Aan de slag

AI Act compliance-stappenplan voor Nederlands MKB (12 weken)

Een werkbaar 12-weken stappenplan voor MKB-organisaties die nog niets aan AI Act compliance hebben gedaan. Per week: wat doe je, wie heb je nodig, welk document staat aan het eind. Realistisch voor een 5-50 fte organisatie naast bestaand werk.

Jurgen Claassens·Founder, AuditAI·10 mei 2026·10 min lezen

Een AI Act compliance-stappenplan is een gestructureerd traject voor MKB-organisaties die nog niets georganiseerd hebben rondom hun AI-gebruik. Het idee: niet alles tegelijk willen, maar in 12 weken systematisch van 'wij weten niet wat we doen' naar 'wij hebben de papieren op orde en weten hoe we ze bijhouden'.

De aanname: een MKB-organisatie van 5-50 fte met 2-10 AI-systemen in gebruik (ChatGPT/Copilot/Claude + sectorspecifieke tools), één persoon (typisch DPO of MT-lid) die het traject trekt, en bereidheid van het team om eenmalig 30 min per persoon te investeren in training.

Fase 1 — Inventariseren (week 1-3)

Week 1 — Schaduw-AI-jacht

Doel: weten welke AI-tools er binnen de organisatie worden gebruikt, ook tools die niet officieel zijn ingekocht.

Stuur een korte enquete naar het team: 'Welke AI-tools gebruik je voor werk? Hoe vaak? Wat doe je ermee?' Forms / Tally / SurveyMonkey volstaat.
Inventariseer ook: SaaS-tools die AI embedded hebben (Microsoft 365 Copilot, Notion AI, Salesforce Einstein, Gmail Smart Compose).
Maak een ruwe Excel-lijst — naam tool, vendor, hoeveel medewerkers, welk type werk, welke data gaat erin.

Week 2 — AI-beleid opstellen

Doel: een document van 3-5 paginas dat de huisregels vastlegt. Wat mag wel, wat mag niet, wie is verantwoordelijk, hoe escaleer je.

Genereer een eerste versie via AuditAI of een van de AP-templates.
Pas aan op je organisatie: branche-specifieke risico's, eigen vendor-keuzes, escalatie-paden.
Laat 1 reviewer (jurist of DPO) lezen voor je 'm uitrolt.
Doel-pagina-aantal: 3-5. Langer wordt niet gelezen.

Week 3 — Eerste team-sessie + AI-register

Doel: het beleid presenteren aan het team en het AI-register opzetten.

30-min teamsessie: doorloop het beleid, geef voorbeelden, beantwoord vragen. Filmen voor wie er niet bij was.
Akkoord-vinkje per medewerker (kan via personeelsysteem, intranet, of een Form).
AI-register opzetten: alle tools uit week 1 toevoegen, eigenaar per tool aanwijzen. Status: draft voor systemen die nog niet zijn geclassificeerd.

Fase 2 — Classificeren + documenteren (week 4-9)

Week 4-5 — Classificatie per systeem

Doel: per AI-systeem in je register een EU AI Act-categorie bepalen (banned / hoog / beperkt / minimaal).

Doe per systeem een risicoscan of via een tool zoals AuditAI — typisch 5-15 min per systeem.
Documenteer de uitkomst per systeem in je AI-register: categorie + onderbouwing.
Banned-systemen: stop met inzet, vervangende tool zoeken, documenteer waarom je gestopt bent.
Hoog-risico-systemen: prioriteer in week 6-8 voor uitgebreide documentatie.

Week 6 — Basis-documenten voor minimaal/beperkt-risico

Voor de meeste tools (productiviteit, marketing, klantenservice) zijn dit voldoende:

1.Transparantie-statement — voor klant-facing tools (chatbots, content-generatie). Art. 50.
2.Klachtenprocedure — hoe een betrokkene een klacht over AI-besluit indient.
3.Verwerkersovereenkomst (DPA) met je AI-leverancier — vaak je leverancier heeft een template, eventueel addendum vanuit AuditAI.

Week 7-8 — Hoog-risico-documenten (alleen indien van toepassing)

Per hoog-risico systeem (Bijlage III):

FRIA — grondrechten-effectbeoordeling, vóór ingebruikname.
DPIA — eventueel gecombineerd met FRIA.
Technische documentatie — Bijlage IV: trainingsdata, architectuur, performance-metrics.
Logging-policy — wat 6+ maanden bewaard wordt.
Human-oversight-protocol — wie kan het systeem overrulen, hoe.
Incident-response-plan — escalatie bij serious incidents (art. 73).

Week 9 — Reviewer-pass + correcties

Doel: alle documenten door een tweede paar ogen halen.

Interne reviewer: collega DPO of jurist die niet aan de drafts heeft gewerkt.
Externe reviewer (optioneel maar aanbevolen voor hoog-risico): 2-4 uur jurist die een sample bekijkt.
AuditAI doet automatisch een AI-reviewer-pass op gegenereerde documenten — flagging van ontbrekende elementen, juridische inconsistenties, plaatshouders die nog ingevuld moeten.

Fase 3 — Operationaliseren + onderhouden (week 10-12)

Week 10 — Training compleet maken

Doel: AI-geletterdheid (Art. 4) bewijsbaar voor het hele team.

Iedere medewerker doorloopt minimaal de basis-modules (zie Art. 4-artikel).
Specifieke rollen krijgen extra modules — AuditAI-training heeft 4 paden (eindgebruiker / bouwer / leidinggevende / compliance).
Certificaat per medewerker archiveren — datum + modules + score.
Deelnemers-overzicht voor het management dashboard.

Week 11 — Audit-pack + governance

Doel: alles bij elkaar op één plek + governance-cyclus inrichten.

Per AI-systeem een audit-pack ZIP — alle documenten in één bundel.
Governance-rolverdeling: wie is eigenaar per systeem, wie is reviewer, wie escaleert.
Reviewer-cyclus: kwartaalcheck (eigenaar nog actief, documenten nog actueel, certs nog geldig).
Wettelijke-update-monitoring: AP-werkagenda + Digital-strategy.eu volgen. AuditAI doet dit automatisch via daily AP-scan.

Week 12 — Eerste reviewer-cyclus + lessons learned

Doel: de cyclus draaien om te bevestigen dat hij werkt, en bijsturen waar nodig.

Per AI-systeem 10-min review met de eigenaar: nog steeds in gebruik? Wijzigingen? Issues?
Documenteer de uitkomst in het register (laatste check-datum, opmerkingen).
Plan volgende reviewer-cyclus over 3 maanden in het kalender.
Schrijf een korte 'lessons learned' — wat ging makkelijker dan gedacht, wat moeilijker — voor de volgende keer.

Geschatte totaalkosten voor MKB

Realistische kosteninschatting 12-weken traject
Post	DIY	Met AuditAI	Volledig uitbesteed
Eigen tijd (DPO/MT)	30-40 uur	12-16 uur	5-8 uur
Documenten genereren	€0 (templates)	€39-89/mnd × 3 mnd	€2.000-5.000
Jurist-reviewer (sample)	€500-1.500	€500-1.500	Inclusief
Training-platform	€0 (intern)	Inclusief in tier	€500-2.000
Totaal	€500-1.500 + tijd	€600-1.700 + minder tijd	€7.500-15.000 + minder tijd

Veelgestelde vragen

Kan ik in minder dan 12 weken klaar zijn?

Ja, als je een single-persoon-organisatie bent met 1 AI-tool kun je in 2-3 weken alles op orde hebben. 12 weken is geschat voor MKB met 5-50 fte en 2-10 tools waar je naast bestaand werk doorheen moet.

Wat als ik een hoog-risico-systeem heb dat al in gebruik is?

Niet panieken, wel actie ondernemen. FRIA + bijbehorende documenten doorzetten in week 7-8 van het traject; tijdelijke maatregelen treffen (extra menselijke review, logging aanzetten) totdat het op orde is. Documenteer waarom je tijdelijk doorgaat — dat is je verdediging als toezichthouder vragen stelt.

Wat als wij nog geen DPO hebben?

Onder de AVG niet altijd verplicht, maar bij hoog-risico AI sterk aan te raden. Voor MKB kun je beginnen met een interne contactpersoon AI-compliance (geen formele DPO), en escaleren naar een externe DPO-as-a-service als de complexiteit toeneemt. Tarieven typisch €1.000-2.500/mnd.

Welke tools / SaaS gebruik ik voor het traject?

Je hebt nodig: een AI-register (Excel kan, AuditAI doet dit beter), een document-store (SharePoint/Google Drive), een enquete-tool voor week 1 (Forms/Tally), en een trainings-platform (eigen LMS, AuditAI-modules, of een derde partij). Probeer geen aparte 'compliance-tool' bovenop te plaatsen — een geintegreerde aanpak werkt sneller.

Wanneer schakel ik een advocaat in?

Bij hoog-risico systemen (sample-review op FRIA + DPIA), bij specifieke sectorale vragen (zorg/finance/overheid waar overlap is met MDR/Wft/Awb), en bij incidenten of toezichthouder-correspondentie. Niet voor de standaard documenten — daar is een goed template + interne review afdoende.

Verder lezen