Veel kleine bedrijven denken dat de EU AI Act alleen voor grote corporates geldt. Maar dat is een misverstand. Ook kleinere organisaties kunnen onder de wet vallen, bijvoorbeeld als je AI gebruikt in je processen of producten.

Of je nu werkt met AI in marketing, HR, klantenservice of interne analyses: de regels gelden óók voor jou zodra je AI inzet die beslissingen neemt over mensen of gevoelige data verwerkt.

Toch hoef je als kleiner bedrijf niet meteen bang te zijn voor dikke rapporten of torenhoge kosten. Met een aantal slimme stappen kun je je prima voorbereiden en grote risico’s vermijden. Daarom deze praktische compliance checklist, speciaal voor MKB’ers en kleinere organisaties.

1. Breng in kaart waar je AI gebruikt

Het lijkt logisch, maar veel ondernemers hebben geen idee wáár ze AI al gebruiken. Denk aan:

• CRM-systemen die automatisch leads scoren

• tools die teksten schrijven of samenvatten (zoals ChatGPT)

• HR-software die cv’s beoordeelt

• software die klantgedrag voorspelt

Vraag je leveranciers welke onderdelen in hun tools AI bevatten. Veel bedrijven gebruiken AI zonder het door te hebben.

→ Lees ook: Wat zijn high-risk AI-systemen volgens de EU AI Act?

2. Check of je systeem high-risk is

Niet alle AI valt onder zware verplichtingen. De AI Act maakt onderscheid:

• Low risk → nauwelijks verplichtingen

• Limited risk → transparantie verplicht

• High risk → uitgebreide eisen (documentatie, audits, menselijke controle)

Voorbeelden van high-risk:

• AI die sollicitanten selecteert

• AI die kredietwaardigheid bepaalt

• AI die gezondheidsdata analyseert

Gebruik je zulke toepassingen? Dan moet je aan strengere regels voldoen.

3. Maak een eenvoudige risicoanalyse

Ook kleine bedrijven moeten aantonen dat ze bewust omgaan met AI. Dat hoeft geen rapport van 100 pagina’s te zijn. Begin met een simpele lijst:

• Welke beslissingen neemt de AI?

• Kan dat mensen benadelen of uitsluiten?

• Is de AI uitlegbaar?

• Kan een mens ingrijpen?

Documenteer dit kort. Dat is al een belangrijke stap richting compliance.

→ Lees ook: AI impact assessment: hoe begin je?

4. Informeer je medewerkers

Zorg dat je team weet:

• dát AI wordt ingezet

• waar de risico’s zitten (bijvoorbeeld bias)

• hoe ze beslissingen kunnen controleren

Een korte training of interne uitleg kan al genoeg zijn. Zeker in kleinere organisaties is mondelinge uitleg vaak effectiever dan dikke handleidingen.

→ Bekijk onze AI-geletterdheid training voor teams.

5. Zorg voor documentatie

Bij een eventuele audit moet je kunnen laten zien:

• welke AI je gebruikt

• welke data je verwerkt

• hoe je risico’s hebt ingeschat

• welke maatregelen je neemt

Bewaar dit op één plek. Een simpel Word-document of mapje op je server kan al voldoende zijn, zolang je alles kunt overleggen.

→ Lees ook: Documentatie-eisen onder de EU AI Act uitgelegd

6. Houd je softwareleveranciers scherp

Veel kleine bedrijven kopen tools “as-a-service”. Maar ook dán blijft jouw bedrijf verantwoordelijk. Vraag leveranciers:

• welke AI in hun product zit

• of hun AI compliant is met de EU AI Act

• of ze documentatie kunnen aanleveren

Leg die afspraken eventueel vast in contracten.

7. Plan jaarlijkse check-ups

De EU AI Act gaat uit van een “levend systeem.” AI verandert snel, en risico’s ook. Plan daarom minimaal één keer per jaar een korte check:

• gebruiken we nieuwe AI-tools?

• zijn er nieuwe risico’s?

• is de wetgeving veranderd?

Zo voorkom je dat je straks voor verrassingen komt te staan.

Conclusie

De EU AI Act lijkt in eerste instantie vooral een zaak voor grote bedrijven. Maar ook kleinere organisaties moeten aantonen dat ze AI veilig, eerlijk en transparant gebruiken. Met deze checklist kun je snel zien waar je staat en welke stappen je moet zetten.

Begin klein, maar begin wél. Want onder de AI Act geldt: geen documentatie, geen compliance.

→ Wil je alles weten over de AI Act? Lees onze complete gids over de EU AI Act.