Naleving van de EU AI Act voor kleine en middelgrote ondernemingen. Kmo-specifieke bepalingen, toegang tot sandboxes, verlaagde kosten en praktische begeleiding voor AI-inzetters en AI-ontwikkelaars.
EU AI Act en kmo's — Het goede nieuws
De EU AI Act (Verordening (EU) 2024/1689) is van toepassing op alle organisaties die AI-systemen op de EU-markt plaatsen of gebruiken, ongeacht hun omvang. De regulatoire realiteit is voor de meeste kleine en middelgrote ondernemingen echter aanzienlijk minder belastend dan de berichtgeving doet vermoeden, om één fundamentele reden: de overgrote meerderheid van de kmo's gebruikt AI in plaats van het te ontwikkelen.
Een kmo die zich abonneert op een AI-verbeterd CRM-systeem, een chatbot van een SaaS-leverancier inzet of cloudgebaseerde vraagprognosesoftware gebruikt, is in de terminologie van de EU AI Act een inzetter — niet een aanbieder. De verplichtingen voor inzetters zijn stelselmatig lichter dan die voor aanbieders. Aanbieders dragen de primaire last van conformiteitsbeoordeling, technische documentatie, CE-markering en registratie. Inzetters hebben een meer gerichte reeks verplichtingen, gericht op correct gebruik, menselijk toezicht en incidentmelding.
Naast het onderscheid tussen inzetter en aanbieder bevat de EU AI Act een specifiek pakket kmo-gerichte bepalingen dat structurele ondersteuning biedt: voorrangsrecht op toegang tot regulatoire sandboxes, verlaagde kosten voor conformiteitsbeoordeling en een dedicated centraal contactpunt op nationaal niveau. Deze bepalingen weerspiegelen de uitdrukkelijke bedoeling van de wetgever om te voorkomen dat de AI Act een onevenredige drempel wordt voor kleinere marktdeelnemers.
Deze gids zet uiteen wat de EU AI Act in de praktijk betekent voor een kmo — ongeacht of u AI-tools van derden gebruikt, AI inzet in klantgerichte contexten, of zelf een AI-product ontwikkelt en commercialiseert.
Kmo-specifieke bepalingen in de verordening
De EU AI Act bevat vier bepalingen die specifiek van toepassing zijn op kmo's (ondernemingen die voldoen aan de drempel van Aanbeveling 2003/361/EG van de Commissie: minder dan 250 werknemers en een jaarlijkse omzet van niet meer dan €50 miljoen of een balanstotaal van niet meer dan €43 miljoen) en op startups.
Art. 55 — Voorrangsrecht op toegang tot regulatoire sandboxes
Art. 55 bepaalt dat regulatoire AI-sandboxes — begeleid omgevingen voor de ontwikkeling en het testen van AI vóór marktintroductie — bij voorrang toegankelijk moeten zijn voor kmo's en startups. Toegang is gratis of onderworpen aan verlaagde kosten, en deelnemende organisaties ontvangen directe begeleiding van de bevoegde autoriteit. Sandboxtoegang maakt voorafgaande risicoidentificatie en regulatoire dialoog mogelijk in een beschermde omgeving, zonder de gevolgen van een niet-conforme marktintroductie. Kmo's die AI-systemen bouwen, dienen deelname aan een sandbox te beschouwen als zowel een nalevingsinstrument als een mechanisme om rechtstreeks in contact te treden met de toezichthoudende autoriteit vóór de productlancering.
Art. 96 — Verlaagde kosten voor conformiteitsbeoordeling
Wanneer een hoog-risico AI-systeem een conformiteitsbeoordeling door een aangemeld orgaan vereist (van toepassing op systemen vermeld in Annex III, punten 1, 6 en 7, en medische hulpmiddelen met AI op grond van Art. 6(1)), verplicht Art. 96 lidstaten tot het vaststellen van verlaagde tarieven voor kleine ondernemingen. Micro-ondernemingen — ondernemingen met minder dan 10 werknemers en een jaarlijkse omzet of balanstotaal van niet meer dan €2 miljoen — hebben recht op nog grotere kortingen. De exacte tariefschalen worden vastgesteld op het niveau van de lidstaat en variëren per rechtsgebied; de relevante nationale AI-autoriteit of het Enterprise Europe Network kan actuele cijfers verstrekken.
Art. 85 — Centraal contactpunt
Art. 85 verplicht nationale AI-toezichthoudende autoriteiten tot het instellen van een dedicated centraal contactpunt voor kmo's. Dit betekent dat een kmo die begeleiding zoekt over AI Act-verplichtingen, niet door meerdere regulatoire afdelingen hoeft te navigeren of coördinatie tussen versnipperde autoriteiten hoeft te bewerkstelligen. Het centraal contactpunt verstrekt informatie, leidt vragen door naar de bevoegde functie en faciliteert sandboxaanvragen. Deze bepaling vermindert de administratieve kosten van het begrijpen van regelgevingsverplichtingen aanzienlijk.
Art. 9(5) — Proportioneel risicobeheer
Art. 9(5) bepaalt dat het risicobeheersysteem dat vereist is van aanbieders van hoog-risico AI-systemen proportioneel mag worden geïmplementeerd, rekening houdend met de omvang en structuur van de organisatie. Voor een kmo die optreedt als aanbieder van een hoog-risicosysteem betekent dit dat alle inhoudelijke vereisten van het risicobeheersysteem moeten worden nageleefd, maar dat het documentatieformaat, de procesomplexiteit en de governancestructuur kunnen worden afgestemd op de feitelijke capaciteit van de organisatie — mits dit de beschermingsdoelstellingen van het kader niet ondermijnt.
Bent u aanbieder of inzetter? — Beslissingskader voor kmo's
De belangrijkste voorafgaande bepaling voor elke kmo die met de EU AI Act te maken heeft, is of zij ten aanzien van elk AI-systeem dat zij gebruikt of aanbiedt optreedt als aanbieder of als inzetter.
Aanbieder (Art. 3(3)): Een organisatie die een AI-systeem ontwikkelt, of laat ontwikkelen, en dit op de markt brengt of in gebruik stelt onder haar eigen naam of merk — al dan niet tegen betaling. Dit omvat kmo's die:
- Een softwareproduct bouwen dat AI bevat (inclusief AI-modellen die via API worden benaderd) en dat product aan klanten verkopen of in licentie geven;
- Intern een AI-model of AI-toepassing ontwikkelen en dit als dienst aanbieden aan eindgebruikers buiten de organisatie;
- Een AI-systeem van een derde partij ingrijpend wijzigen op een wijze die het beoogde gebruik verandert.
Inzetter (Art. 3(4)): Een organisatie die een AI-systeem onder eigen verantwoordelijkheid voor een professioneel doel gebruikt. Dit omvat kmo's die:
- Zich abonneren op SaaS-producten met ingebouwde AI-functies (AI-verbeterd CRM, ERP, boekhoudsoftware);
- Een chatbot van een derde partij of conversationele AI op hun website gebruiken;
- Toegang nemen tot cloud AI API's (natural language processing, beeldclassificatie, aanbevelingsmachines) uitsluitend om interne werkprocessen te automatiseren of hun eigen diensten te verbeteren, zonder de AI-functionaliteit als productfunctie aan derden aan te bieden;
- HR-software, voorraadbeheerprognoses of klantanalysetools van externe leveranciers afnemen.
De kritieke grenscase: Een kmo die een externe AI API integreert in haar eigen klantgericht product en die functionaliteit als een kenmerk van haar product op de markt brengt, is een aanbieder met betrekking tot die AI-functionaliteit — niet louter een inzetter van de onderliggende API. De rechtspersoon die het beoogde gebruik bepaalt, de gebruikerservaring beheert en het product op de markt brengt, draagt de verplichtingen van een aanbieder op grond van Art. 16, ongeacht de herkomst van het AI-model.
Belangrijkste verplichtingen voor kmo's die AI van derden inzetten
Voor de meerderheid van de kmo's — die AI-tools van derden inzetten in plaats van zelf te ontwikkelen — gelden de volgende verplichtingen op grond van Art. 26 en aanverwante bepalingen.
AI-systemen gebruiken conform de instructies van de aanbieder
Inzetters mogen hoog-risico AI-systemen uitsluitend gebruiken in overeenstemming met de gebruiksinstructies van de aanbieder zoals verstrekt op grond van Art. 13. Het gebruik van een AI-systeem voor doeleinden die het gedocumenteerde beoogde gebruik overstijgen, of in configuraties die de aanbieder niet heeft gevalideerd, draagt een deel van de nalevingsaansprakelijkheid over aan de inzetter en kan de conformiteitsbeoordeling van het systeem ongeldig maken.
Verantwoordelijk menselijk toezicht aanwijzen
Art. 26(1) verplicht inzetters tot het aanwijzen van een verantwoordelijke voor AI-toezicht binnen de organisatie. Voor de meeste kmo's zal dit een met naam aangeduide persoon zijn (niet noodzakelijk een dedicated AI-complianceofficier) die de werking van het systeem begrijpt, de bekende beperkingen kent en weet wanneer menselijke tussenkomst vereist is. Deze aanwijzing dient te worden gedocumenteerd.
Operationele logboeken bewaren
Wanneer hoog-risico AI-systemen automatisch logboeken genereren (Art. 12), moeten inzetters deze logboeken bewaren gedurende de wettelijk vereiste periode — in het algemeen zes maanden op grond van de AI Act, tenzij sectorspecifieke wetgeving een langere bewaartermijn vereist. Inzetters dienen te controleren of hun leverancierscontract toegang tot de logboeken garandeert en de indeling en volledigheid ervan bevestigt.
Ernstige incidenten melden aan de aanbieder
Art. 26(5) verplicht inzetters om de aanbieder te informeren over ernstige incidenten of storingen die tijdens gebruik worden ontdekt. Wanneer de inzettende organisatie een publieke instantie is, strekken de meldingsverplichtingen zich uit tot de nationale AI-toezichthoudende autoriteit. Voor kmo's als inzetter in de private sector is het primaire kanaal directe melding aan de aanbieder, die vervolgens eigen verplichtingen heeft om de autoriteit te informeren op grond van Art. 73.
Waar van toepassing een grondrechtenbeoordeling uitvoeren
Art. 27 verplicht publieke instanties die hoog-risico AI inzetten tot het uitvoeren van een grondrechtenbeoordeling vóór de inzet. Kmo's in de private sector die hoog-risico AI inzetten — met name op het gebied van HR, kredietbeoordeling of klantgerichte beslissingscontexten — wordt sterk aanbevolen een gelijkwaardige beoordeling uit te voeren, aangezien dit zorgvuldigheid aantoont en het handhavingsrisico materieel vermindert.
Leverancierscontracten beoordelen
Kmo's als inzetter moeten ervoor zorgen dat hun contracten met AI-leveranciers het volgende bevatten: conformiteitsdocumentatie en gebruiksinstructies; bevestiging van EU-databaseregistratie waar vereist; specificatie van de logboekfunctionaliteit en toegangsrechten; de toezegging van de leverancier inzake incidentmelding en herstelmaatregelen; en informatie over update- of wijzigingsverplichtingen die de conformiteitsstatus van het systeem kunnen beïnvloeden.
Als u AI ontwikkelt — Verplichtingen en ondersteuning voor kmo's als aanbieder
Kmo's die AI-systemen ontwikkelen en commercialiseren, zijn aanbieders en dragen alle verplichtingen van een aanbieder op grond van Hoofdstuk III voor elk systeem dat als hoog-risico kwalificeert. De reikwijdte van die verplichtingen is aanzienlijk: kwaliteitsbeheersysteem (Art. 17), technische documentatie conform Annex IV, data governance conform Art. 10, logboekbeheer conform Art. 12, transparantievereisten conform Art. 13, ontwerp van menselijk toezicht conform Art. 14, en nauwkeurigheids- en robuustheidsnormen conform Art. 15. Voor Annex III-systemen waarvoor beoordeling door een aangemeld orgaan vereist is, volgt de conformiteitsroute Art. 43.
Het praktische vertrekpunt voor een kmo als aanbieder is de vaststelling van de risicocategorisering:
- Valt het AI-systeem onder Art. 5 (verboden praktijken)? Als dat het geval is, moet de ontwikkeling worden stopgezet of fundamenteel worden herzien vóór enige marktactiviteit.
- Kwalificeert het systeem als hoog-risico op grond van Art. 6(1) (veiligheidscomponent van een gereguleerd product) of Annex III (genoemde toepassingsgebieden, waaronder biometrische identificatie, kritieke infrastructuur, onderwijs, werkgelegenheid, essentiële diensten, rechtshandhaving, migratie, rechtspraak)?
- Kwalificeert het systeem uitsluitend als een AI-model voor algemene doeleinden geregeld door Art. 51–56, zonder hoog-risicoclassificatie?
- Is het systeem uitsluitend onderworpen aan de transparantieverplichtingen van Art. 50 (emotieherkening, deepfakes, chatbots)?
Voor kmo's waarvan de systemen buiten de hoog-risico- en verboden categorieën vallen, is de naleving aanzienlijk lichter: transparantieverklaringen op grond van Art. 50, afstemming op de GDPR en sectorspecifieke verplichtingen op grond van toepasselijk nationaal of EU-recht.
Voor kmo's die hoog-risico AI ontwikkelen, is de regulatoire sandbox van Art. 55 het belangrijkste beschikbare instrument. Deelname aan een sandbox maakt pre-markettesten onder regulatoir toezicht mogelijk, levert gedocumenteerd bewijs van een te goeder trouw geleverde nalevingsinspanning en kan corrigerende maatregelen identificeren voordat zij handhavingskwesties worden. Aanvragen worden ingediend bij het nationale centraal contactpunt (Art. 85).
Praktische stappen voor kmo-naleving
Stap 1 — Inventariseer alle AI-systemen in gebruik of in ontwikkeling. Maak een lijst van elk AI-hulpmiddel, SaaS-product, cloud API en intern ontwikkeld model. Noteer de leverancier, de functie en of de kmo ten aanzien van elk systeem optreedt als aanbieder of als inzetter.
Stap 2 — Categoriseer elk systeem naar risicocategorie. Pas het kader van Art. 5 / Art. 6 / Annex III / Art. 50 toe op elk systeem. Wanneer de categorisering onzeker is, gebruik dan het centraal contactpunt van Art. 85 voor begeleiding.
Stap 3 — Voor de inzetsrol: audit de leverancierscontracten. Verifieer dat elke AI-leverancier de documentatie heeft verstrekt die vereist is op grond van Art. 13 en dat het contract betrekking heeft op logboekbeheer, incidentmelding en updateverplichtingen. Signaleer tekortkomingen voor heronderhandeling.
Stap 4 — Voor de aanbiederrol: start het conformiteitstraject. Bepaal of uw hoog-risico AI-systeem een zelfbeoordeling (Art. 43(2)) of een beoordeling door een aangemeld orgaan (Art. 43(1)) vereist. Vraag sandboxtoegang aan op grond van Art. 55 als het systeem in ontwikkeling is. Neem vroegtijdig contact op met het aangemeld orgaan om inzicht te krijgen in de tijdlijn en de kostenimplicaties, met inachtneming van uw recht op kmo-kostenverlaging op grond van Art. 96.
Stap 5 — Implementeer de inzettersverplichtingen van Art. 26 voor alle hoog-risicosystemen. Wijs toezichtverantwoordelijken aan, documenteer hun verantwoordelijkheden, verifieer de procedures voor logboekbewaring en bevestig de kanalen voor incidentmelding.
Stap 6 — Stel een review-cyclus voor de AI Act in. De EU AI Act is een dynamisch kader. Wijs een verantwoordelijke aan om de begeleiding van het EU AI Office, updates van de nationale autoriteit en wijzigingen in de Annex III-classificaties te monitoren. Plan een jaarlijkse interne beoordeling van de systeeminventaris en de nalevingsstatus.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Ja. Als uw kmo een AI-model van een derde partij integreert (ook via API) in een product of dienst dat u onder uw eigen naam of merk op de markt brengt of in gebruik stelt, wordt u aangemerkt als **aanbieder** in de zin van **Art. 3(3)** van de EU AI Act. Dit geldt ongeacht of het onderliggende model door een ander bedrijf is ontwikkeld. De verplichtingen voor aanbieders — waaronder technische documentatie, conformiteitsbeoordeling, CE-markering (voor hoog-risicosystemen) en registratie — vallen onder uw verantwoordelijkheid. Wanneer de upstream-modelaanbieder conformiteitsdocumentatie en gebruiksinstructies levert, ondersteunen die documenten uw nalevingsinspanning, maar vervangen ze deze niet. Art. 55 en Art. 96 voorzien in kmo-specifieke ondersteuningsmaatregelen om de nalevingslast te verlichten.
Dat hangt af van twee factoren: de aard van de chatbot en de functie die deze vervult. Ten eerste: als de chatbot een **AI-aangedreven systeem voor algemene doeleinden** is dat met gebruikers communiceert, moet het voldoen aan de **transparantieverplichting van Art. 50**: gebruikers moeten worden geïnformeerd dat zij met een AI-systeem interacteren, tenzij dit duidelijk blijkt uit de context. Ten tweede: als de chatbot functies vervult die als hoog-risico kwalificeren — zoals het screenen van sollicitanten, het beoordelen van kredietwaardigheid of het nemen van beslissingen met juridische of aanzienlijke persoonlijke gevolgen — gelden aanvullende hoog-risicoverplichtingen. Een eenvoudige FAQ- of productnavigatie-chatbot die gebruikmaakt van een SaaS-aanbieder van een derde partij (waarbij u de inzetter bent) valt primair onder de transparantieverplichting van Art. 50 en de verplichtingen voor inzetters op grond van Art. 26, in het bijzonder correct gebruik conform de instructies en melding van incidenten.
Een **regulatoire AI-sandbox** is een begeleid testomgeving die door nationale AI-toezichthoudende autoriteiten wordt ingericht, waarin AI-aanbieders — waaronder startups en kmo's — AI-systemen mogen ontwikkelen, testen en valideren vóór marktintroductie, onder directe regulatoire begeleiding. Sandboxes worden geregeld door **Art. 57–63** van de EU AI Act. **Art. 55 verleent kmo's en startups voorrangsrecht**, en deelname is gratis of aan verlaagde kosten onderworpen. Aanvragen worden rechtstreeks ingediend bij de nationale autoriteit die in uw lidstaat verantwoordelijk is voor de AI Act. Binnen een sandbox kan de autoriteit beperkte afwijkingen van specifieke vereisten toestaan om daadwerkelijke tests mogelijk te maken; elk product dat na de sandboxperiode op de markt wordt gebracht, moet vervolgens aan alle toepasselijke verplichtingen voldoen. Neem contact op met uw nationale centraal contactpunt voor kmo's (**Art. 85**) voor informatie over de aanvraagprocedure.
Registratie in de **EU-database voor hoog-risico AI-systemen** op grond van **Art. 49** is uitsluitend vereist als uw systeem als **hoog-risico** wordt geclassificeerd op grond van Art. 6 of Annex III. Aanbieders van hoog-risicosystemen moeten vóór de marktintroductie registreren; inzetters die publieke instanties zijn, moeten eveneens vóór gebruik registreren. De meeste kmo's die AI-systemen van derden inzetten (als SaaS- of API-afnemers) zijn niet verplicht te registreren — die verplichting rust op de aanbieder. Als uw kmo de aanbieder is van een hoog-risico AI-systeem, is registratie verplicht ongeacht de bedrijfsomvang, hoewel de ondersteuningsbepalingen van Art. 55 en Art. 96 van toepassing zijn om de bijbehorende kosten en procedurele complexiteit te verminderen. De database is openbaar toegankelijk en wordt beheerd door het EU AI Office.
Voordat u een AI-systeem van een derde partij inzet — met name een systeem dat mogelijk hoog-risico is — moet uw kmo contractueel verlangen en verkrijgen: (1) de **EU-conformiteitsverklaring** of gelijkwaardige conformiteitsdocumentatie; (2) **gebruiksinstructies** zoals vereist door Art. 13, met inbegrip van het beoogde gebruik, bekende beperkingen en vereisten voor menselijk toezicht; (3) bevestiging dat het systeem **is geregistreerd in de EU-database** waar vereist; (4) informatie over de **logboekfunctionaliteit** van het systeem en de wijze waarop logs kunnen worden geraadpleegd of opgevraagd; (5) de **incidentmeldingsprocedures** van de leverancier en hun verplichtingen om u te informeren over storingen of updates die de naleving beïnvloeden; en (6) informatie over de **gegevensverwerkingskenmerken** van het systeem die relevant zijn voor uw GDPR-verplichtingen. Het ontbreken van deze documenten bij een leverancier die een AI-systeem aanbiedt in een gevoelig domein vormt een materieel nalevingsrisico.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.