10 concrete stappen tot compliance voor augustus 2026.
Niet alles in één keer. Deze checklist neemt je stap voor stap mee van inventarisatie tot governance. Werkbaar in een dagdeel voor MKB met alleen minimaal risico AI. Voor hoog risico inzet reken je op weken tot maanden.
Cursus + AI register template. SLIM subsidie mogelijk.
De checklist is gebaseerd op de AI Act, de richtlijnen van de Autoriteit Persoonsgegevens en best practices uit gespecialiseerde adviespraktijken. Voor elke stap: wat je doet, waarom en hoe lang het duurt.
Stap 1 tot 4 zijn voor iedereen verplicht. Stap 5 tot 7 zijn voor organisaties met hoog risico AI. Stap 8 tot 10 zijn governance en onderhoud.
Maak een lijst van elke AI tool die wordt gebruikt. Vergeet niet: ChatGPT op persoonlijke accounts, Copilot in Office, AI in je CRM, AI in je boekhoudsoftware, LinkedIn Recruiter, Grammarly, chatbots op je website. Reken op 2 tot 5 dagdelen voor een eerste pas.
Verboden, hoog risico, beperkt risico of minimaal risico. Per tool en per gebruiksgeval (dezelfde tool kan in twee categorieën vallen). Documenteer je redenering, dat is je primaire verdediging bij controle.
Welke tools mogen, welke data mag wel/niet, welke controles. Werk met een sjabloon, niet vanaf nul. Laat door medewerkers ondertekenen voor kennisname.
AI geletterdheidstraining van minimaal 45 minuten met certificaat. Voor elke medewerker die met AI werkt, ook degenen die zeggen het niet te gebruiken (Outlook Copilot telt). Documenteer training records.
Conformiteitsbeoordeling uitvoeren (intern of via notified body voor biometrie). Technische documentatie opstellen. EU database registratie. Voor de meeste MKB niet relevant, want geen hoog risico AI.
Fundamental Rights Impact Assessment voor publieke organisaties en aanbieders van essentiële diensten. Combineer met DPIA waar mogelijk. Reken op 1 tot 5 dagen werk per hoog risico systeem.
Bij hoog risico AI: een persoon die output kan beoordelen en overrulen. Niet zomaar 'manager keurt af', wel inhoudelijke betrokkenheid. Procesbeschrijving documenteren.
Chatbots labelen, AI besluiten uitleggen, deepfakes als zodanig markeren. Pas je privacyverklaring aan. Train klantcontact om duidelijk te zijn over AI inzet.
Hoe weet je dat een AI systeem nog goed werkt? Bouw een monitoring proces. Bij significante incidenten: melding aan toezichthouder binnen 15 dagen. Voor hoog risico verplicht.
Wie is verantwoordelijk voor AI Act compliance? Een DPO erbij, een compliance officer, een AI manager. Quartaal review van AI register, jaarlijkse review van beleid en training. Maak het systeem zelfdragend.
Vijf documenten zijn de kerndocumentatie voor AI Act compliance. Werk hieraan in deze volgorde.
Levend Excel of database overzicht van alle AI systemen. Per systeem: naam, leverancier, doel, risicocategorie, verantwoordelijke, datum laatste review.
Document van 3 tot 8 pagina's met afspraken: toegestane tools, data classificaties, controle eisen, escalatie route. Ondertekend door directie, kennisgenomen door medewerkers.
Per medewerker: certificaat of bewijs van afgeronde training. Geaggregeerd: overzicht wie wanneer welke training heeft gedaan.
Voor elk hoog risico AI: FRIA + DPIA, technische documentatie, conformiteitsdossier. Reken op 50 tot 200 pagina's per hoog risico systeem.
Wanneer ging er iets fout, wat was de impact, wat is de remediërende actie. Niet alleen wettelijke verplichting voor hoog risico, ook goede praktijk.
Onze cursus dekt artikel 4. In een middag aantoonbaar geletterd. Met certificaat.
Voor het MKB met alleen minimaal risico inzet: ja, stap 1 tot 4 en 8 tot 10 zijn in een dagdeel doorloopbaar. Voor hoog risico inzet: weken tot maanden afhankelijk van het aantal hoog risico systemen.
Niet noodzakelijk. Voor het MKB met minimaal risico is dit zelf doenbaar met goede sjablonen. Bij hoog risico inzet: een gespecialiseerde adviseur of AI compliance officer levert vaak meer dan hij kost.
Begin met stap 1 tot 4 (universele plicht) en zorg dat die ronde compleet zijn. Daarna pak je hoog risico systemen aan. De Autoriteit Persoonsgegevens zal naar verwachting bij MKB eerst waarschuwen, niet direct beboeten.
Ja. De AI Act geldt voor elke organisatie binnen de EU die AI inzet. Stichtingen, verenigingen, eenmanszaken: allemaal. Voor MKB en kleine non profits gelden lichtere eisen en lagere maxima boetes.
Cursus + AI register template + beleidsdocument. SLIM subsidie maximaal 80 procent.
Vrijwel elke organisatie moet aan de AI Act voldoen vóór augustus 2026. Laat je gegevens achter en je krijgt gerichte updates over deadlines, sjablonen en cursussen. Geen spam, geen nieuwsbrief.
Vanaf dan gelden de zwaarste verplichtingen. Begin nu.
Doe de gratis quickscanSLIM subsidie tot 80% mogelijk