Dit hoor ik vaker dan je denkt: “Die AI Act is toch voor Big Tech? Wij zijn maar een bedrijf met twintig man.”

Nee. De AI Act geldt voor iedereen die AI gebruikt. En als je Microsoft 365 hebt, gebruik je AI. Copilot zit er standaard in. Dat ding vat je mails samen, stelt antwoorden voor en helpt bij je PowerPoints. En dan hebben we het nog niet eens over die drie collega’s die stiekem ChatGPT gebruiken om offertes te schrijven.

Goed nieuws: compliant worden is geen raketwetenschap. Je hoeft geen juridische afdeling op te tuigen en geen consultant in te huren die zes maanden door je organisatie struint. Het zijn vijf stappen. Praktisch, concreet, en te doen in een paar weken.

Maar eerst: waarom zou je?

Eerlijk? Omdat de boetes niet mals zijn. We praten over bedragen tot 35 miljoen euro of 7% van je wereldwijde omzet — afhankelijk van wat hoger is. Nu, als MKB’er ga je niet meteen die maximumboete krijgen. Maar de Autoriteit Persoonsgegevens begint in augustus 2026 met handhaven. En ze beginnen niet bij Google.

Ze beginnen bij de makkelijke gevallen. Bedrijven die niks geregeld hebben. Geen beleid, geen training, geen documentatie. Dat zijn de laaghangend fruit-targets. En dat wil je niet zijn.

Maar het gaat niet alleen om boetes. Het gaat ook om vertrouwen. Klanten, medewerkers, partners — iedereen wil weten dat je verantwoord met AI omgaat. En als je straks kunt laten zien dat je je zaken op orde hebt? Dat is een concurrentievoordeel.

Oké, genoeg motivatie. Laten we aan de slag gaan.

De 5 stappen

1

Inventariseer: welke AI-tools worden er al gebruikt?

Dit is waar de meeste bedrijven schrikken. Want je denkt misschien dat niemand AI gebruikt. Maar ondertussen:

  • Microsoft Copilot zit standaard in Microsoft 365 Business. Tenzij je het actief hebt uitgezet, is het er gewoon.
  • ChatGPT wordt door minstens een kwart van je medewerkers privé gebruikt voor werk. Gegarandeerd.
  • Google Gemini zit in Gmail en Google Workspace. Yep, ook dat is AI.
  • Je CRM-systeem, je boekhoudpakket, je e-mailtool — overal zitten inmiddels AI-features in.

Maak een simpele lijst. Welke tools? Wie gebruikt ze? Waarvoor? Het hoeft geen spreadsheet van honderd regels te zijn. Gewoon een helder overzicht. Dat is je startpunt.

Stel je voor: je ontdekt dat je recruiter al maanden cv’s door een AI-tool haalt om kandidaten te ranken. Dat valt onder hoog-risico AI. Goed dat je het nu weet, en niet pas als de AP langskomt.

2

Stel basisregels op

Je hebt nu je overzicht. Volgende stap: regels. En nee, dat hoeft geen document van veertig pagina’s te zijn. Een A4 kan genoeg zijn. Maar het moet er wel zijn.

Wat moet erin staan?

  • Wat mag er wel in AI-tools? Openbare informatie, conceptteksten, brainstorms — prima.
  • Wat mag er absoluut niet in? Persoonsgegevens van klanten, financiële data, medische informatie, vertrouwelijke bedrijfsstrategie.
  • Welke tools zijn goedgekeurd? Niet elke gratis AI-tool op internet is even veilig. Bepaal welke tools je organisatie officieel gebruikt.
  • Wie is verantwoordelijk? Wijs iemand aan die het AI-beleid bijhoudt. Dat hoeft geen fulltime baan te zijn — maar iemand moet het doen.

AI is als een stagiair: enorm behulpzaam, maar je moet wel even uitleggen wat de huisregels zijn. Anders gaat-ie enthousiast aan de slag met vertrouwelijke data en snap je pas achteraf wat er mis ging.

3

Train je team

Dit is de stap waar de AI Act het expliciet over heeft. Artikel 4 zegt het letterlijk: zorg dat je mensen AI-geletterd zijn. En dat betekent niet dat iedereen moet weten hoe een neuraal netwerk werkt.

Het betekent drie dingen:

  • Snappen wat AI doet. Het is geen waarheidsmachine. Het voorspelt het meest waarschijnlijke volgende woord. Dat is iets fundamenteel anders dan “het weet het antwoord.”
  • Weten wat je er niet in stopt. Persoonsgegevens, vertrouwelijke info, klantdata. Simpel, maar het moet gezegd worden. Expliciet.
  • Output kunnen checken. AI klinkt altijd zelfverzekerd. Ook als het complete onzin uitkraamt. Je team moet leren kritisch te zijn op wat eruit komt.

Bij mijn trainingen gebruik ik de CRAFT-methode: Context, Rol, Actie, Format, Toetsing. Een simpel framework waarmee iedereen — van directie tot receptie — direct betere resultaten krijgt uit AI-tools. En het mooie is: als je team snapt hoe ze AI goed gebruiken, gaan ze het ook veiliger gebruiken.

Eén middag. Dat is alles wat het kost. En daarna heb je een team dat weet wat het doet.

4

Documenteer alles

Dit is de stap die iedereen overslaat. En het is juist de stap waar de AP naar kijkt.

Want stel: de Autoriteit Persoonsgegevens klopt aan. Ze vragen: “Hoe zorgen jullie dat je medewerkers weten hoe ze met AI omgaan?” Dan wil je niet zeggen: “Eh, we hebben er een keer iets over gezegd in de kantine.”

Wat je wel wilt hebben:

  • Een AI-beleid. Het document uit stap 2. Gedateerd en ondertekend.
  • Trainingsrapportage. Wie is getraind? Wanneer? Wat is er behandeld?
  • Certificaten. Als bewijs dat je team de training heeft afgerond.
  • Een kennistoets. Optioneel, maar sterk. Het laat zien dat je niet alleen hebt verteld, maar ook hebt getoetst.

Klinkt als veel werk? Valt mee. Bij een goede training krijg je dit er allemaal bij. Rapport, certificaten, kennistoets — het hele pakket. Eén keer goed regelen, en je hebt je bewijs op orde.

5

Plan een jaarlijkse check

AI staat niet stil. Wat vandaag state-of-the-art is, is over zes maanden achterhaald. Er komen nieuwe tools bij, bestaande tools krijgen nieuwe features, en de risico’s veranderen mee.

Daarom: plan minimaal één keer per jaar een check-in. Dat hoeft geen groot project te zijn:

  • Zijn er nieuwe AI-tools in gebruik genomen? Voeg ze toe aan je inventarisatie.
  • Moet het beleid aangepast? Misschien zijn er nieuwe regels, of gebruikt je team tools op een manier die je niet had voorzien.
  • Refresher-training. Niet de hele training opnieuw, maar een update. Wat is er veranderd? Wat zijn de nieuwste valkuilen?
  • Nieuwe medewerkers. Iedereen die na de eerste training is begonnen, moet ook bijgepraat worden.

Zet het in je agenda. Gewoon één middag per jaar. Net als je brandoefening — niemand vindt het leuk, maar je bent blij dat je het gedaan hebt als het ertoe doet.

De tijdlijn: hoe lang heb je nog?

Even concreet. Dit zijn de data die ertoe doen:

2 feb 2025
AI-geletterdheid verplicht. Dit geldt nu al. Als je hier nog niks mee hebt gedaan, loop je achter.
2 aug 2025
Regels voor general-purpose AI-modellen (ChatGPT, Claude, Gemini).
2 aug 2026
Handhaving hoog-risico AI. Boetes worden uitgedeeld. Dit is je deadline.
2 aug 2027
Alle overige AI-regels volledig van kracht.

Je hebt dus nog tot augustus 2026 voor de grote klap. Maar AI-geletterdheid? Dat had eigenlijk al geregeld moeten zijn. Dus hoe eerder je begint, hoe beter.

Samengevat

Vijf stappen. Geen honderd. Geen jaar werk. Gewoon dit:

  1. Inventariseer welke AI-tools er worden gebruikt.
  2. Stel basisregels op — al is het maar één A4.
  3. Train je team — één middag, geen technisch verhaal.
  4. Documenteer alles — beleid, rapporten, certificaten.
  5. Plan een jaarlijkse check — AI verandert, je beleid ook.

Dat is het. Van nul naar compliant. Geen jargon, geen drama.

Hier kan ik helpen

Dit is precies wat ik doe bij Muurling. Ik help MKB-bedrijven om AI begrijpelijk, praktisch en compliant te maken. Geen ingewikkelde rapporten, geen zes maanden trajecten. Gewoon een helder plan, een goede training, en documentatie die je kunt laten zien als het ertoe doet.

Ik lever het complete pakket: training op maat, AI-beleid, trainingsrapport, certificaten en een kennistoets. In één dag geregeld. En ja, ik leg het uit in normale taal. Zonder afkortingen waar je niks aan hebt.

Benieuwd wat dat voor jouw bedrijf betekent? Laten we even bellen.

Wil je weten waar je staat?

In een kort gesprek kijk ik met je mee: wat heb je al geregeld, wat moet er nog gebeuren, en hoe pak je dat aan. Vrijblijvend.

Plan een belletje
Tim Muurling
Tim Muurling

Oprichter van Muurling. Helpt bedrijven AI begrijpelijk, praktisch en veilig in te zetten.

Meer over Tim →