Een Amsterdamse startup die AI-tools bouwt voor arbeidsmarktanalyse heeft achttien maanden en ruim €150.000 besteed aan compliance-voorbereiding voordat het product werd gelanceerd. Een concurrent in Canada, die dezelfde markt bedient maar zonder Europese operaties, heeft die investering niet gemaakt. Dat verschil illustreert de kernspanning die de EU AI Act creëert voor Europese startups en MKB-bedrijven: reële kosten die concurrenten buiten Europa niet hoeven te maken, tegenover een geloofwaardig compliance-kader waar enterprise-klanten en publieke inkopers steeds vaker om vragen als voorwaarde voor een contractrelatie.
Of die afruil gunstig uitpakt voor een specifiek bedrijf hangt sterk af van de context. Een startup die spamfilters of AI-gestuurde ontwerpsoftware bouwt, heeft vrijwel geen nieuwe compliance-verplichtingen. Een startup die AI bouwt voor kredietbeslissingen, medische diagnostiek of personeelsselectie, heeft het volledige pakket verplichtingen van hoofdstuk III van de wet. De meeste MKB-bedrijven zitten ergens tussenin, en de vraag welke kant de balans doorslaat, is voor veel van hen nog onbeantwoord.
De risicoklasse die alles bepaalt
De risicogebaseerde aanpak van de AI Act betekent dat compliance-verplichtingen radicaal verschillen afhankelijk van wat het AI-systeem doet, niet alleen hoe het is gebouwd. De vierdeling van onacceptabel naar hoog, beperkt en minimaal risico bepaalt of een startup nauwelijks nieuwe verplichtingen heeft of een compliance-programma moet opbouwen dat qua omvang lijkt op wat de AVG voor grotere organisaties heeft betekend.
Onacceptabele risico-systemen zijn verboden. Dat betreft sociale scoringssystemen die mensen rangschikken op basis van gedrag in niet-gerelateerde contexten, AI-systemen die mensen manipuleren via subliminale technieken die hun bewuste afweging omzeilen, en vrijwel alle real-time biometrische identificatie in de openbare ruimte. Geen enkel MKB-bedrijf zou dit moeten bouwen; als een productbeschrijving raakvlakken heeft met een van deze categorieën, is juridisch advies dringend noodzakelijk.
Hoog-risico systemen, gedefinieerd in annex III van de wet, vormen de categorie met de zwaarste compliance-last voor startups die in deze ruimte opereren. Annex III omvat acht domeinen: biometrische identificatie en categorisering, beheer van kritieke infrastructuur, onderwijs en beroepsopleidingen, werkgelegenheid en personeelsbeheer, essentiële privé- en publieke diensten waaronder krediet en verzekeringen, rechtshandhaving, migratie en grensbeheer, en de rechtsbedeling. Veel B2B-software voor HR, financiële dienstverlening of de publieke sector valt in een van deze categorieën, ongeacht of de ontwikkelaars hun product ooit als "hoog-risico AI" hebben beschouwd.
Voor systemen met beperkt risico, hoofdzakelijk chatbots en deepfake-genererende tools, gelden primair transparantie-eisen: kenbaar maken dat gebruikers met AI communiceren en AI-gegenereerde content labelen. Die vereisten vragen aanpassingen in het productontwerp maar vereisen niet de uitgebreide documentatie en conformiteitsbeoordeling van hoog-risico systemen.
Wat hoog-risico compliance in de praktijk betekent
Voor startups die hoog-risico AI-systemen bouwen, legt de wet een uitgebreid pakket verplichtingen op dat begint tijdens de ontwikkeling en doorloopt gedurende de gehele levensduur van het product.
Artikel 9 vereist een risicobeheersysteem dat geen eenmalige analyse is maar een doorlopend proces gedurende de volledige levenscyclus van het systeem. Dit betekent gedocumenteerde risicoidentificatie en -evaluatie voor de inzet, risicomitrigatie die in het systeemontwerp is ingebouwd, en testen om te verifiëren dat die mitigaties werken. Het risicobeheersysteem moet worden bijgewerkt wanneer het systeem significant verandert of wanneer na de inzet nieuwe risico's worden geïdentificeerd.
Artikel 10 stelt data governance-vereisten voor trainings-, validatie- en testdata. De data moet relevant en representatief zijn, vrij van fouten die kunnen leiden tot discriminerende of anderszins schadelijke uitkomsten, en moet worden beoordeeld op mogelijke biassen. Voor startups die trainen op publiek beschikbare datasets betekent dit dat ze moeten evalueren of die datasets de volledige populatie vertegenwoordigen die door het systeem wordt geraakt; in de praktijk is dat vaak niet het geval.
Technische documentatie conform artikel 11 en annex IV moet de algemene beschrijving van het systeem omvatten, het ontwikkelingsproces, de trainingsmethodologie, de validatieresultaten, de mogelijkheden en beperkingen, en de gebruiksaanwijzing. Die documentatie is niet alleen voor intern gebruik: ze moet beschikbaar worden gesteld aan nationale markttoezichtautoriteiten op verzoek, en deployers die het systeem afnemen hebben recht op voldoende informatie om de compliance van het systeem te beoordelen.
Conformiteitsbeoordeling conform artikel 43 moet worden afgerond voordat een hoog-risico systeem op de markt wordt gebracht. Voor de meeste hoog-risico systemen is zelfbeoordeling door de aanbieder toegestaan. Voor een kleine deelcategorie, waaronder biometrische identificatiesystemen, is conformiteitsbeoordeling door een derde partij (een aangemelde instantie) vereist.
De bepalingen die specifiek voor MKB gelden
De wet bevat specifieke bepalingen die de positie van kleine en middelgrote ondernemingen adresseren, omdat de compliance-last bij hen disproportioneel zwaar valt.
Artikel 57 verplicht lidstaten om AI-sandboxen te etableren die MKB-bedrijven prioritaire toegang geven. Sandboxen zijn gecontroleerde omgevingen waar aanbieders AI-systemen kunnen ontwikkelen en testen in reële omstandigheden, met begeleiding van toezichthouders, zonder dat de volledige conformiteitsbeoordeling al is afgerond. De sandbox ontheft organisaties niet van compliance-verplichtingen, maar biedt een mechanisme om tijdens de ontwikkeling regulatoire uitleg te krijgen over lastige interpretatie-vragen, in plaats van compliance-tekortkomingen te ontdekken na de lancering. Nederland heeft een uitgewerkt vormvoorstel gepubliceerd; de sandbox moet uiterlijk augustus 2026 operationeel zijn.
De vereenvoudigde technische documentatie die annex IV toestaat voor MKB-bedrijven, laat een compactere vorm van de vereiste documentatie toe, waarmee de administratieve last wordt verminderd zonder de inhoudelijke verplichting te elimineren. Conformiteitsbeoordelingskosten die aangemelde instanties in rekening brengen, moeten worden aangepast aan de behoeften van MKB-bedrijven, wat in de praktijk lagere tarieven betekent.
Nationale autoriteiten zijn verplicht bewustmakings- en trainingsactiviteiten te organiseren die specifiek zijn afgestemd op MKB-behoeften, en moeten begeleiding en advies geven aan MKB-bedrijven die door de compliance-eisen navigeren. Bij het bepalen van sancties voor overtredingen moeten lidstaten rekening houden met MKB-belangen om proportionaliteit te waarborgen.
De open-source uitzondering: smaller dan ze lijkt
Aanbieders die AI-systemen uitbrengen onder vrije open-source licenties zijn vrijgesteld van de meeste verplichtingen onder de wet, mits het systeem niet als hoog-risico systeem op de markt wordt gebracht en niet in de categorieën voor beperkt-risico transparantie-verplichtingen valt. Die uitzondering is significant voor startups die een open-source model combineren met commerciële dienstverlening.
De uitzondering kent echter belangrijke beperkingen. Ze geldt niet voor general purpose AI-modellen met systemisch risico, de categorie die artikel 51 definieert als grote taalmodellen getraind met meer dan 10^25 floating-point operaties. Aanbieders van zulke modellen, ook als die open-source zijn, hebben documentatie-, test- en meldingsverplichtingen. En de uitzondering beschermt niet de downstream deployer die een open-source model inzet in een hoog-risico context. Als een startup een recruitmenttool bouwt op basis van een open-source taalmodel en dat inzet voor consequente arbeidsbesluiten, is die startup aanbieder van een hoog-risico systeem met de bijbehorende verplichtingen, ongeacht de licentie van het originele model.
De echte concurrentiedynamiek
De zorg dat de AI Act Europese AI-bedrijven benadeelt ten opzichte van concurrenten uit de VS, China of andere regio's is deels terecht en deels overdreven. Voor minimale en beperkte risicocategorieën die de meeste consumenten-AI-producten omvatten, is de compliance-last feitelijk bescheiden: het gaat om openbaarmakingsmechanismen die goed productontwerp sowieso al zou implementeren.
Voor hoog-risico AI is de concurrentiedynamiek complexer. Enterprise-klanten, met name in de financiële sector, de zorg en de publieke sector, vereisen van leveranciers steeds vaker dat zij naleving van regelgeving kunnen aantonen als voorwaarde voor een inkoopbeslissing. Een startup die een grondige conformiteitsbeoordeling heeft voltooid en uitgebreide technische documentatie kan overleggen, staat sterker bij deze afnemers dan een concurrent die dat niet heeft, ongeacht waar die concurrent is gevestigd.
De meer reële concurrentiezorg is het tijdvoordeel. Compliance kost tijd die internationale concurrenten niet hoeven te besteden. Een hoog-risico AI-product dat zonder compliance-werk in zes maanden op de markt had kunnen zijn, vergt er twaalf met het volledige compliance-traject. In snel bewegende markten kan die vertraging bepalen of een startup marktpositie verovert of verliest aan sneller bewegende alternatieven.
Praktische stappen voor MKB-bedrijven
De eerste prioriteit voor elk AI-bedrijf is een heldere classificatie van het systeem onder de risicolagen van de wet. Dat is niet altijd vanzelfsprekend, en een verkeerde inschatting in beide richtingen heeft kosten: het onderschatten van risicoblootstelling creëert compliance-aansprakelijkheid, terwijl het overschatten ervan leidt tot onnodige compliance-uitgaven die beter aan productontwikkeling worden besteed. Gebruik de risk assessment tool om die analyse te structureren.
Voor hoog-risico systemen is het waardevolste wat een startup vroeg kan doen, compliance-vereisten inbouwen in het ontwikkelingsproces in plaats van ze achteraf aan te passen. Dit betekent data governance-documentatie bijhouden vanaf het begin van modeltraining, logging-architectuur implementeren voor de inzet in plaats van erna, en menselijk toezichtmechanismes ontwerpen als onderdeel van de productinterface in plaats van ze er achteraf aan te hangen. Compliance-by-design is aanzienlijk goedkoper dan compliance-by-retrofit.
Voor startups die regulatoire zekerheid zoeken over specifieke interpretatie-vragen, is de AI-sandbox het juiste instrument. Lidstaten zijn verplicht sandboxen operationeel te hebben voor augustus 2026, en de sandbox biedt een pad om feedback van toezichthouders te krijgen of een specifieke ontwerpkeuze aan een specifieke regulatoire vereiste voldoet, wat aanzienlijk waardevoller is dan een juridisch advies dat de toezichthouder niet bindt.
Voor financieringsronden en partnerships is de AI Act-compliance-positie steeds vaker een due diligence-vraag. Investeerders die zijn geconfronteerd met AVG-non-compliance in portefeuillebedrijven begrijpen het juridische en regulatoire risico van ontoereikende compliance-documentatie. Een coherent compliance-programma aantonen, ook als het nog niet compleet is, maakt deel uit van de verantwoorde governance die investeerders in gereguleerde technologiebedrijven steeds vaker verwachten.
De tijdsdruk is reëel. De kernverplichtingen voor hoog-risico systemen gelden vanaf 2 augustus 2026. Voor MKB-bedrijven die hoog-risico AI bouwen is dat geen verre deadline: de tijd die nodig is voor een risicobeheersysteem, compliant data governance, technische documentatie en een conformiteitsbeoordeling wordt gemeten in maanden. Wie dat proces laat start, creëert tijdsdruk die kwaliteitscompromissen waarschijnlijker maakt. Compliance parallel aan productontwikkeling starten in plaats van erna is de aanpak die MKB-bedrijven de beste kans geeft om op schema de markt te bereiken met beheerste regulatoire blootstelling.
Hoe MKB-bedrijven de waardeketen in hun voordeel gebruiken
Een vaak over het hoofd gezien aspect van de AI Act is dat de verplichtingen verdeeld zijn over de waardeketen. Niet alle verplichtingen rusten op de MKB-aanbieder zelf; een deel wordt gedeeld met deployers, importeurs en distributeurs. Dat biedt kleine bedrijven mogelijkheden om compliance-lasten te verdelen, mits ze hun contractuele relaties goed organiseren.
Een startup die een hoog-risico AI-systeem bouwt en verkoopt aan grotere deployers, kan contractueel vastleggen dat deployers verantwoordelijk zijn voor specifieke verplichtingen die de AI Act aan deployers toewijst, zoals de FRIA (Fundamental Rights Impact Assessment), het organiseren van menselijk toezicht conform artikel 14, en de rapportage van incidenten via de in artikel 73 beschreven kanalen. Dat verlicht de operationele last na marktintroductie aanzienlijk. De startup draagt zorg voor technische documentatie, conformiteitsbeoordeling en CE-markering; de deployer draagt zorg voor het correcte gebruik in zijn specifieke context.
De EU heeft Model Contractual Clauses (MCC-AI) gepubliceerd als startpunt voor aanbieder-deployer contracten. Er zijn twee varianten: een uitgebreide versie voor hoog-risico systemen en een lichtere versie voor overige AI-toepassingen. MKB-bedrijven die deze clausules als basis gebruiken voor hun leverancierscontracten, kunnen aantonen dat zij de waardeketen-verplichtingen serieus nemen, zonder die clausules steeds opnieuw van nul op te schrijven.
Financieringsimplicaties: de AI Act als due diligence factor
Investeerders in AI-startups, met name in Series A en later, zijn na meerdere GDPR-boetes in hun portefeuilles beter bewust van het regulatoire risico van non-compliance. De AI Act voegt een nieuwe dimensie toe aan due diligence: wat is het risiconiveau van de systemen die de startup bouwt, wat is de compliance-positie, en welke aansprakelijkheidsposities zijn gecreëerd door contractuele afspraken met deployers?
Voor hoog-risico AI kunnen de maximale boetes op grond van artikel 99 oplopen tot 3% van de wereldwijde jaaromzet voor inbreuken op de verplichtingen van hoofdstuk III, en tot 7% voor inbreuken op de verboden van artikel 5. Voor startups met beperkte omzet kunnen de absolute plafonds van respectievelijk €15 miljoen en €35 miljoen al richtinggevend zijn. Investeerders die de compliance-positie niet beoordelen als onderdeel van due diligence, nemen een reëel risico op portefeuillewaarde die overnight kan verdampen bij een toezichthoudersinvestigatie.
Een coherent compliance-programma, zelfs als het nog niet volledig is, is een positief signaal in due diligence: het toont dat het management de regulatoire risico's begrijpt en actief beheert. Voor B2B-startups die verkopen aan enterprise-klanten is dit bovendien een verkoopargument: grote afnemers, met name in de publieke sector en de financiële sector, zullen compliance-bewijslast eisen als voorwaarde voor contractsluiting.
Sector-specifieke voorbeelden voor startups in hoog-risico domeinen
Een startup die AI bouwt voor arbeidsmarktmatching, het automatisch suggereren van kandidaten voor vacatures, valt onder Annex III, categorie 4 (werkgelegenheid en personeelsbeheer). Dat betekent dat artikel 10 data governance-vereisten oplegt: de trainingsdata moet representatief zijn voor de volledige relevante arbeidspopulatie, inclusief groepen die historisch ondervertegenwoordigd waren in succesvolle aanwerving. Een model getraind op historische aanwervingsbeslissingen waarbij vrouwen of mensen met een migratieachtergrond stelselmatig werden afgewezen, repliceert die discriminatie tenzij actief gecorrigeerd. De startup moet dit kunnen aantonen via de technische documentatie van artikel 11.
Een startup die AI-gestuurde kredietbeoordeling bouwt voor fintech-platforms, valt onder Annex III, categorie 5 (essentiële private diensten). De aanbieder moet vóór marktintroductie een conformiteitsbeoordeling uitvoeren, technische documentatie opstellen die de modelarchitectuur, trainingsdata, validatieresultaten en bekende beperkingen beschrijft, en een risicobeheerssysteem inrichten dat doorloopt gedurende de levensduur van het systeem. Deployers die het systeem integreren in hun platform zijn deployers die zelf aan de vereisten van artikel 26 moeten voldoen.
Een startup die AI bouwt voor predictieve gezondheidsmonitoring via wearables, valt afhankelijk van de exacte functie mogelijk onder Annex III (als het systeem bijdraagt aan diagnose of behandeladvies) of onder de Medical Device Regulation als stand-alone software. De samenloop van de AI Act met sectorale wetgeving is een cruciaal aandachtspunt: voor medische AI-systemen gelden de verplichtingen van de AI Act bovenop de verplichtingen van MDR 2017/745, niet in plaats ervan.
Wat nu te doen
Startups en MKB-bedrijven die AI bouwen of inzetten, hebben baat bij een concrete prioriteitenlijst. Ten eerste: classificeer uw systemen. Dat is de meest tijdbesparende eerste stap, want het bepaalt welke verplichtingen relevant zijn. Gebruik de risk assessment tool als startpunt.
Ten tweede: als uw systeem hoog-risico is, begin dan nu met de technische documentatie. Het opbouwen van documentatie conform Annex IV is een proces van maanden, niet weken, en het kost significant meer als het achteraf moet worden gereconstrueerd dan wanneer het parallel aan de ontwikkeling wordt bijgehouden.
Ten derde: gebruik de AI-sandbox zodra die in uw lidstaat beschikbaar is. Nederland moet conform artikel 57 een operationele sandbox hebben voor augustus 2026. Die sandbox biedt de mogelijkheid om in directe dialoog met de toezichthouder interpretatie-vragen op te lossen voordat compliance-verplichtingen formeel gelden, wat het risico op handhaving na lancering aanzienlijk vermindert.