Meer dan een derde van het Nederlandse MKB gebruikt al kunstmatige intelligentie. Chatbots beantwoorden klantvragen, AI schrijft offertes, algoritmen helpen bij planning. De adoptie gaat snel — maar het beleid loopt ver achter. Slechts 22% van de MKB-bedrijven die AI inzetten heeft formele, gehandhaafde regels opgesteld. De overige 78% werkt met informele afspraken of helemaal niets. Dat is geen IT-probleem. Het is een bestuurs- en aansprakelijkheidsprobleem. En de wetgever heeft intussen wél zijn huiswerk gedaan.
1. De kloof tussen AI-gebruik en AI-beleid
Nederland digitaliseert. Uit de Monitor Digitale Economie 2024 blijkt dat 37% van het MKB AI-toepassingen gebruikt — een forse stijging ten opzichte van voorgaande jaren. Tegelijkertijd toont onderzoek van Sharp dat bijna 47% van medewerkers AI-tools gebruikt zonder dit intern te melden. Shadow AI: collega’s die ChatGPT gebruiken voor klantemails, AI-tools die bedrijfsdata verwerken in de cloud, zonder dat de directeur het weet.
Die combinatie — snelle adoptie, geen overzicht — creëert een blinde vlek. Je weet niet welke data de AI ziet. Je weet niet wat de AI communiceert namens jouw bedrijf. En als er iets misgaat, weet je niet wie er verantwoordelijk is.
Een digitale volwassenheidsanalyse brengt precies in kaart waar je organisatie staat op dit vlak — inclusief de risicogaten die je nu nog niet ziet.
2. Wat er in de praktijk misgaat
In 2024 won een Canadese klant een rechtszaak tegen Air Canada. De chatbot van de luchtvaartmaatschappij had hem foutieve informatie gegeven over een nabestaandentarief. Air Canada stelde dat de chatbot een “onafhankelijke entiteit” was. Het tribunaal verwierp dat argument: een bedrijf is verantwoordelijk voor wat zijn AI communiceert, punt.
Dit is geen uitzondering. IBM rapporteerde in 2025 dat 13% van organisaties een beveiligingsincident meldde waarbij AI-modellen of -applicaties betrokken waren. Van die groep had 97% geen adequate toegangscontroles voor hun AI-systemen ingesteld.
De patronen die terugkeren: AI geeft een antwoord op basis van verouderde of verkeerde data. Twee afdelingen hanteren verschillende definities van hetzelfde cijfer — de AI kiest er één. Gevoelige klantdata wordt verwerkt door een AI-tool die niemand formeel heeft goedgekeurd. Als het dan misgaat, kan niemand uitleggen hoe het antwoord tot stand is gekomen.
3. De EU AI Act geldt ook voor jou
Veel MKB-directeuren beschouwen de EU AI Act als grote-bedrijven-wetgeving. Dat klopt niet. De wet is per 1 augustus 2024 in werking getreden. Verboden toepassingen gelden per 2 februari 2025. De verplichting om medewerkers AI-geletterd te maken is al actief. Voor hoog-risico AI-toepassingen — denk aan HR-selectie, kredietbeoordeling, veiligheidsmonitoring — gelden per 2 augustus 2026 strenge eisen.
Onderzoek van KVK (september 2025) toont dat ondernemers nauwelijks stappen zetten. Tegelijkertijd kent de wet boetes tot €35 miljoen of 7% van de wereldwijde jaaromzet. Onwetendheid is geen verweer.
Vijftig procent van de Nederlandse bedrijven kent de AI-wetgeving niet, aldus ChannelConnect. Dat is een risico dat je als ondernemer actief moet adresseren.
4. Vijf stappen, niet vijftig
AI governance klinkt als een groot project. Dat is het niet, als je het praktisch aanpakt. Vijf maatregelen dekken de meeste risico’s af:
- Bepaal welke data de AI mag gebruiken — leg dit schriftelijk vast, ook voor externe tools
- Schrijf voor elke KPI één definitie op — één definitie, niet drie per afdeling
- Zet een naam naast elke AI-beslissing — wie is verantwoordelijk als dit antwoord fout is?
- Stel toegangsregels in — welke medewerker mag welke AI-uitvoer zien of gebruiken?
- Log alles — elk antwoord moet terug te traceren zijn naar een databron
Dit is geen compliance-oefening. Het is de minimale basis om AI verantwoord te schalen — en om bij een incident te kunnen uitleggen wat er is gebeurd.
Conclusie
AI biedt het MKB echte voordelen: snelheid, schaalbaarheid, lagere kosten. Maar zonder beleid zijn dat voordelen op krediet. De rekening komt als een klant een fout antwoord krijgt, als een audit vastloopt, of als een toezichthouder vraagt wie er verantwoordelijk is.
De vraag is niet of je AI gebruikt. De vraag is of jouw organisatie klaar is voor de consequenties ervan.
Neem contact op om te bespreken hoe je AI-governance praktisch inricht — passend bij de schaal en het tempo van jouw bedrijf.
