AI-geletterdheidsplicht voor het MKB: de complete gids (2026)

Geldt de AI-geletterdheidsplicht ook voor kleine bedrijven?

Ja. Artikel 4 maakt geen onderscheid naar bedrijfsgrootte. De verplichting om "passende maatregelen" te nemen voor AI-geletterdheid geldt voor elke organisatie die AI-systemen gebruikt. Van een eenmanszaak die ChatGPT inzet, tot een multinational met duizenden medewerkers.

Wat wél verschilt per bedrijfsgrootte is de proportionaliteit. De wet spreekt van "passende maatregelen, afgestemd op de context en de risico's." Een klein marketingbureau dat uitsluitend ChatGPT gebruikt voor tekst-suggesties heeft een andere invulling dan een middelgrote zorginstelling die AI inzet voor diagnose-ondersteuning.

Het MKB heeft dus niet minder verplichtingen. Maar de invulling mag proportioneel zijn.

"Proportioneel" betekent niet "niets doen." Het betekent dat de training en documentatie moeten aansluiten op hoe en waarvoor je AI gebruikt.

Wat is "passend" voor het MKB?

De wet definieert het niet tot op de komma nauwkeurig. Maar op basis van de AI Act, de bijbehorende richtsnoeren en jurisprudentie zijn er vier elementen die samen een proportioneel geletterdheidsbeleid vormen.

De vier verplichte elementen

Element 1: Begrip van wat AI is en hoe het werkt

Elke medewerker die AI-tools gebruikt moet op hoofdlijnen begrijpen wat AI is, hoe een AI-systeem tot een uitkomst komt, en dat AI-uitkomsten niet per definitie correct of neutraal zijn.

Dit is geen technisch college. Het gaat om basisinzicht: AI-systemen zijn geen zoekmachines en geen encyclopedieën. Ze genereren uitkomsten op basis van patronen, en die uitkomsten kunnen fout zijn.

Element 2: Kennis van risico's in de eigen werkcontext

Dit is waar het specifiek wordt. Niet generiek "AI kan fouten maken", maar wélke fouten in jóúw werkcontext.

Element 3: Bewustzijn van wettelijke verplichtingen

Medewerkers hoeven geen juristen te zijn. Maar ze moeten weten:

• Dat er regels gelden voor AI-gebruik
• Wat de basisregels zijn in hun werkcontext
• Hoe ze een incident melden als ze iets signaleren

Element 4: Bewijs van de training

Ook voor het MKB geldt: documentatie is de basis van compliance. Een certificaat per medewerker, bewaard in het personeelsdossier, is de sterkste bewijsvorm bij een audit. Zonder documentatie ben je afhankelijk van "wij denken dat onze mensen het wel weten", en dat is geen verweer.

Praktijkvoorbeelden per bedrijfsgrootte

Voorbeeld A: Marketingbureau, 12 medewerkers

AI-gebruik: ChatGPT voor teksten, Midjourney voor visuals, een AI-planning tool.

Wat passend is:

• Een gezamenlijke basistraining van 2 uur voor het hele team
• Interne richtlijn: gegenereerde content altijd controleren voor publicatie
• Certificaat per medewerker opgeslagen in personeelsdossier

Tijdsinvestering: 1 werkdag totaal, inclusief voorbereiding.

Voorbeeld B: Accountantskantoor, 45 medewerkers

AI-gebruik: AI-tools voor boekhoudanalyse, automatische rapportage, clientcommunicatie.

Wat passend is:

• Basistraining voor alle medewerkers
• Aanvullende module voor de medewerkers die directe AI-analyses uitvoeren
• Gedocumenteerd beleid over welke AI-tools zijn goedgekeurd en hoe uitkomsten worden geverifieerd
• Jaarlijkse herhalingscheck

Tijdsinvestering: 2 a 3 werkdagen voor de rollout, daarna structureel laag.

Voorbeeld C: Zorginstelling, 130 medewerkers

AI-gebruik: Diagnosehulp, roostering, patientcommunicatie.

Wat passend is:

• Verplichte basistraining voor alle medewerkers
• Aanvullende risicomodule voor medewerkers die AI gebruiken in het zorgproces
• Gedocumenteerd AI-beleid met duidelijke escalatieprocedures
• Halfjaarlijkse evaluatie van het beleid

Tijdsinvestering: Hoger door complexere context, maar ook het risico is hoger.

Stappenplan: zo pak je het aan

Stap 1: Inventariseer je AI-gebruik

Welke tools gebruik je? Voor welk doel? En welke medewerkers gebruiken ze?

Dit hoeft geen uitgebreid rapport te zijn. Een simpele tabel volstaat.

Stap 2: Kies een toegankelijke basistraining

Zoek een training die:

• In het Nederlands is
• Aansluit op de EU AI Act (niet op andere regelgeving)
• Afsluit met een individueel certificaat
• Online en op eigen tempo te volgen is

De investering per medewerker is doorgaans bescheiden, zeker als je het afzet tegen het alternatief van een boete of reputatieschade.

Stap 3: Bewaar de certificaten centraal

Maak een eenvoudige map aan, digitaal of fysiek, waar per medewerker het bewijs van training is opgeslagen. Voeg er een korte notitie bij over welke tools door die persoon worden gebruikt. Dat is het fundament van je AI-geletterdheidsbeleid.

Stap 4: Stel een intern beleid op (een A4)

Je hoeft geen juridisch document te schrijven. Een A4 met daarin:

• Welke AI-tools zijn goedgekeurd
• Hoe medewerkers uitkomsten moeten verifieren
• Wie het aanspreekpunt is voor AI-vragen
• Hoe een incident gemeld wordt

Stap 5: Plan een jaarlijkse herhalingscheck

AI-gebruik evolueert snel. Een jaarlijkse check of het beleid nog klopt met de praktijk is genoeg om actueel te blijven.

Wat kost het?

Voor een organisatie van 25 medewerkers die allemaal AI-tools gebruiken is een goede basistraining haalbaar voor een investering vergelijkbaar met een dag externe advisering.

De echte vraag is niet wat het kost, maar wat de kosten zijn van niet-compliance.

Boetes onder de AI Act voor kleine bedrijven zijn weliswaar lager dan voor grote organisaties, maar ook een boete van een paar ton is voor een kleine onderneming existentieel.

Veelgemaakte fouten

Fout 1: "Wij gebruiken geen echte AI" ChatGPT, Copilot, Google Gemini, AI-functies in je CRM of boekhoudpakket: dit zijn allemaal AI-systemen in de zin van de wet. De definitie is breed.

Fout 2: "Wij laten het aan de medewerkers zelf over" Eigen initiatief is mooi, maar telt niet als compliance. De verplichting ligt bij de organisatie, niet bij de individuele medewerker.

Fout 3: "Wij doen het wel als er handhaving is" De wet is al van kracht. Handhaving zonder documentatie is een veel zwakkere positie dan handhaving met documentatie.

Fout 4: "Een Engelstalige online cursus is genoeg" Misschien inhoudelijk, maar als de training niet specifiek aansluit op de EU AI Act en niet certificeerbaar is, heb je weinig aan het bewijs bij een audit.

Fout 5: "We hebben het in een teammeeting besproken" Een bespreking is geen certificaat. Documentatie vereist bewijs dat het bij elke individuele medewerker heeft plaatsgevonden.