flowful.ai
Contacteer ons
ENFR
Terug naar de blog
EU AI ActConformiteitBelgiëRegelgevingTrends 2026

EU AI Act: conformiteitsgids voor Belgische kmo's

Praktische gids over de EU AI Act voor Belgische kmo's: risicocategorieën, conformiteitschecklist en belangrijke deadlines om op te anticiperen.

Gepubliceerd op
EU AI Act: conformiteitsgids voor Belgische kmo's

De EU AI Act is al van kracht en de handhavingstermijnen naderen snel. Bent u een Belgische kmo die AI gebruikt voor klantenondersteuning, e-mailautomatisering of interne workflows, dan moet u weten waar u staat. Het goede nieuws: de meeste AI-toepassingen van kleine bedrijven vallen onder categorieën met een laag risico.

Dit artikel biedt u een uitleg van de verordening in klare taal, een praktische conformiteitschecklist en specifieke bronnen voor Belgische bedrijven. Bij Flowful bouwen we elke dag AI-automatisering voor kmo’s, en we ontwerpen onze systemen vanaf dag één met conformiteit voor ogen. Dit is wat we geleerd hebben.

Disclaimer. Flowful bouwt AI-automatisering, we zijn geen advocaten of conformiteitsconsulenten. Dit artikel deelt wat we leerden tijdens het opstellen van onze eigen AI Act-positie, zodat kmo’s geïnformeerde vragen kunnen stellen aan hun juridisch adviseur. Het AI Act-kader is nog in beweging (Digital Omnibus-akkoord in afwachting van goedkeuring). Verifieer met een specialist voordat u handelt naar een specifieke verplichting.

EU AI ACT — RISICOCLASSIFICATIE MINIMAAL RISICO E-mailautomatisering · Antispam · Workflows Documentverwerking · Aanbevelingen · Voorspellingen BEPERKT RISICO Klantchatbots · Spraakagenten AI-gegenereerde content · Deepfakes HOOG RISICO Werving · Krediet · Verzekering Onderwijs · Biometrie ONAANVAARDBAAR — VERBODEN Van kracht sinds 2 feb 2025. Sociale scoring, emotie-AI op het werk, gezichtsscraping. VOLLEDIGE CONFORMITEIT Bijlage III tegen 2 dec 2027. Conformiteitsbeoordeling + EU-registratie. TRANSPARANTIE (Artikel 50) AI-gebruik melden. Toegang tot een mens bieden. Deepfakes en teksten van openbaar belang labelen. GEEN SPECIFIEKE VERPLICHTINGEN Documentatie en opvolging als goede praktijk. AI-geletterdheid (Art. 4) blijft verplicht. De meeste kmo's

Wat is de EU AI Act?

De EU AI Act (Verordening 2024/1689) is het eerste volledige juridische kader ter wereld voor AI. Gepubliceerd in het Publicatieblad op 12 juli 2024, van kracht sinds 1 augustus 2024. Het classificeert systemen op basis van risico: hoe hoger het risico, hoe strenger de regels. De beleidspagina van de Commissie vindt u hier.

Belangrijke data, inclusief de uitstellen die werden goedgekeurd door de Digital Omnibus on AI (politiek akkoord van 7 mei 2026, in afwachting van formele goedkeuring door de Raad en het Parlement):

  • 2 feb 2025: Verboden praktijken verboden. AI-geletterdheid (Artikel 4) van toepassing.
  • 2 aug 2025: GPAI-regels van kracht. Praktijkcode gepubliceerd op 10 juli 2025.
  • 2 aug 2026: Governance, sancties, GPAI-handhaving en AI-geletterdheid starten allemaal.
  • 2 december 2027 (nieuw): Hoogrisicoverplichtingen Bijlage III (uitgesteld vanaf augustus 2026).
  • 2 augustus 2028 (nieuw): Hoogrisicoverplichtingen Bijlage I (uitgesteld vanaf augustus 2027).

Voor Belgische kmo’s zijn de onmiddellijke data februari 2025 (controleer dat u geen verboden praktijk hanteert) en augustus 2026 (AI-geletterdheid en sancties). De hoogrisicoverplichtingen vallen nu eind 2027, maar wacht niet.

De vier risicocategorieën

De AI Act deelt systemen in vier niveaus in, weergegeven in de piramide hierboven. Hoe hoger u komt, hoe strenger de regels. Hieronder wat elk niveau betekent voor een kmo.

Onaanvaardbaar risico (verboden)

Sociale scoring, subliminale manipulatie, biometrische identificatie in real time in openbare ruimtes (met zeldzame uitzonderingen voor rechtshandhaving), emotieherkenning op het werk of op school, niet-gerichte scraping van gezichtsbeelden. Voor kmo’s: zeer onwaarschijnlijk dat u een van deze dingen doet. Maar controleer elke tool die beweert emoties te detecteren, betrouwbaarheidsscores toe te kennen of gezichtsherkenning te doen, en vraag indien nodig juridisch advies.

Hoog risico (zware verplichtingen)

Vermeld in Bijlage III: HR/wervingsselectie, kredietscoring, risicobeoordeling en tarifering van levens- of ziekteverzekeringen, toegang tot onderwijs, essentiële openbare diensten, rechtshandhaving, migratie, biometrie buiten real time. Plus AI-veiligheidscomponenten in gereguleerde producten onder Bijlage I (medische hulpmiddelen, voertuigen, machines). Voor kmo’s: als u sollicitanten selecteert, kredietwaardigheid beoordeelt of ingrijpende beslissingen over individuen neemt, zit u hier waarschijnlijk. De verplichtingen van Hoofdstuk III (risicobeheer, datagovernance, technische documentatie, menselijk toezicht, conformiteitsbeoordeling, registratie in de EU-databank) gelden vanaf 2 dec 2027 voor Bijlage III en 2 aug 2028 voor Bijlage I.

Beperkt risico (transparantieverplichtingen)

Klantgerichte chatbots, virtuele assistenten, deepfakes en bepaalde door AI gegenereerde teksten over onderwerpen van openbaar belang, plus emotieherkenning of biometrische categorisering waar deze niet verboden zijn. Voor kmo’s: meld gebruikers dat ze met een AI praten, en label deepfakes of AI-teksten die gepubliceerd worden om het publiek te informeren. Verplichting onder Artikel 50, eenvoudig in te voeren.

Minimaal risico (geen specifieke verplichtingen)

Antispamfilters, ondersteund opstellen van e-mails, workflowautomatisering, productaanbevelingen, voorraadprognoses, documentclassificatie, ondersteunde vertaling. Voor kmo’s: zowat alles wat u dagelijks gebruikt. Geen verplichte stappen. Documenteer toch wat u draait en waarom.

Een apart spoor: generatieve AI (ChatGPT, Claude, Gemini)

Generatieve AI-modellen (GPAI) volgen een apart regime naast de vier risiconiveaus, van toepassing sinds 2 augustus 2025. De aanbieders ervan moeten een samenvatting van de trainingsdata publiceren, het Europese auteursrecht respecteren (met name de opt-out voor tekst- en datamining van Artikel 4(3)), en technische documentatie leveren aan downstreamgebruikers. De grootste modellen (boven 10²⁵ FLOPs aan trainingsrekenkracht) hebben bijkomende verplichtingen rond systeemrisico. Voor kmo-gebruikers die ChatGPT, Claude of Gemini in een workflow inzetten: de praktische impact blijft beperkt. Blijf ze gebruiken, pas de transparantieverplichtingen van Artikel 50 toe (gegenereerde content labelen, AI melden aan gebruikers), en noteer in uw AI-inventaris welk model wat afhandelt.

Wat dit betekent voor Belgische kmo’s

Als u AI-chatbots gebruikt voor ondersteuning, e-mailautomatisering, workflowtools of documentverwerking, vallen uw toepassingen vrijwel zeker onder minimaal of beperkt risico. U bent waarschijnlijk in orde. Maar “waarschijnlijk” is geen strategie. Vier redenen om er toch aandacht aan te besteden:

  1. U zou zonder het te weten hoogrisico kunnen zijn. HR die cv’s selecteert, verkopers die leads scoren die kredietbeslissingen voeden, elke ingrijpende beslissing over individuen: de classificatie hangt af van de toepassing, niet van de technologie.

  2. Aanbieder of gebruiksverantwoordelijke, de rol bepaalt de verplichtingen. De AI Act verdeelt de verantwoordelijkheid tussen aanbieders (wie een AI-systeem ontwikkelt of op de markt brengt) en gebruiksverantwoordelijken (wie het onder eigen gezag gebruikt in een professionele context). De meeste kmo’s zijn gebruiksverantwoordelijken, soms beide tegelijk. Aanbieders dragen het leeuwendeel van de hoogrisico- en GPAI-verplichtingen; gebruiksverantwoordelijken moeten de gebruiksinstructies van de aanbieder volgen, de werking monitoren, logs bijhouden, en in een hoogrisicocontext een effectbeoordeling op de grondrechten uitvoeren onder Artikel 27. Zet een generieke tool in in een hoogrisicocontext en de last valt op u.

  3. De Belgische handhaving komt eraan. Het BIPT is de belangrijkste markttoezichtautoriteit, de FOD Economie coördineert de implementatie, en de CSA is een van de eenentwintig Artikel 77-instanties voor de grondrechten (audiovisuele media in de Franstalige Gemeenschap). België miste de governance-deadline van augustus 2025; de handhaving start op 2 augustus 2026. Boetes onder Artikel 99: tot 35M EUR of 7% van de wereldwijde omzet (verboden praktijken), 15M / 3% (hoog risico), 7,5M / 1% (foutieve informatie). Kmo’s en start-ups betalen het laagste van de twee bedragen, maar dat blijft aanzienlijk.

  4. Klanten zullen vragen beginnen te stellen. B2B-kopers, vooral grote bedrijven en de overheid, zullen naar uw AI-conformiteitspositie informeren. Voorbereid zijn is een voordeel.

Praktische conformiteitschecklist

Zeven concrete stappen om vandaag al te beginnen. Dit zijn basisgoede praktijken die we zelf toepassen, geen vervanging voor een formele conformiteitsbeoordeling. Geen advocatenkantoor permanent nodig.

  1. Inventariseer uw AI-systemen. Lijst elke tool op die u draait, inclusief SaaS van derden. Noteer wat het doet, welke data het verwerkt, wie geraakt wordt en wie het levert. U kunt geen risico beoordelen dat u niet kent.
  2. Classificeer elk systeem. Drie vragen: beïnvloedt het ingrijpende beslissingen over personen, interageert het met gebruikers die mogelijk niet weten dat ze met een AI praten, kan het manipuleren of kwetsbaarheden uitbuiten? Drie keer “nee” plaatst u in minimaal of beperkt risico. Eén “ja”, controleer Bijlage III en graaf dieper.
  3. Voer transparantie in. Meld AI aan gebruikers (chatbots, spraakagenten). Label deepfakes en door AI gegenereerde teksten die gepubliceerd worden om het publiek te informeren. Bied een weg naar een mens. Verplichting onder Artikel 50 voor systemen met beperkt risico. Illustratieve of marketingbeelden hoeven niet gelabeld te worden.
  4. Houd de mens in de lus. Laat AI-output nakijken voor verzending of beslissing. Bouw escalatiepaden. Laat medewerkers ingrijpen. Verplicht en technisch voor hoog risico; goede praktijk overal elders. Voor de technische kant, AI-output betrouwbaar genoeg maken om naar te handelen, zie onze nota over betrouwbare AI-systemen.
  5. Documenteer alles. Inventaris, classificatie, motivering, transparantie- en toezichtsmaatregelen, incidenten, GDPR-register. Documentatie is de ruggengraat van conformiteit. De conformiteitschecker van het Future of Life Institute is een goed gratis startpunt.
  6. Herbekijk uw leverancierscontracten. Classificeert de leverancier het risiconiveau? Levert hij de technische AI Act-documentatie? Wie draagt de conformiteitsbeoordeling? Wat gebeurt er met uw data? Waar wordt ze verwerkt? Een leverancier die niet kan antwoorden is een alarmsignaal.
  7. Train uw team. De verplichting van AI-geletterdheid Artikel 4 geldt sinds 2 feb 2025. Het personeel moet begrijpen welke AI-tools het gebruikt, hoe ze in grote lijnen werken, wat de grenzen zijn en wat uw intern beleid is. Doctoraat niet vereist.

GDPR en de EU AI Act werken samen

Als u al GDPR-conform bent, draagt het grootste deel van het analytische werk over: DPIA’s ≈ AI Act-risicobeoordelingen. Dataminimalisatie en doelbinding ≈ AI Act-datagovernance. Artikel 22 ≈ AI Act-transparantieverplichtingen. Recht op menselijke tussenkomst ≈ AI Act-toezicht door de mens.

Waar de AI Act verder gaat: technische normen op het systeem zelf (nauwkeurigheid, robuustheid, cyberveiligheid, technische documentatie). De GDPR regelt de data; de AI Act regelt het systeem. Start geen twee parallelle projecten. Integreer het AI Act-werk in uw bestaande GDPR-kader, zelfde team, zelfde documenten.

Hoe Flowful AI-conformiteit aanpakt

Bij Flowful ontwerpen we web- en interne chatbots, AI-telefoonreceptionisten en e-mailautomatisering voor kmo’s in België en Frankrijk (een AI-first helpdesk, TicketFlow, en een AI-ready afsprakentool, Flowcal, komen binnenkort). We ontwerpen onze systemen vanaf dag één met conformiteit voor ogen. We zijn geen juridisch kantoor. Wat volgt beschrijft hoe we bouwen, geen juridisch advies.

  • EU-first hosting. Onze workflow-infrastructuur draait op Hetzner (Duitsland). AI-inferentie, spraak en transactionele e-mail lopen via een beperkt aantal zorgvuldig geselecteerde verwerkers, onder DPA’s met passende doorgiftegaranties (Standaardcontractbepalingen of technische controles zoals geen training en geen retentie). Op verzoek kunnen we de verwerking beperken tot uitsluitend Europese aanbieders of opensourcemodellen op dedicated infrastructuur draaien. De actuele lijst van verwerkers staat in onze DPA.
  • Geen training op uw data. Elke verwerker is geconfigureerd om training op klantgegevens uit te schakelen; de instellingen per leverancier zijn gedocumenteerd in onze DPA.
  • De mens in de lus waar het telt. Onze E-mailautomatisering kan geconfigureerd worden met menselijke goedkeuring voor verzending, en we raden dat aan voor uitgaande of impactvolle flows. Onze spraakagenten escaleren naar een persoon wanneer de vraag buiten het bereik valt.
  • AI Act-niveau per pakket. Onze Webchatbot, onze AI-receptionist en onze Interne chatbot vallen onder Beperkt risico: elk gesprek opent met een duidelijke melding dat het om een AI gaat en biedt toegang tot een mens, precies wat Artikel 50 werkelijk vraagt. Onze E-mailautomatisering valt onder Minimaal risico. We kunnen menselijke goedkeuring voor verzending toevoegen afhankelijk van de toepassing. We bouwen geen hoogrisicosystemen onder Bijlage III (werving, kredietscoring, verzekeringstarifering, toegang tot onderwijs) zonder formeel conformiteitsplan.
  • DPA beschikbaar op verzoek. Dekt de GDPR- en AI-verplichtingen, inclusief de geen-trainingclausule en de lijst van verwerkers. Neem contact op.

Specifieke bronnen voor België

Regelgeving en overheid

  • BIPT: De belangrijkste markttoezichtautoriteit in België voor de AI Act. Hier zal de handhaving van de verordening plaatsvinden voor de meeste aanbieders en gebruiksverantwoordelijken, met een uniek contactpunt voor operatoren van hoogrisicosystemen.
  • FOD Economie: Coördineert de Belgische implementatie van de AI Act. De specifieke AI Act-sectie biedt een gids voor ondernemers, een kmo-gerichte campagne en een downloadbare pdf.
  • Gegevensbeschermingsautoriteit (GBA): De Belgische GDPR-toezichthouder. Aangezien AI-conformiteit en gegevensbescherming sterk overlappen, blijft de GBA relevant voor vragen over AI-gerelateerde gegevensverwerking.
  • Coalitie AI4Belgium: Een initiatief met meerdere belanghebbenden dat de AI-strategie van België publiceerde. Hun bronnen omvatten praktische richtlijnen en sectorale aanbevelingen.

Regionale steun voor innovatie

  • Innoviris (Brussel): Het Brusselse openbare financieringsorgaan voor innovatie. Biedt cheques en financieringsprogramma’s specifiek voor AI. Bent u een Brusselse kmo die AI verkent, dan kunnen ze helpen een conforme implementatie van bij de start te financieren.
  • Digital Wallonia (Wallonië): De Waalse digitale strategiehub. Beheert de programma’s Start IA en Tremplin IA, en publiceert praktische gidsen voor AI-adoptie.
  • VLAIO (Vlaanderen): Het Vlaamse Agentschap Innoveren en Ondernemen. Biedt R&D-subsidies en kmo-steunprogramma’s die van toepassing zijn op AI-projecten.

Praktische tools

  • EU AI Act Explorer: Een onafhankelijke bron met een doorzoekbare en geannoteerde versie van de volledige verordening. Handig om specifieke artikelen en vereisten op te zoeken.
  • Compliance Checker van het Future of Life Institute: Een gratis zelfevaluatietool die u helpt bepalen of uw AI-systeem als hoogrisico kan worden beschouwd onder de AI Act.

We publiceerden ook een gids om uw AI-project in België te financieren, die de subsidies en premies behandelt die kunnen helpen om de kosten te dekken van AI-oplossingen die van bij de start conform zijn.

En nu?

Een realistisch tijdpad voor een Belgische kmo:

  • Nu: inventaris, controle op afwezigheid van verboden praktijken, start van de AI-geletterdheidstraining, herziening van leverancierscontracten.
  • Tegen juni 2026: risicoclassificatie afronden, indien van toepassing hoogrisicoremediëring starten, GDPR-documentatie bijwerken, zodat u klaar bent wanneer AI-geletterdheid en het sanctieregime op 2 augustus 2026 in werking treden.
  • Doorlopend: gedelegeerde handelingen, uitvoeringshandelingen en Belgische richtsnoeren opvolgen. Documentatie up-to-date houden.

Voor de meeste Belgische kmo’s met standaard bedrijfsautomatisering is de last beheersbaar. Begin nu, classificeer eerlijk, maak van documenteren een gewoonte.

Dit artikel is een inleiding, geen conformiteitsbeoordeling. Voor een formele audit werkt u samen met een juridisch kantoor of specialist. Plant u door AI aangedreven automatisering en wilt u die bouwen met deze verplichtingen van bij de start ingebouwd, neem dan contact op.

Klaar om uw bedrijf te transformeren met AI?

Laten we bespreken hoe we u kunnen helpen uw doelen te bereiken.

Neem contact op