Een oprichter uit Utrecht vroeg ons vorige week of haar AI-supportopstelling in augustus "AI-verordening-compliant" zou zijn. Drie verschillende consultancies hadden haar gemaild met AI Act readiness-pakketten, allemaal in de vierdubbele cijfers en met doorlooptijden van 90 dagen. We zeiden wat we tegen iedereen zeggen: lees de daadwerkelijke deadlines voordat je iemand betaalt, want de consultancy-markt is druk bezig regelgevingsangst om te zetten in facturen.
Deze post is de versie van dat gesprek die we mensen het liefst direct in de hand zouden drukken. Wat gaat er echt gebeuren op 2 augustus 2026, wat betekent het voor een Europees mkb-bedrijf met AI-support, en welke vragen kun je je leverancier het beste stellen.
Wat gebeurt er op 2 augustus 2026
De AI-verordening kent een gefaseerd tijdpad sinds ze is aangenomen. Twee data tellen voor support-tooling:
- 2 augustus 2025. Verplichtingen voor aanbieders van algemene AI-modellen (GPAI) zijn in werking getreden. Modelaanbieders, de bedrijven die de frontier-modellen daadwerkelijk trainen, moesten technische documentatie, auteursrechtelijke verklaringen en transparantieoverzichten gaan produceren.
- 2 augustus 2026. Het AI Office van de Europese Commissie krijgt volledige handhavingsbevoegdheid. Vanaf die datum kan de Commissie informatie opvragen, mitigaties opleggen, terugroepacties verplichten voor niet-conforme modellen en boetes opleggen tot 3% van de wereldwijde omzet (15 miljoen voor de grootste categorie).
Die datum in augustus 2026 is wat de consultancies uitvergroten. Hij is belangrijk. Hij is ook minder belangrijk voor mkb-bedrijven die AI-support inzetten dan de marketing doet vermoeden.
Dat zit zo. De verplichtingen die de Commissie nu kan handhaven, zijn vrijwel allemaal verplichtingen voor de upstream-modelaanbieders. Als jij een mkb-bedrijf bent dat een AI-supporttool inzet, ben je een gebruiker (deployer), geen aanbieder. Je directe verplichtingen zijn veel beperkter, en de meeste daarvan zijn verplichtingen die je al hebt onder de AVG en het bestaande consumentenrecht.
Wat je als deployer concreet moet doen
De deployer-verplichtingen van de AI-verordening voor algemene AI-toepassingen (en dat is bijna alle AI-support) komen neer op een klein lijstje praktische dingen. Vertaald uit regelgevingsjargon:
- Vertel klanten dat ze met AI praten. Artikel 50 transparantie. Als iemand met een AI-systeem interacteert, moet hij dat weten. In de praktijk is dat één zin in de openingsregel van je chatwidget, of een duidelijke bot-avatar, of "hallo, ik ben de AI-assistent van Keloa." De meeste tools regelen dit standaard. Controleer dat het bij jou ook zo is.
- Laat de AI geen beslissingen nemen met juridische gevolgen voor klanten zonder menselijke toetsing. Dit is de lijn tussen "AI heeft een refund voorgesteld" en "AI heeft een refund uitgevoerd." Bij de meeste mkb-supportopzetten werk je al zo, want je vertrouwt de bot niet toe om zelf refunds door te zetten. Houd dat zo.
- Bewaar logs van wat de AI doet, zeker in contexten met meer risico. Gespreksdumps, wat de AI als bron meekreeg, wat hij antwoordde. Standaard logging.
- Gebruik AI niet in de expliciet verboden categorieën. Social scoring, predictive policing, real-time biometrische ID in de openbare ruimte, enzovoort. Klantenservice staat niet op die lijst. Daar zit je goed.
Niets van dit alles vraagt om een traject van 90 dagen. Het vraagt om één interne A4 waarin staat hoe je de vier punten hierboven hebt geregeld, gehangen aan je bestaande AVG-verwerkingsregister. Kan je leverancier je niet, op papier, vertellen hoe zijn tool je helpt aan elk van die vier punten te voldoen, dan is dat het gesprek om aan te gaan, niet het consultancy-pakket.
Het stuk waar niemand over praat: sub-verwerker-wildgroei
Wat Europese mkb-bedrijven in 2026 echt laat struikelen is niet de AI-verordening zelf. Het is het gat tussen de AI-verordening, de AVG, en hoe AI-supporttools doorgaans gebouwd zijn.
In een typische AI-supportstack zit ergens een frontier-taalmodel, een retrieval-systeem, een vectorindex, een e-mailinfrastructuur, een cloudhost, een monitoringdienst, een analytics-pipeline en een betalingsverwerker. Veel van die diensten staan in de Verenigde Staten. Verschillende ervan leunen op elkaar in ketens die niet altijd zichtbaar zijn op de website van de leverancier.
Onder AVG-artikel 28 is elk van die diensten die persoonsgegevens van EU-burgers verwerkt een sub-verwerker. Je bent verplicht te weten wie ze zijn, waar ze zitten, en op welke juridische grondslag data de EU verlaat. Na Schrems II is de lat voor doorgifte buiten de EU zo hoog dat de meeste Europese compliance-officers ze liever helemaal vermijden zodra er een EU-resident alternatief is.
Dat is waar de AI-verordening een nieuwe rimpel toevoegt. Zodra de handhaving in augustus aanstaat, kan het AI Office onderzoek doen naar waar modellen getraind, gedeployd en geïnferred worden. Leveranciers die hier vaag over zijn geweest, gaan merken dat vaag zijn niet meer gratis is.
De praktische vraag voor jou, als mkb-er, is: waar gaat mijn data heen wanneer een klant een chatbericht stuurt. Wij zijn er open over, omdat het antwoord kort is. Je data wordt verwerkt op onze EU-cloudinfrastructuur (Amsterdam primair, Dublin als back-up). Inferentie loopt tegen frontier-taalmodellen met EU-resident endpoints. Onze sub-verwerkers-pagina noemt elke partij die de data raakt, met doel en locatie. Je leest het in een paar minuten.
Leveranciers die je zo'n lijst niet kunnen tonen, of die er een hebben waar de meeste namen Amerikaans zijn, overtreden niet noodzakelijkerwijs de wet. Het Data Privacy Framework biedt een grondslag voor doorgifte naar gecertificeerde Amerikaanse ontvangers. Maar je zult die positie moeten verdedigen aan je eigen klanten, je eigen auditors en, steeds vaker, de inkopers van je eigen klanten. EU-residency wordt het simpelere antwoord op een vraag die steeds vaker gesteld wordt.
Wat "EU-hosted" eigenlijk betekent (en niet)
De term verdient een opmerking, want hij is in de marketing inmiddels nogal opgerekt. "EU-hosted" heeft minstens drie betekenissen:
- De marketingwebsite staat in de EU. Niets zeggend. De site is een brochure.
- Een bepaalde tenant zit in de EU, maar inferentie loopt in de VS. Veel voorkomend bij Amerikaanse leveranciers die onder druk een EU-regio hebben toegevoegd maar het modelverkeer alsnog over de oceaan sturen. Lees de kleine letters. Loopt de inferentie niet EU-resident, dan loopt het AI-deel van je dienst dat ook niet.
- Alles staat in de EU: inferentie, retrieval, queues en operationele tooling. Dit is de versie die je een simpel antwoord op een Schrems-II-vraag geeft.
De default bij de meeste Amerikaanse AI-leveranciers is om inferentie te routen waar capaciteit het goedkoopst is, en dat is meestal niet de EU. Wij hebben vanaf dag één voor de derde optie gekozen, omdat het simpeler uit te leggen en makkelijker te auditen is. Het kostte ons wat latency en wat marge, en beide vinden we redelijke prijzen voor het gesprek dat we daarmee kunnen voeren met Europese kopers.
Wat dit voor jou betekent
Krijg je een AI-verordening-readinesspakket aangeboden, vraag dan welke deployer-verplichting jij op dit moment specifiek niet haalt. De meeste mkb-bedrijven met een fatsoenlijk geconfigureerde AI-supporttool zullen er geen kunnen noemen. Het werk dat te doen is, bestaat vooral uit documentatie: een alinea over hoe je AI bekendmaakt, een alinea over wat je AI wel en niet zonder menselijke toetsing mag, een vastlegging van wat je leverancier verwerkt en waar. Hang dat aan je bestaande verwerkingsregister. Je bent in een middag klaar.
Waar wel tijd in zit, voor én na augustus, is de sub-verwerkersvraag. Pak de lijst van je leverancier. Lees hem. Zit de helft in de VS, beslis of je dat kunt verdedigen. Kun je dat niet, dan is dát het belletje om te plegen, niet het readinesspakket.
Wil je zien hoe wij dit van begin tot eind hebben geregeld, op onze securitypagina staan dataresidentie, encryptie, sub-verwerkers, en de Verwerkersovereenkomst (DPA) die we aan iedere klant aanbieden. Of boek een demo en we lopen jouw specifieke compliance-vorm door. We zijn geen consultants en we factureren je niet voor het gesprek.