GovCompass
EN
AI governance
GuideAccountability

Vereenvoudigd pad voor micro-ondernemingen

Door GovCompass.ai· Laatst gecontroleerd juni 2026· Afgestemd op de geconsolideerde EU AI Act, inclusief de Omnibus-wijzigingen van 2026.

Micro-ondernemingen (minder dan 10 medewerkers en maximaal €2 miljoen omzet) hebben onder de EU AI Act recht op vereenvoudigde provider-verplichtingen, zoals beknopte technische documentatie (Art. 11.3) en een proportioneel kwaliteitsbeleid (Art. 17.3). De materiële verplichtingen, zoals het Art. 5-verbod, menselijk toezicht en incidentmelding, blijven onverkort gelden.

Bijgewerkt: juni 2026

Inleiding: vereenvoudiging voor wie het echt nodig heeft

De EU AI Act legt aanzienlijke compliance-lasten op organisaties. De wetgever erkent dat deze lasten disproportioneel zwaar zijn voor kleine en micro-organisaties die niet over de compliance-capaciteit van grote ondernemingen beschikken. Het AI Omnibus Akkoord (mei 2026) heeft daarom specifieke vereenvoudigingen ingevoerd voor micro-ondernemingen. Deze gids beschrijft precies wat is verlicht, wat ongewijzigd blijft, en hoe u als kleine organisatie slim gebruikmaakt van de beschikbare afspraken.

Benodigde voorkennis

Deze gids gaat ervan uit dat u weet wat hoog-risicorisicoIn de termen van de EU AI Act de combinatie van de waarschijnlijkheid dat een schade optreedt en de ernst ervan als dat gebeurt. De schakel tussen een principe (via de schade die het zou schenden) en een control (de maatregel die het vermindert). Het benoemen van de schade en het inschatten van het risico is op grond van Art. 9 vereist voordat een maatregel wordt gekozen. Zie schade, control, restrisico.Open full entry → AI is (Bijlage IIIBijlage IIIDe lijst van de EU AI Act met hoog-risico-toepassingsgebieden: biometrie, kritieke infrastructuur, onderwijs, werk, essentiële diensten, rechtshandhaving, migratie, justitie. Zie conformiteitsbeoordeling, conformiteitsverklaring.Open full entry →) en dat uw organisatie een of meer hoog-risico AI-systemen inzet of wil inzetten. Als u nog moet bepalen of uw AI-systemen als hoog-risico worden geclassificeerd, lees dan eerst het artikel over Art. 6 classificatie.

Stap 1: bepaal of u als micro-onderneming kwalificeert

De Omnibus-vereenvoudigingen gelden uitsluitend voor micro-ondernemingen zoals gedefinieerd in de EU-aanbeveling 2003/361/EG:

  • Minder dan 10 medewerkers (voltijdsequivalenten), én
  • Jaaromzet of balanstotaal van niet meer dan €2 miljoen

Let op: De mkb-definitie kent ook kleine ondernemingen (<50 medewerkers, <€10 mln) en middelgrote ondernemingen (<250 medewerkers, <€50 mln). De Omnibus-vereenvoudigingen gelden uitsluitend voor micro-ondernemingen, de onderste categorie. Een organisatie van 15 medewerkers is een kleine onderneming maar géén micro-onderneming en geniet de vereenvoudigingen niet.

Verbonden en partner-ondernemingen tellen mee: als uw micro-onderneming onderdeel is van een grotere groep, moeten de groepsdata worden meegeteld bij de beoordeling.

Stap 2: begrijp welke verplichtingen zijn verlicht

De Omnibus-vereenvoudigingen voor micro-ondernemingen betreffen primair de provider-verplichtingen:

Verlicht voor micro-provider:

  • Technische documentatietechnische documentatieRegistraties die een aanbieder voor een hoog-risico-AI-systeem moet samenstellen en bewaren om conformiteit aan te tonen, met dekking van het ontwerp, de data, het testen, het risicobeheer en de monitoring. Zie aanbieder, bewijs, model card.Open full entry → (Art. 11 + Bijlage IV): micro-providers mogen een vereenvoudigd formaat gebruiken. De omvang is gereduceerd maar de kerninhoud (systeembeschrijving, trainingsdatatrainingsdataDe data die wordt gebruikt om de parameters van een AI-model te passen; de kwaliteit, de rechtmatige rechten en de representativiteit ervan zijn centrale governance-zorgen. Zie representativiteit, herkomst, datasheet.Open full entry →, prestatiemetrieken, beperkingen) blijft verplicht.
  • Kwaliteitsmanagementsysteem (Art. 17): in plaats van een volledig QMS volstaat een "proportioneel kwaliteitsbeleid", schriftelijk vastgelegde procedures zonder het volledige ISO-achtige documentatieregime.
  • Post-market monitoringpost-market monitoringDe plicht aan de aanbiederszijde om ervaring met systemen in gebruik systematisch te verzamelen en erop te handelen, de productregelgevingshelft van doorlopende monitoring. Zie doorlopende monitoring, aanbieder.Open full entry → (Art. 72): vereenvoudigd monitoring-plan gericht op de essentiële risico-indicatoren, zonder de volledige statistische rapportage-eisen.

Verlicht voor micro-deployer:

  • Interne documentatie (Art. 26): de documentatie-eisen voor deployer-compliance mogen proportioneel worden ingevuld. Een kleinere organisatie hoeft geen bureaucratisch apparaat op te bouwen, kernvereiste is dat de compliance aantoonbaar is, niet dat ze in een specifiek formaat is gedocumenteerd.

Stap 3: begrijp wat ongewijzigd blijft, dit is cruciaal

De Omnibus-vereenvoudigingen zijn administratief van aard. De materiële verplichtingen gelden onverkort voor micro-ondernemingen:

Ongewijzigd voor micro-ondernemingen:

  • Art. 5 verboden: absoluut, geen uitzondering voor grootte
  • Art. 4 AI-geletterdheidAI-geletterdheidVoldoende begrip van de werking, mogelijkheden en risico's van AI voor de eigen rol, een expliciete verwachting voor medewerkers van aanbieders en gebruiksverantwoordelijken onder de EU AI Act. Zie aanbieder, gebruiksverantwoordelijke.Open full entry →: medewerkers moeten voldoende getraind zijn
  • Art. 26.1: conform de gebruiksinstructies van de provider
  • Art. 26.2: menselijk toezichtmenselijk toezichtHet ingebouwde vermogen van een mens om een AI-systeem te monitoren, erin in te grijpen, het te overrulen of stil te leggen, alleen betekenisvol wanneer de mens de bevoegdheid, de informatie en de tijd heeft om te handelen. Zie principe, human-in-the-loop, human-on-the-loop.Open full entry → implementeren
  • Art. 26.4: inputdatakwaliteit borgen
  • Art. 26.5: monitoring uitvoeren
  • Art. 26.6: logs minimaal 6 maanden bewaren
  • Art. 26.7: betrokkenenbetrokkenenDe individuen of groepen die onderworpen zijn aan of geraakt worden door de uitkomsten of beslissingen van een AI-systeem, en wier rechten het governance-regime beoogt te beschermen. Zie schade, belanghebbendenanalyse.Open full entry → informeren
  • Art. 73: ernstige incidenten melden
  • AVG: volledig van toepassing ongeacht bedrijfsgrootte

Een micro-onderneming die hoog-risico AI voor HR-selectie inzet zonder menselijk toezicht, is net zo in overtreding als een multinational. De vereenvoudigingen verlichten de administratieve procedure, niet de bescherming van betrokkenen.

Stap 4: bouw een proportionele compliance-aanpak

Voor micro-organisaties is de meest effectieve aanpak "lean compliance": minimale documentatie die de essentie dekt, gefocust op de verplichtingen met de hoogste handhavingsrisico's.

Prioriteit 1, Verboden checklist (Art. 5): Documenteer in één pagina per AI-systeemAI-systeemEen machinaal systeem dat voor expliciete of impliciete doelen uit invoer afleidt hoe het uitvoer genereert, voorspellingen, inhoud, aanbevelingen of beslissingen, die fysieke of virtuele omgevingen kunnen beïnvloeden. De OESO-achtige definitie die de EU AI Act volgt. Zie algoritme, machine learning.Open full entry → waarom het niet onder een van de acht verboden valt. Dit is uw eerste verdedigingslinie.

Prioriteit 2, AI-geletterdheid (Art. 4): Organiseer een interne kennissessie met de AI-leverancier. Leg de datum, aanwezigen en inhoud vast in een e-mail of kort verslag.

Prioriteit 3, Gebruiksinstructies (Art. 26.1): Bewaar de gebruiksinstructies van de provider in een map. Maak een korte interne samenvatting van de grenzen van het gebruik.

Prioriteit 4, Menselijk toezicht (Art. 26.2): Benoem één persoon als toezichthouder per AI-systeem. Beschrijf in twee zinnen wat die persoon bewaakt en hoe. Dat is voldoende als startpunt.

Prioriteit 5, TransparantietransparantieOpenheid over het feit dát AI wordt gebruikt en hoe het in het algemeen werkt: openbaarmakingen, documentatie, kennisgevingen. Vormt een paar met uitlegbaarheid, die over individuele uitkomsten gaat. Zie uitlegbaarheid, principe.Open full entry → (Art. 26.7): Voeg een zin toe aan uw privacyverklaring: "Wij maken gebruik van [systeem] voor [doel]. Dit is een hoog-risico AI-systeem." Eenvoudig maar afdoende.

Stap 5: gebruik beschikbare tools en sjablonen

De Europese Commissie en het EU AI Office hebben gratis sjablonen gepubliceerd voor micro-ondernemingen:

  • Vereenvoudigd technisch documentatie-sjabloon: beschikbaar via ai-office.europa.eu
  • Simplified QMS template: beschikbaar via de Nederlandse toezichthouder (AI-sectie)
  • AI Literacy e-learning: gratis via het EU AI Office voor organisaties tot 10 medewerkers

Leg per gebruikt sjabloon vast waarom het past bij uw systeem en bewaar de ingevulde versie in uw compliance-dossier.

Stap 6: sandbox als alternatief voor innovatieve micro-startups

Micro-ondernemingen die innovatieve AI-systemen ontwikkelen hebben prioritaire toegang tot de nationale regulatory sandboxregulatory sandboxEen onder toezicht staande regeling van een toezichthouder waarmee organisaties een AI-systeem onder gecontroleerde omstandigheden kunnen testen vóór volledige uitrol. Zie markttoezichtautoriteit, conformiteitsbeoordeling.Open full entry → (Art. 57.2). De sandbox biedt begeleiding van de toezichthouder en tijdelijke vrijstelling van bepaalde administratieve eisen terwijl u uw systeem ontwikkelt en test. Overweeg de sandbox als u nog in een vroege ontwikkelingsfase zit.

Veelgestelde vragen

V: Wij zijn 8 medewerkers maar onze omzet is €3 mln. Kwalificeren wij?
A: Nee. De Omnibus-definitie vereist dat u aan beide criteria voldoet: minder dan 10 medewerkers én maximaal €2 mln omzet/balanstotaal. U kwalificeert niet als micro-onderneming en de vereenvoudigingen gelden niet voor u.

V: Wij zijn een zelfstandige (eenmanszaak). Gelden de vereenvoudigingen?
A: Een eenmanszaak kwalificeert als micro-onderneming als de omzet onder €2 mln blijft. De vereenvoudigingen gelden dan wel. Maar: als u hoog-risico AI inzet voor dienstverlening aan klanten (bijv. AI-advies, AI-gedreven selectie), gelden alle materiële deployer-verplichtingen.

Samenvatting en volgende stap

De Omnibus-vereenvoudigingen maken de EU AI Act hanteerbaar voor micro-ondernemingen, maar elimineren de materiële verplichtingen niet. De sleutel is proportionaliteitproportionaliteitHet gewicht van governance afstemmen op het risico van de use case, zware poorten voor grote gevolgen, lichte aanpak voor kleine, wat de controls geloofwaardig en nageleefd houdt. Zie risico, control.Open full entry →: documenteer wat nodig is om compliance aantoonbaar te maken, niet meer. Gebruik de beschikbare sjablonen en tools, en begin met de vijf prioriteiten hierboven. Bepaal vervolgens via een classificatieanalyse (Art. 6) welke van uw AI-systemen hoog-risico zijn en welke vereenvoudigde paden voor uw organisatie beschikbaar zijn.

WetsverwijzingenArt. 11Art. 17Art. 26Art. 4Art. 5
Delen Deel op LinkedIn

Meer over Accountability

Art. 10 EU AI Act: data en datagovernance voor hoog-risico AI

Reference

Art. 10 vereist dat de trainings-, validatie- en testdata voor hoog-risico AI-systemen voldoet aan kwaliteitscriteria: relevant, voldoende representatief, en zo foutloos en volledig mogelijk voor het beoogde doel. Het vereist ook gedocumenteerde datagovernance over verzameling, voorbereiding, bias-onderzoek en het mitigeren van lacunes, en het staat de beperkte verwerking van bijzondere persoonsgegevens toe waar strikt noodzakelijk om bias te detecteren en corrigeren, onder waarborgen.

Art. 12 EU AI Act: registratie en logging voor hoog-risico AI

Reference

Art. 12 vereist dat hoog-risico AI-systemen technisch de automatische registratie van gebeurtenissen (logs) over hun levensduur mogelijk maken. De logging moet de traceerbaarheid van het functioneren van het systeem mogelijk maken op een niveau passend bij het beoogde doel, post-market monitoring ondersteunen, en helpen situaties te identificeren die tot risico of een substantiële wijziging kunnen leiden. Het is een ontwerpverplichting voor de provider die het systeem door constructie auditeerbaar maakt.

Art. 19 EU AI Act: het bewaren van de automatisch gegenereerde logs

Reference

Art. 19 verplicht providers van hoog-risico AI-systemen om de logs die het systeem automatisch genereert (onder Art. 12) te bewaren zolang ze die onder controle hebben, voor een periode passend bij het beoogde doel en minimaal zes maanden, tenzij andere wetgeving een langere termijn vereist. Het is de bewaar-tegenhanger van de Art. 12-logging-capaciteit, en werkt naast de deployer-bewaarplicht in Art. 26.6.

Art. 26.1, gebruik AI volgens de instructies van de aanbieder

Reference

Art. 26.1 EU AI Act verplicht deployers om hoog-risico AI-systemen uitsluitend in te zetten conform de gebruiksinstructies van de provider. De verplichting omvat drie componenten: het beschikken over de instructies (conform Art. 13.3), het actief naleven ervan, en het documenteren van dat naleven. Inzet buiten de instructies kan de aansprakelijkheid volledig naar de deployer verschuiven.