Direct naar de inhoud
01AI Act

AI Act voor het MKB: wat moet er voor 2 augustus 2026 geregeld zijn?

Op 2 augustus 2026 worden de transparantieregels van de AI-verordening van kracht: chatbots moeten zich als AI kenbaar maken en AI-content moet gemarkeerd worden. AI-geletterdheid en de verboden praktijken gelden al sinds februari 2025. De zwaardere hoog-risicoverplichtingen zijn in juni 2026 uitgesteld naar december 2027.

Gepubliceerd op 6 juli 2026, laatst bijgewerkt op 6 juli 2026. Door Martijn de Visser, oprichter van NOVARO. Hij bouwt de verbindende laag tussen bedrijfssystemen: AI, koppelingen en intelligente automatisering voor MKB en grootbedrijf.

Voor wie geldt de AI Act eigenlijk?

De Europese AI-verordening (verordening 2024/1689, kortweg de AI Act) is sinds 1 augustus 2024 van kracht en wordt in fasen van toepassing. De wet geldt niet alleen voor bedrijven die AI bouwen, maar ook voor organisaties die AI gebruiken, de zogeheten gebruiksverantwoordelijken. Een MKB-bedrijf dat alleen ChatGPT of Microsoft Copilot inzet valt er dus ook onder, zo legt de overheid uit op Ondernemersplein. Hoe zwaar de verplichtingen zijn hangt af van het risico van de toepassing: van verboden praktijken via hoog-risicosystemen tot lichte transparantie-eisen voor alledaags gebruik.

Belangrijk vooraf: dit artikel is algemene informatie op basis van de stand van 6 juli 2026, geen juridisch advies. Raadpleeg voor uw specifieke situatie een jurist of de officiële bronnen onderaan dit artikel.

De tijdlijn is in juni 2026 gewijzigd: wat is er uitgesteld?

Wie zich eerder in de AI Act verdiepte, kent 2 augustus 2026 als de datum waarop ook de hoog-risicoverplichtingen zouden ingaan. Dat is veranderd. Met het zogeheten Digital Omnibus-pakket heeft de EU de wet vereenvoudigd en een deel van de deadlines verschoven; het Europees Parlement stemde op 16 juni 2026 in en de Raad gaf op 29 juni 2026 definitief groen licht. Op het moment van schrijven wacht het pakket alleen nog op publicatie in het Publicatieblad van de EU.

De kern van de wijziging: de verplichtingen voor zelfstandige hoog-risicosystemen (bijlage III) schuiven van 2 augustus 2026 naar 2 december 2027, en voor AI in gereguleerde producten (bijlage I) naar 2 augustus 2028, zo vat advocatenkantoor Gibson Dunn het akkoord samen. De transparantieverplichtingen van artikel 50 blijven wél op 2 augustus 2026 staan; alleen de machineleesbare markering van AI-content krijgt een overgangsperiode tot 2 december 2026 voor systemen die vóór 2 augustus 2026 al op de markt waren.

  1. 01

    Geldt al: sinds 2 februari 2025

    De verboden AI-praktijken (zoals sociale scoring en manipulatieve systemen) en de AI-geletterdheidsplicht van artikel 4: organisaties die AI gebruiken moeten zorgen dat hun medewerkers voldoende AI-geletterd zijn, aldus de Autoriteit Persoonsgegevens.

  2. 02

    Geldt al: sinds 2 augustus 2025

    De verplichtingen voor aanbieders van AI-modellen voor algemene doeleinden (zoals de makers van grote taalmodellen) en de Europese governance-structuur. Voor de meeste MKB-gebruikers heeft deze fase weinig directe gevolgen.

  3. 03

    Wordt van kracht: 2 augustus 2026

    De algemene toepassingsdatum van de verordening, inclusief de transparantieverplichtingen van artikel 50 (zie hieronder) en het startpunt voor nationale handhaving.

  4. 04

    Volgt: 2 december 2026

    Einde van de overgangsperiode voor machineleesbare markering bij generatieve systemen die vóór 2 augustus 2026 al op de markt waren. Daarnaast worden twee nieuwe artikel 5-verboden van kracht: op AI-gegenereerd intiem beeldmateriaal zonder toestemming en op materiaal van seksueel kindermisbruik, zo beschrijft advocatenkantoor Covington het akkoord.

  5. 05

    Volgt: 2 december 2027 en 2 augustus 2028

    De hoog-risicoverplichtingen voor bijlage III-systemen (december 2027) en voor AI in gereguleerde producten onder bijlage I (augustus 2028): risicobeheer, documentatie, menselijk toezicht en registratie.

Wat wordt er op 2 augustus 2026 concreet van kracht?

Voor de meeste MKB-bedrijven draait deze deadline om artikel 50 van de verordening: de transparantieverplichtingen. In gewone taal:

  • Zet u een chatbot of AI-assistent in richting klanten, dan moet voor de gebruiker duidelijk zijn dat die met AI praat, tenzij dat evident is.
  • Genereert uw systeem tekst, beeld, audio of video, dan moet die output machineleesbaar gemarkeerd zijn als AI-gegenereerd; dit ligt primair bij de aanbieder van het systeem, maar controleer of uw leverancier het doet.
  • Publiceert u AI-gegenereerde of AI-bewerkte beelden of audio die echt lijken (deepfakes), dan moet u dat kenbaar maken.
  • Publiceert u AI-geschreven tekst om het publiek te informeren over zaken van algemeen belang, dan moet u dat vermelden, tenzij er menselijke redactionele controle en verantwoordelijkheid is.
  • Gebruikt u systemen voor emotieherkenning of biometrische categorisering, dan moet u de betrokkenen informeren; let op: veel van deze toepassingen zijn op de werkvloer sowieso verboden of hoog-risico.

Daarnaast start per 2 augustus 2026 de nationale handhaving. In Nederland zijn de Autoriteit Persoonsgegevens en de Rijksinspectie Digitale Infrastructuur beoogd als coördinerende toezichthouders en is de uitvoeringswet die boetebevoegdheden regelt in het voorjaar van 2026 in internetconsultatie gegaan. De boetekaders staan in de verordening zelf: tot 35 miljoen euro of 7 procent van de wereldwijde jaaromzet voor verboden praktijken, tot 15 miljoen euro of 3 procent voor de meeste andere overtredingen; voor MKB-bedrijven geldt daarbij het laagste van de twee bedragen.

Checklist: dit regelt u vóór 2 augustus 2026

  1. 01

    Inventariseer al uw AI-gebruik

    Breng in kaart welke AI-systemen en -tools uw organisatie gebruikt, ook het officieuze gebruik door medewerkers. Zonder dit overzicht is geen enkele andere stap te zetten. Leg per systeem vast wat het doet, welke data erin gaat en wie de leverancier is.

  2. 02

    Regel aantoonbare AI-geletterdheid

    Deze plicht geldt al sinds februari 2025. Bepaal per rol welk kennisniveau nodig is, organiseer training en leg vast wie wat gevolgd heeft. De handreiking van de Autoriteit Persoonsgegevens is een bruikbaar startpunt.

  3. 03

    Toets op verboden praktijken

    Controleer of geen enkele toepassing in de verboden categorie valt, zoals emotieherkenning op de werkvloer of sociale scoring. Dit verbod geldt al en kent de hoogste boetecategorie.

  4. 04

    Maak chatbots en AI-content kenbaar

    Laat klantgerichte chatbots zich als AI melden en regel de markering van AI-gegenereerde content met uw leveranciers. Publiceert u AI-teksten over zaken van algemeen belang, richt dan menselijke redactionele controle in of vermeld de herkomst.

  5. 05

    Check de hoog-risicocategorieën en plan vooruit

    Gebruikt u AI bij werving en selectie, personeelsbeoordeling, kredietbeslissingen of onderwijs, dan valt die toepassing waarschijnlijk onder bijlage III. Die verplichtingen gelden nu per 2 december 2027; begin op tijd, want risicobeheer en documentatie zijn geen werk van een middag.

  6. 06

    Vergeet de AVG niet

    De AI Act komt bovenop de AVG, niet ervoor in de plaats. Verwerkersovereenkomsten met AI-leveranciers, afspraken over datalocatie en waar nodig een gegevensbeschermingseffectbeoordeling blijven gewoon vereist. Wat de AVG precies eist als u klantdata gebruikt om AI te voeden, leest u in de aparte gids. Welke aanbieders uw data binnen de EU houden leest u in onze gids over ChatGPT-alternatieven met data in de EU.

Begin bij de inventarisatie, niet bij de paniek

De eerlijke samenvatting: voor een gemiddeld MKB-bedrijf is 2 augustus 2026 geen ramp maar een ijkpunt. De zwaarste verplichtingen zijn uitgesteld, en wat wél gaat gelden (transparantie) is voor de meeste organisaties goed te regelen, mits u weet welke AI er in huis draait. Precies daar gaat het vaak mis: het AI-gebruik is breder dan de directie denkt.

Die inventarisatie is dan ook de stap waarmee u vandaag kunt beginnen. Wilt u het gestructureerd laten doen, dan neemt de AI quickscan van NOVARO verantwoorde AI standaard mee: welke AI draait er al, wat vraagt de AVG en de AI-verordening van u, en waar liggen tegelijk de kansen. Zo wordt compliance geen losse exercitie maar onderdeel van een bredere aanpak van AI, integratie en automatisering. En begint u liever bij het begin: lees waar u met AI in uw organisatie begint.

Liever eerst lezen wat het onderzoek inhoudt? Bekijk de AI quickscan van NOVARO. Meer lezen? Alle gidsen in de kennisbank.

02Vragen

Veelgestelde vragen over dit onderwerp.

04De volgende stap

Weten waar dit in uw organisatie speelt? Begin met een scan, of plan eerst een gesprek.