De EU AI Act kan overweldigend lijken, zeker voor MKB-bedrijven die geen juridische afdeling hebben. Daarom hebben we een praktische checklist samengesteld met tien concrete stappen die u kunt nemen om uw bedrijf compliant te maken.
Stap 1: Bewustwording creeren
Zorg dat het management en de belangrijkste stakeholders binnen uw organisatie op de hoogte zijn van de AI Act en de impact ervan. Dit is geen IT-project maar een organisatiebreed thema dat raakt aan juridische zaken, privacy, HR en bedrijfsvoering. Plan een korte sessie om de kern van de wet te bespreken en bepaal wie eindverantwoordelijk is voor AI compliance binnen uw organisatie.
Stap 2: AI-inventarisatie uitvoeren
Maak een compleet overzicht van alle AI-systemen die uw organisatie gebruikt. Denk hierbij breed. Niet alleen de voor de hand liggende tools zoals ChatGPT, maar ook AI die is ingebouwd in uw bestaande software. CRM-systemen, boekhoudsoftware, marketingplatforms en HR-tools bevatten steeds vaker AI-functionaliteit. Betrek alle afdelingen bij deze inventarisatie.
Stap 3: Risicoclassificatie bepalen
Classificeer elk AI-systeem uit uw inventarisatie in een van de vier risicocategorieen van de AI Act: onaanvaardbaar, hoog, beperkt of minimaal risico. Dit bepaalt welke verplichtingen voor elk systeem gelden. Let er specifiek op of uw systemen worden gebruikt voor beslissingen die mensen direct raken, of ze gevoelige data verwerken, en in welke sector ze worden ingezet.
Stap 4: Verboden AI-systemen identificeren en stoppen
Controleer of u AI-systemen gebruikt die onder de categorie onaanvaardbaar risico vallen. Deze zijn sinds 2 februari 2025 verboden. Denk aan sociale kredietsystemen, bepaalde vormen van emotieherkenning op de werkplek, en manipulatieve AI-technieken. Heeft u dergelijke systemen, dan moet u deze direct uitfaseren.
Stap 5: AI-beleid opstellen
Stel een AI-beleidsdocument op dat beschrijft hoe uw organisatie omgaat met AI. Dit document bevat richtlijnen voor het aanschaffen en inzetten van nieuwe AI-tools, regels voor verantwoord gebruik, een overzicht van rollen en verantwoordelijkheden, en procedures voor het melden van incidenten. Een goed AI-beleid geeft uw medewerkers duidelijkheid en laat aan toezichthouders zien dat u het serieus neemt.
Stap 6: AI-register opbouwen
Richt een centraal AI-register in waarin u per systeem documenteert wat het doet, wie de leverancier is, welke data het verwerkt, welke risicocategorie het heeft, en welke maatregelen u heeft genomen. Dit register vormt de basis voor al uw compliance-activiteiten en moet actueel worden gehouden.
Stap 7: Documentatie genereren
Stel voor elk relevant AI-systeem de vereiste documentatie op. Afhankelijk van de risicocategorie kan dit een risicobeoordeling zijn, een transparantieverklaring, een procedure voor menselijk toezicht, of een data governance beschrijving. Gebruik templates of geautomatiseerde tools om dit proces te versnellen.
Stap 8: AI-geletterdheid waarborgen
De AI-geletterdheidsplicht uit Artikel 4 geldt al sinds februari 2025. Zorg dat alle medewerkers die met AI werken voldoende kennis hebben. Dit omvat een basisbegrip van wat AI is en hoe het werkt, kennis van de risicos en beperkingen, en vaardigheden om AI verantwoord te gebruiken. Investeer in een gestructureerde training en documenteer dat uw medewerkers zijn opgeleid.
Stap 9: Monitoring en review inrichten
Compliance is geen eenmalige exercitie. Richt een proces in voor periodieke review van uw AI-register en documentatie. Plan elk kwartaal een moment in om te controleren of er nieuwe AI-systemen zijn toegevoegd, of bestaande classificaties nog kloppen, of de documentatie actueel is, en of medewerkers die nieuw zijn of van rol zijn veranderd de juiste training hebben gehad.
Stap 10: Governance-structuur opzetten
Wijs een AI-verantwoordelijke aan binnen uw organisatie. Dit hoeft voor een MKB-bedrijf geen fulltime functie te zijn, het kan een onderdeel zijn van een bestaande rol. Deze persoon is verantwoordelijk voor het bijhouden van het AI-register, het coordineren van trainingen, het evalueren van nieuwe AI-tools voor aanschaf, en het afhandelen van eventuele incidenten.
Waar begint u?
Deze checklist lijkt misschien veel, maar u hoeft niet alles tegelijk te doen. Begin met stap 1 en 2: zorg voor bewustwording en maak een inventarisatie. Van daaruit kunt u stap voor stap verder werken.
Onze AI Risicoscanner helpt u met stap 2 en 3: in vijf minuten heeft u een eerste classificatie en weet u welke verplichtingen gelden. Met het AIComplianceHub portal kunt u vervolgens uw volledige AI-register opbouwen, documentatie genereren en uw team trainen. Alles in een platform, speciaal ontwikkeld voor het Nederlandse MKB.
De deadline van augustus 2026 nadert. Wacht niet tot het laatste moment. Hoe eerder u begint, hoe meer grip u heeft op het proces.