De EU AI Act geldt vanaf 2 augustus 2026: wat jouw KMO nu moet doen

Als je een kleinere onderneming runt en je hebt de EU AI Act voor je uit geschoven, dan is dit het moment om er een namiddag aandacht aan te geven. Vanaf 2 augustus 2026 geldt de volgende reeks verplichtingen, waaronder de transparantieregels in artikel 50. Dat is ongeveer twee maanden weg.

Het goede nieuws: voor de meeste KMO’s is de takenlijst kort en praktisch. Je hebt vrijwel zeker geen compliance-afdeling nodig. Je hebt een inventaris nodig, een verantwoordelijke, en een paar verstandige gewoontes. Dit is wat echt telt, in gewone operationele taal.

Je bent waarschijnlijk een gebruiker, geen aanbieder

De AI Act behandelt het bedrijf dat een AI-systeem bouwt (de aanbieder) heel anders dan het bedrijf dat er gewoon een gebruikt (de gebruiker, of deployer). Gebruik je een klantenchatbot, een automatische cv-filter, een lead-scoringtool, of eender welke functie gebouwd op een taalmodel, dan ben je een gebruiker. Dat is de lichtere categorie, en daar zit het gros van de KMO’s.

De verplichtingen voor gebruikers zijn redelijk: wees transparant wanneer mensen met AI praten, hou een mens in de lus voor beslissingen die mensen raken, en zorg dat je medewerkers de tools begrijpen die ze gebruiken. Niets daarvan hoeft je tegen te houden om AI te gebruiken. Het vraagt vooral dat je het bewust doet.

Een korte, praktische checklist

Maak een inventaris. Lijst elke plek op waar AI je bedrijf raakt, ook de stille toepassingen verstopt in tools waar je al voor betaalt. Je kunt niet beheren wat je niet hebt opgeschreven.

Geef iemand de verantwoordelijkheid. Eén benoemde persoon die de lijst actueel houdt en de vraag beantwoordt “zitten we nog goed?” Dat hoeft geen jurist te zijn. Het moet iemand zijn die oplet.

Train je team. De verplichting rond AI-geletterdheid in artikel 4 geldt al sinds februari 2025. In de praktijk betekent dit dat je mensen op een basisniveau moeten begrijpen wat jullie AI-tools doen, waar ze betrouwbaar zijn, en waar een mens moet nakijken. Een korte interne sessie volstaat meestal.

Wees transparant. Vertel klanten wanneer ze met een bot praten, en label AI-gegenereerde content waar die zou kunnen misleiden. Dat bouwt evenveel vertrouwen op als dat het de regel naleeft.

Hou een register van één pagina bij. Per AI-toepassing: wat ze doet, welke data ze raakt, wie ze beheert, en of een mens de output controleert. Eén pagina is voor de meeste KMO’s echt genoeg, en het is net dat document dat een audit saai maakt in plaats van eng.

Wat de Digital Omnibus recent veranderde

De timing schoof op een paar nuttige manieren. Het vereenvoudigde regime voor kleinere bedrijven werd verbreed, zodat meer middelgrote ondernemingen in aanmerking komen voor lichtere documentatie en lagere boetes. Sommige deadlines verschoven ook: de regels voor hoogrisicosystemen in bijlage III lopen nu later, en de verplichtingen rond contentlabeling werden bijgesteld. De kerndatum voor de transparantieverplichtingen blijft wel 2 augustus 2026. De richting is “eenvoudiger voor kleine bedrijven, strenger waar het risico echt is”, en dat is precies het juiste instinct.

Dit is haalbaar, geen reden om te stoppen

De fout die ik zie, is dat bedrijven de AI Act behandelen als een reden om te bevriezen. Ze pauzeren nuttige, laagrisico-automatisering uit vage ongerustheid, verliezen de tijdwinst en winnen geen echte bescherming. De omgekeerde aanpak werkt beter: blijf AI gebruiken waar ze haar plaats verdient, en leg er een lichte laag governance omheen zodat je kunt aantonen dat je in controle bent.

Wil je hulp om die checklist concreet te maken voor jouw situatie, dan is een AI impact assessment de gerichte manier. We brengen in kaart waar je AI gebruikt, signaleren wat aandacht vraagt onder de AI Act en GDPR, en laten je achter met een kort register en duidelijke volgende stappen. Twee maanden is ruim genoeg om daar rustig te geraken. In augustus beginnen is een stuk minder aangenaam.