GPAI is een AI-model dat "aanzienlijke algemeenheid vertoont en in staat is een breed scala aan onderscheidende taken uit te voeren". In de praktijk komt het hierop neer:

  • Tekstmodellen: GPT-4o, Claude Sonnet/Opus, Gemini, Mistral Large, Llama 3
  • Multimodale modellen: GPT-4 Vision, Claude met beeldherkenning
  • Beeld-generatoren: DALL-E, Midjourney, Stable Diffusion
  • Code-modellen: GitHub Copilot, Cursor, Codeium
  • Stem- en videomodellen: ElevenLabs, Sora, HeyGen

Gebruikt uw medewerker ChatGPT om klantemails te formuleren? Laat uw marketingbureau Midjourney genereren voor uw social media posts? Werkt uw ontwikkelteam met Copilot? Dan bent u een downstream-deployer van een GPAI in de zin van de AI Act. Punt.

De verplichtingen die hierbij horen zijn lichter dan voor high-risk systemen, maar ze bestaan wél en moeten gedocumenteerd kunnen worden bij een audit. Voor een gestructureerde aanpak van uw communicatie- en marketingstrategie is het zinvol om AI-governance vanaf nu mee te nemen in elk vendor-keuzeproces.

Specifieke MKB-verplichtingen onder 50 medewerkers

De wetgever heeft erkend dat een one-size-fits-all aanpak het MKB zou vermorzelen. Daarom kent de AI Act expliciete proportionaliteitsregels voor micro-ondernemingen (<10 fte), kleine (<50 fte) en middelgrote (<250 fte) ondernemingen. Concreet voor uw onderneming onder 50 medewerkers:

1. AI-geletterdheid (artikel 4) — al van kracht sinds februari 2025

Iedere medewerker die AI gebruikt — niet alleen technisch personeel — moet "voldoende AI-geletterdheid" hebben. Geen formele opleidingseis, maar wel een aantoonbare interne basis: weten wat AI kan en niet kan, hoe bias ontstaat, wanneer menselijk toezicht nodig is. Er bestaat geen vaste wettelijke norm voor de vorm; voor het MKB wordt een jaarlijkse interne sessie met een korte kennistoets in de praktijk doorgaans als een verdedigbare invulling gezien.

2. Risicoclassificatie van AI-toepassingen

U moet elk AI-systeem dat u inzet, classificeren in één van vier categorieën: verboden, high-risk, beperkt risico, of minimaal risico. Voor 90% van het MKB-gebruik (marketing-copy, contentideatie, samenvattingen) valt dit onder "minimaal risico" — maar de classificatie zelf moet gedocumenteerd zijn. Wie ChatGPT inzet voor cv-screening of pre-screening van sollicitanten zit echter automatisch in high-risk (bijlage III, punt 4) en heeft een veel zwaarder regime.

3. Transparantieverplichtingen (artikel 50)

Drie concrete dingen:

  • Chatbots: als u een AI-chatbot inzet voor klantbediening (op uw site, in WhatsApp Business), moet de bezoeker bij de eerste interactie weten dat hij met een AI praat. Een eenvoudige opener volstaat: "Hallo, ik ben de virtuele assistent van [naam]. Mijn antwoorden zijn AI-gegenereerd."
  • Synthetische content: AI-gegenereerde afbeeldingen, audio of video die "kunnen worden aangezien voor authentiek" moeten gemarkeerd worden. In de praktijk: een C2PA-metadata-tag of een zichtbare watermerk-tekst onderaan de afbeelding ("AI-generated").
  • Emotionele herkenning en biometrische categorisatie: als uw systeem dit doet (denk aan callcenter-software die stemming detecteert), moet de betrokkene daarvan op de hoogte zijn.

4. Menselijke supervisie bij high-risk gebruik

Zet u AI in voor beslissingen over werving, kredietverstrekking, prijsdifferentiatie op individuele klanten, of toegang tot essentiële diensten? Dan moet er aantoonbare menselijke supervisie zijn. "Aantoonbaar" betekent: gedocumenteerd in een procedure, met een verantwoordelijke medewerker, en met een human-in-the-loop checkpoint voordat een besluit definitief wordt.

De rol van de Autoriteit Persoonsgegevens (AP)

De Nederlandse situatie is interessant omdat de AP een dubbele pet draagt: ze handhaaft de AVG sinds 2018 én ze is sinds januari 2024 aangewezen als coördinerend toezichthouder voor algoritmes en AI. Dat betekent in de praktijk dat een AVG-controle en een AI Act-controle in één bezoek gecombineerd kunnen worden.

De DCA (Directie Coördinatie Algoritmes) publiceerde in november 2025 haar "Rapportage AI- en Algoritmerisico's Nederland" (RAN), waarin ze drie focusgebieden voor 2026 noemt:

  • HR-tooling: cv-screeners, sollicitatie-bots, performance-monitoring AI
  • Kredietbeoordeling en verzekeringsacceptatie: met name bij MKB-leningen en zorgverzekeringen
  • Generatieve AI in de publieke sector: gemeenten en zelfstandig bestuursorganen

Voor het bredere MKB is de verwachting dat de AP — zoals gebruikelijk bij nieuwe wetgeving — proportioneel zal handhaven: bij ondernemingen die te goeder trouw handelen, ligt een formele waarschuwing met een hersteltermijn meer voor de hand dan een directe boete. Maar op die coulance kunt u alléén rekenen als u kunt aantonen dat u over enige governance beschikt. Geen documentatie = geen good faith = direct boete-traject.

Governance-template voor het Nederlandse MKB

De praktische kern: u heeft een AI-governance-document nodig. Dat hoeft géén 80 pagina's te zijn — voor een MKB onder 50 medewerkers volstaat een document van 4-6 pagina's met de volgende onderdelen:

  1. AI-Verantwoordelijke (AVO): één persoon binnen de organisatie die het overzicht houdt. Niet per se een DPO, kan ook de COO of de IT-manager zijn. Naam, contactgegevens, mandaat.
  2. AI-Register: een tabel met alle AI-tools die de organisatie gebruikt. Per tool: leverancier, doel, categorie van data die wordt verwerkt, risicoclassificatie, of er persoonsgegevens worden verwerkt (link naar AVG-register), datum van laatste review.
  3. Acceptable Use Policy (AUP): wat mogen medewerkers wel en niet doen met AI. Concrete voorbeelden zijn nuttiger dan abstracte principes. "ChatGPT mag gebruikt worden voor het herformuleren van interne notities. ChatGPT mag NIET gebruikt worden voor het verwerken van klantgegevens (NAW, BSN, gezondheid)."
  4. Incidentprocedure: wat te doen als een AI-tool een fout maakt die een klant of medewerker raakt. Wie meldt aan wie, binnen welke termijn, en wanneer wordt de AP geïnformeerd.
  5. Vendor-due-diligence-checklist: welke vragen stelt u aan een AI-leverancier voordat u een contract tekent. Heeft de leverancier een DPA? Een DSA-compliance-statement? Een EU AI Act compliance-statement? Waar staan de servers?
  6. Trainings-/awareness-plan: hoe zorgt u dat artikel 4 (AI-geletterdheid) wordt nageleefd. Wie krijgt welke training, wanneer, hoe wordt het bijgehouden.

Dit document moet jaarlijks worden gereviewed en moet bij een audit binnen 24 uur overlegd kunnen worden. Bewaar het centraal, niet alleen op één laptop. Voor begeleiding bij het opzetten van dit traject kunt u via ons offerteformulier contact opnemen — we hebben templates die specifiek zijn aangepast aan de Nederlandse MKB-context.

Conformiteits-checklist: 12 stappen voor 2 augustus 2026

Onderstaande checklist is gebaseerd op de definitieve tekst van de AI Act (Verordening EU 2024/1689) en de guidance van de AP per februari 2026. Werk hem in deze volgorde af:

  1. Inventariseer alle AI-tools die in uw organisatie worden gebruikt. Vergeet schaduw-IT niet — vraag ook expliciet aan freelancers en externe bureaus welke AI-tools zij voor uw account inzetten.
  2. Classificeer elke tool op risicocategorie (verboden / high-risk / beperkt risico / minimaal).
  3. Identificeer high-risk-gebruik en stop daar onmiddellijk mee, of zet een formele compliance-procedure op (impactassessment, menselijke supervisie, logging).
  4. Stel een AI-Verantwoordelijke aan en leg dat schriftelijk vast (intern memo volstaat).
  5. Maak een AI-Register in een eenvoudig spreadsheet of een AVG-management-tool.
  6. Schrijf een Acceptable Use Policy en laat alle medewerkers tekenen (digitaal volstaat).
  7. Voer transparantie-aanpassingen door: chatbot-disclosures, AI-watermerk op gegenereerde beelden, opt-in voor emotion-AI.
  8. Update de privacyverklaring op uw website met een AI-paragraaf (in samenwerking met uw AVG-verantwoordelijke).
  9. Update vendor-contracten: vraag aan elke AI-leverancier een AI Act compliance-statement.
  10. Organiseer een AI-geletterdheid-sessie voor het hele team (2 uur, met quiz, vóór juli 2026).
  11. Documenteer een incidentprocedure en test hem één keer (tabletop exercise van 30 minuten).
  12. Plan een jaarlijkse review in uw agenda — bijvoorbeeld elke eerste maandag van september.

Een onderneming van 20-30 medewerkers heeft hier doorgaans tussen de 30 en 50 uur werk aan, gespreid over 2-3 maanden. Begin nu, niet in juli.

Hoe verhoudt de AI Act zich tot de AVG/GDPR?

De AI Act vervangt de AVG niet — hij vult hem aan. Concreet zijn er drie raakvlakken:

  • Rechtsgrondslag voor verwerking: elke AI-tool die persoonsgegevens verwerkt, heeft nog steeds een AVG-grondslag nodig (toestemming, gerechtvaardigd belang, contract). De AI Act voegt extra eisen toe, maar vervangt deze niet.
  • DPIA's blijven verplicht: als uw AI-gebruik onder artikel 35 AVG valt (hoog risico voor betrokkenen), blijft een Data Protection Impact Assessment verplicht. De AI Act voegt voor high-risk-systemen een aparte Fundamental Rights Impact Assessment (FRIA) toe, die een DPIA niet vervangt.
  • Verwerkersovereenkomsten: uw DPA met OpenAI, Anthropic of Google moet nu óók een AI Act-clausule bevatten waarin de leverancier verklaart te voldoen aan de GPAI-verplichtingen.

De AP heeft aangegeven dat ze "co-enforcement" zal toepassen: bij een AVG-onderzoek wordt waar relevant óók de AI Act getoetst, en vice versa. Eén overtreding kan dus tot twee parallelle boete-trajecten leiden.

Wat doet Go To Agency hieraan?

Als digitaal bureau zetten we zelf intensief AI in: in copywriting, in code-assistentie, in beeldgeneratie, in funnel-analytics. We hebben in december 2025 onze interne governance herzien volgens dezelfde structuur die hierboven staat — en we hebben besloten om dit framework ook beschikbaar te stellen aan onze klanten. Voor MKB-ondernemingen die hulp nodig hebben bij hun AI-compliance-traject: beschrijf uw situatie via ons online aanvraagformulier en u ontvangt binnen 48 uur per e-mail een concrete inschatting en een plan van aanpak op maat. Meer over onze werkwijze leest u op onze over-pagina.

Conclusie: niet panieken, wel beginnen

De AI Act is geen Cookie-banner-debacle in wording. Het is een doordachte, proportionele wet die de EU bewust heeft afgestemd op MKB-realiteiten. Maar "proportioneel" betekent niet "vrijblijvend". Wie op 2 augustus 2026 niet eens een AI-register kan tonen, valt door de mand. Wie wél een eenvoudig, eerlijk gedocumenteerd governance-framework heeft, maakt een goede kans op een waarschuwing en de tijd om bij te sturen.

De keuze is simpel: 30 uur werk nu, of een existentieel risico over tien weken. Mijn advies aan elke Nederlandse MKB-ondernemer: blokkeer in juni één halve werkdag voor de inventarisatie (stap 1-2 van de checklist), één halve dag in juli voor het schrijven van het governance-document, en plan de team-sessie eind juli. Dat is alles wat nodig is om in compliance te zijn.

En als u er niet uit komt: laat het me weten. We hebben dit traject inmiddels voor meerdere Nederlandse en Belgische MKB-klanten begeleid, en de templates worden in de praktijk doorlopend aangescherpt.

RM

Over de auteur

Robin Monteiro

Co-fondateur de Go To Agency

Développeur full-stack et co-fondateur de Go To Agency, Robin conçoit des solutions web performantes avec Next.js, React et les dernières technologies.

Maak kennis met het team

Hulp nodig bij uw project?

Laten we uw project gratis bespreken. Audit, advies en persoonlijke aanbevelingen in 15 minuten.

Vraag een gratis offerte aan
Artikel delen

Questions fréquentes

Geldt de AI Act ook voor zzp'ers en eenmanszaken?+

Ja. De AI Act maakt geen onderscheid op basis van rechtsvorm. Een zzp'er die ChatGPT inzet om klantcommunicatie te genereren is in juridische zin een 'downstream-deployer' en moet voldoen aan de transparantieverplichtingen van artikel 50 en de AI-geletterdheidsplicht van artikel 4. Voor micro-ondernemingen (<10 fte) is het regime echter sterk geproportioneerd: een eenvoudig eigen AI-register en een korte interne notitie over uw AI-gebruik volstaan in de meeste gevallen.

Wat is het verschil tussen high-risk en beperkt-risico AI volgens de AI Act?+

High-risk AI is gedefinieerd in bijlage III van de AI Act en omvat onder andere AI voor werving en selectie, kredietbeoordeling, toegang tot essentiele diensten, en biometrische identificatie. Deze systemen vereisen een formele conformiteitsbeoordeling, registratie in de EU-database en doorlopende monitoring. Beperkt-risico AI (de meeste generatieve AI-toepassingen in marketing en communicatie) vereist alleen transparantieverplichtingen: gebruikers moeten weten dat ze met AI te maken hebben.

Moet ik mijn AVG-privacyverklaring aanpassen voor de AI Act?+

Ja, op twee plekken. Ten eerste moet u in uw privacyverklaring expliciet vermelden welke AI-tools u gebruikt die persoonsgegevens kunnen verwerken (bijvoorbeeld ChatGPT Enterprise, Claude voor klantsupport). Ten tweede moet u, indien van toepassing, een aparte AI-disclosure opnemen die uitlegt hoe geautomatiseerde besluitvorming werkt en welke rechten betrokkenen hebben onder zowel de AVG (art. 22) als de AI Act (art. 86, recht op uitleg bij high-risk beslissingen).

Wie controleert in Nederland de naleving van de AI Act?+

De Autoriteit Persoonsgegevens (AP) is sinds januari 2024 aangewezen als coordinerend toezichthouder voor algoritmes en AI in Nederland. Sectorale toezichthouders zoals DNB (financiele sector), ACM (markttoezicht) en de IGJ (zorg) houden toezicht binnen hun eigen domein. De AP heeft een dedicated Directie Coordinatie Algoritmes (DCA) met inmiddels ruim 40 fte, en publiceert jaarlijks een Rapportage AI- en Algoritmerisico's Nederland (RAN) waarin focusgebieden voor handhaving worden benoemd.

Gratis offerte
AI Act 2 Augustus 2026: Nederlandse MKB GPAI-verplichtingen | Go To Agency