De EU AI Act is de eerste AI-specifieke wet ter wereld, in werking getreden op 1 augustus 2024. De wet reguleert het gebruik van AI-systemen op basis van risicoklassen en wordt gefaseerd ingevoerd tot 2 augustus 2027.

Wanneer gaat de AI Act volledig in?

De AI Act wordt gefaseerd ingevoerd. Sinds februari 2025 zijn verboden toepassingen niet meer toegestaan. Vanaf augustus 2026 gelden verplichtingen voor hoog-risico systemen. Op 2 augustus 2027 is alles volledig van kracht.

Welke AI-toepassingen zijn verboden?

Verboden zijn: AI voor sociale scoring, manipulatie van kwetsbare personen, ongerichte biometrische surveillance en predictive policing op basis van profilering.

Wat zijn de boetes voor de AI Act?

Boetes kunnen oplopen tot 35 miljoen euro of 7% van de wereldwijde jaaromzet voor verboden toepassingen. De AVG kent boetes tot 20 miljoen euro of 4% van de omzet.

Wat moet ik als MKB'er nu doen?

Breng in kaart welke AI je gebruikt, bepaal het risiconiveau via de Beslishulp AI-verordening, zorg voor AI-geletterdheid van medewerkers, check verwerkersovereenkomsten en documenteer je keuzes.

Hoe weet ik in welke risicoklasse mijn AI valt?

Gebruik de Beslishulp AI-verordening van het Ministerie van BZK. Door een aantal vragen te beantwoorden bepaal je of jouw AI-systeem onder de verordening valt en wat je verplichtingen zijn.

AI Privacy & Veiligheid

AI Wet- en Regelgeving Nederland: AVG, AI Act & Veiligheid (2026)

Laatst bijgewerkt: 19 maart 2026

Kort antwoord

Als je AI inzet in je bedrijf in Nederland heb je te maken met drie wetten: de AVG voor persoonsgegevens, de EU AI Act voor AI-specifieke regels, en sectorspecifieke veiligheidsregels. De meeste MKB-toepassingen vallen onder minimaal risico, maar je moet wel weten waar je staat.

Drie wetten die je moet kennen

Je wilt AI inzetten in je bedrijf. Maar wat mag er eigenlijk? Welke regels gelden er? En wat gebeurt er als je het fout doet? In dit artikel leggen we de drie belangrijkste wetten uit die van toepassing zijn wanneer je als Nederlands bedrijf met AI werkt: de AVG, de EU AI Act en sectorspecifieke veiligheidsregels. Geen juridisch jargon — gewoon helder uitgelegd.

1. De AVG (Algemene Verordening Gegevensbescherming)

De AVG geldt al sinds 2018 en regelt alles rondom persoonsgegevens. Zodra je AI gebruikt om persoonsgegevens te verwerken — denk aan klantnamen, adressen, e-mails, BSN-nummers — dan is de AVG van toepassing. De kernregels: je mag alleen gegevens verwerken als je daar een wettelijke grondslag voor hebt (zoals toestemming of een overeenkomst), je moet zo min mogelijk data verwerken (dataminimalisatie), en je moet het beveiligen.

Wat dit in de praktijk betekent: als je een AI-tool gebruikt die klantgegevens analyseert, moet je weten waar die data naartoe gaat, wie er toegang toe heeft, en hoe lang het bewaard wordt. Meer informatie vind je bij de Autoriteit Persoonsgegevens: autoriteitpersoonsgegevens.nl/themas/basis-avg/avg-algemeen/de-avg-in-het-kort

2. De EU AI Act (AI-verordening)

De EU AI Act is de eerste AI-specifieke wet ter wereld en is op 1 augustus 2024 in werking getreden. De wet wordt gefaseerd ingevoerd. Dit is de complete tijdlijn:

2 februari 2025 — Verboden AI-toepassingen zijn niet meer toegestaan. Alle medewerkers die AI gebruiken moeten AI-geletterd zijn.
2 augustus 2025 — Regels voor aanbieders van general purpose AI-modellen (zoals ChatGPT, Claude, Gemini).
2 augustus 2026 — Volledige verplichtingen voor nieuwe hoog-risico AI-systemen. Transparantieverplichtingen voor AI die met mensen communiceert. Overheidsorganisaties moeten aan hoog-risico eisen voldoen.
2 augustus 2027 — Alle regels volledig van kracht, inclusief AI in gereglementeerde producten (medische apparatuur, machines, speelgoed).
2 augustus 2030 — Bestaande hoog-risico AI-systemen bij overheidsorganisaties moeten uiterlijk nu voldoen.

3. Sectorspecifieke regels

Naast de AVG en AI Act gelden er in sommige sectoren extra regels. In de zorg geldt de Wet op de geneeskundige behandelingsovereenkomst (WGBO), in de financiële sector de Wet op het financieel toezicht (Wft), en in de juridische sector gelden beroepsgeheimregels. Als je AI inzet in deze sectoren, moet je rekening houden met deze aanvullende wetgeving. Het Ondernemersplein van de rijksoverheid biedt per sector een overzicht: ondernemersplein.overheid.nl/wetten-en-regels/ai-act

Risicoklassen van de AI Act — waar valt jouw toepassing?

De AI Act werkt met vier risicoklassen. Hoe hoger het risico, hoe strenger de regels. Een volledig overzicht van de risicogroepen vind je bij de Autoriteit Persoonsgegevens.

Onaanvaardbaar risico (verboden) — AI-systemen die mensen manipuleren, sociale scoring toepassen, of ongerichte biometrische surveillance uitvoeren. Deze zijn sinds februari 2025 verboden.
Hoog risico — AI in kritieke toepassingen zoals medische diagnostiek, kredietbeoordeling, personeelsselectie en rechtshandhaving. Strenge eisen: risicoanalyse, menselijk toezicht, technische documentatie en registratie in een EU-database.
Beperkt risico (transparantieverplichtingen) — AI-systemen die met mensen communiceren, zoals chatbots en AI-assistenten. Je moet duidelijk maken dat de gebruiker met AI te maken heeft, niet met een mens.
Minimaal risico — De meeste AI-toepassingen voor het MKB: spamfilters, AI-tekstgeneratie, procesautomatisering, data-analyse. Geen specifieke AI Act eisen, maar de AVG blijft van toepassing bij persoonsgegevens.

Wat moet je als MKB'er nu concreet doen?

Hieronder vijf concrete stappen om ervoor te zorgen dat je AI-gebruik binnen de regels valt.

1. Breng in kaart welke AI je gebruikt — Maak een overzicht van alle AI-tools die je bedrijf gebruikt. Denk aan ChatGPT, AI in je CRM, e-mailautomatisering, chatbots op je website. Per tool: welke data gaat erin, waar gaat die data naartoe, en wie is de aanbieder?
2. Bepaal het risiconiveau — Gebruik de Beslishulp AI-verordening van het Ministerie van BZK om per toepassing te bepalen in welke risicoklasse die valt: minbzk.github.io/Algoritmekader/ai-verordening De meeste MKB-toepassingen vallen onder minimaal of beperkt risico.
3. Zorg voor AI-geletterdheid — Sinds februari 2025 is dit verplicht: medewerkers die met AI werken moeten voldoende kennis hebben. Het Algoritmekader biedt praktische handvatten.
4. Check je verwerkersovereenkomsten — Als je een AI-tool gebruikt die persoonsgegevens verwerkt, heb je een verwerkersovereenkomst nodig met de aanbieder. De meeste grote aanbieders (Anthropic, OpenAI, Microsoft) bieden dit standaard aan.
5. Documenteer je keuzes — Leg vast waarom je welke AI-tool gebruikt, welke risico's je hebt geïdentificeerd en welke maatregelen je hebt genomen. Bij hoog-risico toepassingen is een DPIA (Data Protection Impact Assessment) verplicht.

Wat zijn de boetes?

De AI Act kent boetes tot 35 miljoen euro of 7% van je wereldwijde jaaromzet voor de ernstigste overtredingen (verboden AI-toepassingen). Voor andere overtredingen gelden lagere bedragen. De AVG kent boetes tot 20 miljoen euro of 4% van je jaaromzet. De Autoriteit Persoonsgegevens houdt hier toezicht op en handhaaft steeds actiever.

Handige bronnen en tools

Er zijn verschillende officiële bronnen die je helpen om de regels te begrijpen en toe te passen:

Autoriteit Persoonsgegevens — AI-verordening — Toezichthouder, risicoklassen, regels. autoriteitpersoonsgegevens.nl/themas/algoritmes-ai/ai-verordening
Digitale Overheid — AI-verordening — Rijksoverheid overzicht van de AI-verordening. digitaleoverheid.nl/overzicht-van-alle-onderwerpen/artificiele-intelligentie-ai/ai-verordening
Algoritmekader MinBZK — Beslishulp, tijdlijn, vereisten en tools. minbzk.github.io/Algoritmekader/ai-verordening
Ondernemersplein — AI Act — Regels per sector voor ondernemers. ondernemersplein.overheid.nl/wetten-en-regels/ai-act
Gids AI-verordening (PDF) — Uitgebreide gids van de rijksoverheid. open.overheid.nl/documenten/8d7b5ccb-41fc-4d92-a4c2-a7fa81e66bfb/file

Hoe AIFAIS hiermee omgaat

Bij AIFAIS bouwen we AI-oplossingen die AVG-proof zijn vanaf het ontwerp. Dat betekent: dataminimalisatie (we verwerken alleen wat nodig is), lokale verwerking waar mogelijk (persoonsgegevens verlaten je omgeving niet), verwerkersovereenkomsten met alle AI-aanbieders, en transparantie naar je klanten over het gebruik van AI.

Een voorbeeld: onze dossieranalyse tool voor advocaten anonimiseert alle persoonsgegevens lokaal in de browser, vóórdat het document naar de AI gaat. De AI ziet nooit echte namen of adressen.

Wil je AI inzetten binnen de regels?

We denken graag mee. In een proces-scan brengen we in kaart welke AI-toepassingen voor jouw bedrijf geschikt zijn — en hoe je dat doet binnen de wet- en regelgeving. Neem contact op via aifais.com/contact.

Veelgestelde Vragen over AI Wet- en Regelgeving Nederland: AVG, AI Act & Veiligheid (2026)

Gerelateerde Artikelen

AI Privacy & Veiligheid

GDPR en AI: Wat Moet Je Weten?

De GDPR stelt strenge eisen aan het gebruik van persoonsgegevens in AI-systemen. Organisaties moeten transparant zijn over geautomatiseerde besluitvorming, een rechtmatige grondslag hebben voor dataverwerking, en de rechten van betrokkenen respecteren.

Lees meer AI Privacy & Veiligheid

EU AI Act: Wat Betekent Het voor MKB?

De EU AI Act is de eerste uitgebreide AI-wetgeving ter wereld. De wet deelt AI-systemen in op basis van risico en wordt gefaseerd van kracht tussen 2025 en 2027. Voor het MKB betekent dit dat je moet beoordelen in welke categorie jouw AI-toepassingen vallen.

Lees meer

Vragen over AI voor jouw bedrijf?

Onze experts staan klaar om te helpen. Start met een gratis consult en ontdek wat AI voor jouw bedrijf kan betekenen.

Gratis Consult Bekijk Diensten

Gratis intake

Binnen 8 weken live

ROI garantie