U gebruikt waarschijnlijk al AI. Een chatbot om een e-mail op te stellen. Een tool die een document samenvat. Een assistent die vragen beantwoordt. Misschien al langer dan u beseft.
En u bent niet de enige. Miljoenen Europese ondernemers doen hetzelfde. Snel, handig, gratis of bijna gratis. Het werkt. Waarom zou u er bij stilstaan?
Omdat er iets gebeurt wat de meeste ondernemers nog niet op hun radar hebben. Europa heeft de afgelopen jaren een reeks wetten gebouwd die samen één ding zeggen: de manier waarop u met data en AI omgaat, is niet langer alleen uw zaak.
Waarom Europa dit reguleert
Er is een economische realiteit waar de meeste ondernemers niet bij stilstaan. De AI-tools die u vandaag gebruikt, draaien op servers in de Verenigde Staten. Drie Amerikaanse bedrijven controleren samen ongeveer twee derde van de wereldwijde cloudmarkt. De data die u invoert — over uw klanten, uw medewerkers, uw bedrijf — verlaat Europa. En Amerikaanse wetgeving geeft Amerikaanse autoriteiten het recht om die data op te vragen, ongeacht waar ze fysiek staat.
Dat is geen complottheorie. Dat is wat de wet zegt. Europa heeft daarop gereageerd. Niet met één wet, maar met een reeks. Ze bouwen op elkaar, ze versterken elkaar, en samen maken ze duidelijk dat de komende jaren fundamenteel anders worden dan de afgelopen tien.
De wetten in gewone taal
GDPR — de basis
U kent hem. Sinds 2018 van kracht. Regelt hoe u persoonsgegevens van klanten, medewerkers en anderen mag verwerken. De kern: u mag alleen doen met data wat noodzakelijk is, u moet transparant zijn, en u moet kunnen aantonen dat u de regels naleeft. Boetes tot twintig miljoen euro of vier procent van uw wereldwijde omzet.
Wat de meeste ondernemers nog niet beseffen: elke AI-tool die u gebruikt voor werk waarbij persoonsgegevens betrokken zijn, is een derde partij die die data verwerkt. U heeft daar een juridische grondslag voor nodig. En een overeenkomst. En controle.
AI Act — de nieuwe laag
De eerste bindende AI-wet ter wereld. De deadline voor hoog-risico systemen wordt naar verwachting 2 december 2027 (Parlement + Raad eens, maart 2026 — plenaire stemming en triloog nog te volgen). Classificeert AI-systemen op risiconiveau. Hoe gevoeliger de toepassing, hoe zwaarder de verplichtingen.
Wat valt er onder hoog risico? Meer dan u denkt. CV's screenen met AI. Kredietwaardigheid beoordelen. AI in de zorg. AI in het onderwijs. AI die beslissingen neemt die mensen raken. Voor al die toepassingen gelden zware eisen: documentatie, transparantie, menselijk toezicht, uitlegbaarheid. Boetes tot vijfendertig miljoen euro of zeven procent van uw omzet.
NIS2 — cybersecurity wordt verplicht
Van kracht sinds oktober 2024. Breidt de cybersecurityverplichtingen uit naar achttien sectoren — veel breder dan voorheen. Energie, transport, gezondheidszorg, voeding, chemie, overheidsdiensten. En cruciaal: de verplichtingen sijpelen door naar de toeleveringsketen. Als u levert aan een bedrijf dat onder NIS2 valt, kunt u gevraagd worden uw eigen beveiligingspraktijken te documenteren en te bewijzen. Bestuurders zijn persoonlijk aansprakelijk als de organisatie de verplichtingen niet naleeft.
DORA — specifiek voor finance
Van kracht sinds januari 2025. Gericht op de financiële sector. Banken, verzekeraars, beleggingsfirma's, maar ook verzekeringsmakelaars en accountantskantoren die financiële diensten verlenen. Verplicht een register van alle externe ICT-leveranciers — inclusief AI-tools. Exit-strategieën. Contractuele eisen. Eerste alert binnen vier uur na classificatie als ernstig incident, tussentijds rapport binnen 72 uur.
Een cloud AI-dienst is een ICT-leverancier in de zin van DORA. Hij hoort in het register. Met alle verplichtingen die daarbij komen.
Data Act — het recht om te vertrekken
Van kracht vanaf september 2025. Geeft u het recht uw data terug te vragen van cloudproviders. Verbiedt overstapkosten vanaf januari 2027. Klinkt technisch, maar de boodschap is eenvoudig: Europa wil dat u niet gevangen zit bij één leverancier.
Wat ze samen betekenen
Vijf wetten. Verschillende focus. Maar één gemeenschappelijke richting.
Europa zegt: de data van uw klanten, uw medewerkers, uw bedrijf is niet vrijblijvend. De intelligentie die u inhuurt om die data te verwerken, is niet vrijblijvend. U bent verantwoordelijk. U moet het kunnen aantonen. En als het fout gaat, zijn de consequenties reëel.
Dat is geen vijandige boodschap. Het is een eerlijke. Europa bouwt een kader dat bedrijven beschermt — ook u. Maar bescherming heeft een prijs: bewustzijn en voorbereiding.
Wat u nu moet weten
Niet alles is urgent op hetzelfde moment. De AI Act brengt de zwaarste verplichtingen mee voor wie AI gebruikt in gevoelige contexten — de verwachte deadline is nu 2 december 2027.
De eerste vraag die u zich moet stellen is simpel: welke AI-tools gebruik ik vandaag, voor welke taken, en welke data gaat daarmee mee?
Niet om alles te stoppen. Niet om in paniek te raken. Maar om te weten waar u staat. Want de ondernemer die zich nu laat informeren, heeft keuzes. De ondernemer die wacht tot de handhaving begint, heeft ze niet meer.
In de volgende artikelen gaan we sector voor sector. Wat betekent dit concreet voor een accountant, een therapeut, een advocaat, een arts? Welke risico's zijn het grootst, welke stappen zijn het meest dringend, en welke oplossingen bestaan er al?
Maar die sectorgesprekken beginnen hier. Met dit fundament. Met de vraag die elk van die gesprekken uiteindelijk stelt: van wie is de intelligentie die u gebruikt — en waar woont ze?