EU AI Act-handhaving in Nederland: wat 10 toezichthouders betekenen voor het MKB

Waarom je dit nieuws niet mag or moet overslaan

Stel je voor: je runt een Nederlandse MKB-onderneming, vijftien medewerkers, en je gebruikt ChatGPT voor offertes en een AI-tool om CV’s voor te sorteren. Op 20 april 2026 presenteerde staatssecretaris Aerdts (Digitale Economie en Soevereiniteit) het voorstel voor de Uitvoeringswet AI-verordening (UAIA): tien markttoezichthouders, één hybride stelsel, met de Autoriteit Persoonsgegevens (AP) en de Rijksinspectie Digitale Infrastructuur (RDI) als coördinerende paar (Bron: Rijksoverheid). Goed nieuws. Maar ook: je moet weten wie er over jou gaat.

Belangrijk om te weten: het voorstel ligt nu ter internetconsultatie tot 1 juni 2026. Daarna gaat het naar de Raad van State en het parlement. De grote lijn — tien toezichthouders, AP en RDI centraal — is zeer waarschijnlijk de definitieve keuze, maar details kunnen nog schuiven.

Na dit artikel weet je welke toezichthouder jou raakt en welke drie dingen je deze maand moet regelen.

💡 Beginner-tip: Weet je nog niet precies wat de EU AI Act inhoudt? Lees eerst onze gids over de EU AI Act — daarin staat de verordening van A tot Z. Dit artikel gaat specifiek over hoe Nederland haar gaat toepassen, en wat dat voor jouw MKB betekent.

Waarom tien toezichthouders, en wat dat betekent

EU-landen kiezen verschillende modellen. Duitsland wijst via het KI-MIG-wetsvoorstel (februari 2026) de federale Bundesnetzagentur aan als centrale markttoezichthouder, met BaFin voor financiële AI. Frankrijk kiest — net als Nederland — voor een multi-authority-model: de DGCCRF als Single Point of Contact en coördinator, met CNIL (grondrechten), ARCOM (media) en ACPR (financieel) voor hun eigen domein. Nederland sluit daarbij aan, maar met een eigen accent: AI-toezicht hangt aan bestaande sector-regulators — je huidige toezichthouder krijgt er een AI-taak bij, met AP en RDI als coördinerende as.

De AP en RDI vormen samen de centrale as. De RDI is bovendien aangewezen als Single Point of Contact (SPOC): het officiële aanspreekpunt namens Nederland richting de Europese Commissie, het AI Board en andere lidstaten (Bron: RDI). Daaromheen zitten acht sector-specifieke toezichthouders: AFM (financiën), IGJ (zorg), Onderwijsinspectie, ACM (markt), NVWA (voedsel), IL&T (transport), SZW-inspectie (arbeid) en de Inspectie JenV (justitie en veiligheid).

De AP krijgt daarnaast specifiek toezicht op toepassingen zonder duidelijke bestaande toezichthouder: een groot deel van de hoog-risico AI-systemen, de transparantie-verplichtingen en verboden AI-praktijken. Voor die rol komt er een speciale AI-functionaris binnen de AP.

Dit heeft twee gevolgen voor jou. Eén: je kent waarschijnlijk al jouw toezichthouder — het wordt geen onbekende nieuwe naam. Twee: een bedrijf dat meerdere sectoren raakt (een zorgverzekeraar met AI-claimbeoordeling, bijvoorbeeld) kan met meerdere toezichthouders tegelijk te maken krijgen. Dat is waar de coördinatie via AP en RDI in beeld komt — één bedrijf, één aanspreekpunt, is de belofte.

Welke toezichthouder gaat over jouw situatie?

Snelle kaart op basis van je hoofdactiviteit of gebruik:

Jouw sector of AI-gebruik	Primaire toezichthouder
AI raakt persoonsgegevens (praktisch altijd)	Autoriteit Persoonsgegevens (AP)
Financiële dienstverlening	AFM
Zorg, medische hulpmiddelen	IGJ
Onderwijs	Onderwijsinspectie
Consumentenmarkt, telecom	ACM
Voedsel, product-veiligheid	NVWA
Transport, luchtvaart	IL&T
Arbeidsrelaties (recruitment, evaluatie)	SZW-inspectie
Justitie, politie, veiligheidsdiensten	Inspectie JenV
Technische infrastructuur (cloud, telecom, broadcast)	RDI

Voor het grootste deel van het MKB — iedereen zonder zwaar sector-specifiek toezicht — is de AP in de praktijk het aanspreekpunt. Want zodra AI personen raakt — werving, klantbeoordeling, marketing-segmentatie — is het ook een AVG-aangelegenheid, en die kennen ze daar in detail. Het wetsvoorstel versterkt dat: de AP krijgt expliciet toezicht op alle gebieden waar nog geen duidelijke toezichthouder bestond.

Een paar concrete voorbeelden, zodat je jezelf herkent:

• Webshop met AI-recommendations en klant-chatbot → ACM (consumentenmarkt) + AP (persoonsgegevens in gedragsprofielen).
• Accountantskantoor dat klantdossiers met AI samenvat → AP in de kern, AFM als er financieel toezicht-werk bij komt.
• Installatiebedrijf dat offertes met AI laat schrijven → AP als je klantdata verwerkt; verder zelden andere toezichthouders.
• Uitzendbureau of werving-MKB met AI-CV-scoring → SZW-inspectie (arbeidsrelaties) + AP (besluiten over personen).
• Huisartsenpraktijk met AI-triage of notitie-assistent → IGJ (zorg) + AP.
• Rijschool of opleider met AI-toetsbeoordeling → Onderwijsinspectie + AP.

Herken je jezelf in geen van deze? Dan is de AP vrijwel zeker je enige aanspreekpunt, en kun je de rest van dit artikel met minder stress lezen.

Wat moet een MKB concreet regelen?

Eerlijk: dit voelt als veel op één keer. Maar voor de meeste MKB’ers valt het mee. De EU AI Act kent vier risicocategorieën — verboden, hoog, beperkt, minimaal — en jouw AI-gebruik zit hoogstwaarschijnlijk in de onderste twee.

Kort uitgelegd, met één voorbeeld per categorie:

• Verboden — AI-toepassingen die grondrechten direct schenden. Denk aan social scoring van burgers of real-time biometrische identificatie in de openbare ruimte zonder wettelijke grondslag. Voor MKB vrijwel nooit van toepassing.
• Hoog risico — AI die beslissingen neemt over mensen met grote gevolgen: werving, kredietbeoordeling, medische diagnose, toelating tot onderwijs. Hier gelden DPIA’s, documentatie-plichten, menselijke toets en een CE-achtig markeringsregime.
• Beperkt risico — AI-output die mensen zien of mee interacteren, zoals chatbots of AI-gegenereerde teksten en beelden. Plicht: transparant zijn dat het AI is.
• Minimaal risico — interne tools zonder directe impact op personen, zoals AI die je agenda clustert of een eigen samenvatting maakt. Geen specifieke verplichtingen.

Bij “beperkt risico” gelden vooral transparantie-plichten: je moet mensen vertellen dat ze met AI te maken hebben. Voor veruit de meeste MKB-toepassingen — offerte-assistentie, klant-chatbots, standaard-samenvattingen — is dat het niveau waar je zit.

Drie dingen die je deze maand echt moet doen

Drie acties die je kunt zetten, elk binnen een werkdag.

1. Maak een AI-inventarisatie. Welke tools gebruik je, waarvoor, en welke beslissingen leunen op AI-output? Een accountantskantoor dat klantdossiers met AI samenvat heeft andere risico’s dan een installatiebedrijf dat offertes laat schrijven of een webshop met een productaanbeveling-bot. Een simpele spreadsheet met vijf kolommen is genoeg. Hou deze aan:

Tool	Proces waar je hem voor gebruikt	Betrokken persoonsgegevens	Risico-inschatting	Leverancier
ChatGPT	Offertes opstellen	Bedrijfsnamen, contactpersoon	Minimaal	OpenAI
Copilot	E-mail samenvatten	Klant-correspondentie	Beperkt	Microsoft
AI-CV-filter	Werving voorsorteren	Volledige CV’s	Hoog	(vul in)

Zodra je dit overzicht hebt, zie je in één oogopslag waar je uitzonderlijk oplet en waar het meevalt. Meer concrete MKB-voorbeelden vind je in onze gids AI voor MKB: vijf kansen in 2026.

2. Check je communicatie richting klanten. Als AI een chatbot-antwoord, een gegenereerde afbeelding of een aanbeveling produceert, moet de klant dat weten. Een regel in je algemene voorwaarden voldoet meestal niet; een zichtbare melding bij de output wel. Denk aan: “Dit antwoord is gegenereerd door AI en gecontroleerd door een medewerker.” Een webshop met AI-recommendations zet bij het advies: “Voorgesteld op basis van AI-analyse van jouw bezoekgedrag.” Een accountant die AI-samenvattingen naar de klant mailt, benoemt dat expliciet in de aanhef.

3. Lees je AI-leveranciers-contracten na. Veel tools — inclusief de grote spelers — hebben in de Enterprise-voorwaarden clausules over data-gebruik voor training. Kijk welke defaults je hebt: ChatGPT, Copilot en Notion AI kennen verschillende opt-outs. Een breder overzicht van welke tool bij welk type MKB past, vind je in onze vergelijkingsgids ChatGPT, Claude, Gemini en Copilot.

Lees onderstaand blok als je al met DPIA’s en verwerkersovereenkomsten werkt. Begin je net, sla gerust over.

⚡ Gevorderden: Let vooral op clausules in opt-out-vorm: standaard mogen ze trainen, tenzij jij expliciet afmeldt. ChatGPT Enterprise, Microsoft Copilot Business en Claude Team bieden verschillende defaults. Kijk niet alleen in de hoofdvoorwaarden — de DPIA-bijlagen en sub-processor-lijsten zijn waar de duivel in de details zit.

Boetes, proporties en in de praktijk

De nominale bedragen zijn pittig. Tot 35 miljoen euro of 7% van de wereldwijde jaaromzet voor het gebruik van verboden AI (social scoring, real-time biometrische identificatie in de publieke ruimte zonder juridische grond). Tot 15 miljoen of 3% voor high-risk overtredingen. Tot 7,5 miljoen of 1% voor foutieve informatie aan autoriteiten.

Maar dit zijn plafonds, geen startpunten. Voor MKB geldt de expliciete proportionaliteitsregel die in de verordening is verankerd. De meeste overtredingen beginnen met een waarschuwing en een aanpassings-termijn; alleen bij herhaling of kwade trouw worden boetes relevant.

De toezichthouders opereren ook pragmatisch. De AP publiceert richtsnoeren per sector; de RDI werkt aan een self-assessment-tool die je zelf kunt invullen om je risicocategorie te bepalen. De toon in de eerste gesprekken met bedrijven is, voor zover dat nu blijkt, coachend — niet bestraffend.

Lees deze tip als je nog geen vast beeld hebt van je eigen risicocategorie.

💡 Beginner-tip: Twijfel je hoe jouw AI-gebruik te classificeren valt? De AP werkt aan een gratis online classificatie-tool die naar verwachting vanaf najaar 2026 beschikbaar komt. Tot die tijd is de informatielijn van de AP al benaderbaar voor concrete vragen.

Tijdlijn — wat wanneer?

De EU AI Act wordt gefaseerd ingevoerd. Voor een MKB zijn deze momenten belangrijk:

Moment	Wat gebeurt er
Augustus 2024	Verordening in werking
Februari 2025	Verboden AI-praktijken direct afdwingbaar
Augustus 2025	Verplichtingen voor algemene AI-modellen (GPAI)
Augustus 2026	Hoofdverplichtingen voor AI-aanbieders
Augustus 2027	Volledige set verplichtingen voor high-risk AI

Voor het gemiddelde MKB is augustus 2026 het kritische moment. Dan moeten leveranciers van AI-diensten (ChatGPT, Copilot, Notion AI) transparant zijn over hoe hun modellen werken — en dat betekent dat ook jouw verwerkersovereenkomsten moeten aansluiten.

Het moeilijke stuk, high-risk AI, heeft nog tot augustus 2027 voor alle aspecten van toepassing zijn. Gebruikt jouw bedrijf AI voor recruitment, kredietbeoordeling of medische context? Start nu met compliance-voorbereiding. Volgend jaar is te laat.

Voor de meeste MKB’s is augustus 2026 het eerste compliance-kantelpunt — vanaf dat moment is “we wachten nog even af” geen verdedigbare houding meer.

Hoe Nederland zich verhoudt tot de EU

Het hybride stelsel is bewust gekozen. Het voorkomt dat er één super-regulator ontstaat die alles over AI weet — iets wat expertise-technisch onhaalbaar is — en het sluit aan bij de Nederlandse toezicht-cultuur. Sectorale kennis bij AFM, IGJ of ACM is dieper dan een centrale AI-toezichthouder ooit zou kunnen opbouwen.

De keerzijde: MKB’ers kunnen in principe met meerdere toezichthouders te maken krijgen. De AP/RDI-coördinatie moet dat voorkomen — één bedrijf, één aanspreekpunt — maar of dat in de praktijk werkt, moet nog blijken. De eerste gevalsbehandelingen in de tweede helft van 2026 worden het moment waarop we dit weten.

Interessant: deze keuze sluit aan bij de bredere trend om AI-governance te verdelen over bestaande structuren. Voor de ethische kant van die keuze schreven we eerder over hoe we AI menselijk houden — regelgeving is daar één laag van. Voor Nederland-specifieke context rond GPT-NL en de AI-fabriek is onze eerdere analyse van GPT-NL en de EU AI Act in Nederland een goed startpunt.

Samenvatting — de 5-minuten-versie

• Nederland handhaaft de EU AI Act via tien toezichthouders in een hybride stelsel, gecoördineerd door AP en RDI.
• Voor de meeste MKB’ers is de AP het primaire aanspreekpunt, want AI raakt vrijwel altijd persoonsgegevens.
• Boetes tot 35 miljoen euro of 7% van de omzet gelden proportioneel voor MKB — met waarschuwingen vóór sancties.
• Drie directe acties: inventariseer je AI-gebruik, verhelder je klant-communicatie, en lees je leveranciers-contracten na.
• Augustus 2026 is het eerste kritieke moment; high-risk AI-verplichtingen gelden volledig vanaf augustus 2027.

Checklist EU AI Act voor MKB

Vink af wat je al geregeld hebt. Alles “nee”? Dan heb je een middag werk — niet meer.

• AI-inventarisatie gemaakt (tool, proces, persoonsgegevens, risico, leverancier) — ja / nee
• Klanten zien zichtbaar bij de output wanneer AI meeschrijft of adviseert — ja / nee
• AI-leveranciers-contracten gelezen op training- en data-gebruik-clausules — ja / nee
• Primaire toezichthouder geïdentificeerd (AP en/of sector-toezichthouder) — ja / nee
• Eerste review-moment in je agenda gezet vóór augustus 2026 — ja / nee

Blijf op de hoogte

Wil je als eerste weten wanneer de AP-classificatietool live gaat en nieuwe richtsnoeren per sector verschijnen? Schrijf je in voor onze nieuwsbrief — één mail per week, alleen de nieuwsfeiten en acties die je kunt gebruiken.

Bronnen

• Rijksoverheid — Kabinet zet stap met toezicht op Europese AI-regels (20 april 2026)
• RDI — Toezicht op AI: balans tussen veiligheid en innovatie (20 april 2026)
• Autoriteit Persoonsgegevens — EU AI Act
• RDI — AI-verordening in Nederland
• EU AI Act — officiële tekst op EUR-Lex (Verordening 2024/1689)
• Rijksoverheid — AI-strategie en beleid