De Europese Unie maakt AI-geletterdheid verplicht voor organisaties die risicovolle AI inzetten. Dat raakt vooral het Nederlandse mkb, waar AI-tools snel hun weg vinden naar HR en klantenservice. De AI-verordening (AI Act) treedt gefaseerd in werking vanaf 2024, met verplichtingen die de komende jaren ingaan. Bedrijven moeten personeel trainen en processen aanpassen om veilig te werken binnen de Europese digitalisering en de gevolgen voor het bedrijfsleven.
AI Act vraagt om scholing
AI-geletterdheid betekent dat mensen snappen wat een algoritme doet, waar de grenzen liggen en wanneer menselijk ingrijpen nodig is. In de AI Act moeten organisaties die hoog-risico AI gebruiken zorgen voor getrainde medewerkers en duidelijke menselijke controle. Dat geldt bijvoorbeeld bij systemen die invloed hebben op iemands baan of toegang tot diensten. Zonder scholing is veilig en rechtmatig gebruik niet haalbaar.
Voor mkb’ers betekent dit structurele training, heldere handleidingen en vaste rollen per proces. Medewerkers leren hoe een model tot uitkomsten komt, wat foutbronnen zijn en hoe je die herkent. Denk aan vooroordelen in data of beperkingen bij generatieve AI, zoals het verzinnen van feiten. Ook moeten teams weten hoe zij afwijkingen melden en vastleggen.
De Europese AI Office ontwikkelt op het moment van schrijven richtlijnen en ondersteunt nationale toezichthouders. Die moeten zorgen voor één lijn in Europa. Voor mkb is dat belangrijk: dezelfde spelregels in alle lidstaten verkleinen onzekerheid. Daarmee wordt investeren in scholing en processen beter voorspelbaar.
AI-geletterdheid: basiskennis om AI-systemen verantwoord te kiezen, te gebruiken en te controleren — inclusief begrip van risico’s, data-kwaliteit en menselijke tussenkomst.
HR-algoritmen zijn hoog risico
AI voor werving en selectie, zoals cv-screens of testbeoordeling, valt in de AI Act onder hoog risico. Hetzelfde geldt voor systemen die prestaties van werknemers volgen of beoordelen. Deze toepassingen vragen meer waarborgen dan een simpele chatbot op de website. Mkb dat hiermee experimenteert, krijgt dus te maken met strengere eisen.
De verplichtingen draaien om veiligheid, uitlegbaarheid en toezicht. Bedrijven moeten risico’s vooraf in kaart brengen, data op orde hebben en logboeken bijhouden. Medewerkers moeten kunnen ingrijpen, keuzes motiveren en kandidaten of werknemers informeren. Leveranciersdocumentatie en modelkaarten helpen, maar de eindverantwoordelijkheid voor gebruik ligt bij het bedrijf zelf.
Niet alle AI-toepassingen zijn hoog risico. Marketing- en klantsupportbots vallen meestal in de categorie beperkt risico, met vooral transparantie-eisen. Laat gebruikers dan weten dat zij met een systeem praten en bied een makkelijke route naar menselijk contact. Zo blijft de inzet proportioneel en duidelijk.
Vijf stappen voor mkb
Begin met een inventarisatie van alle AI in het bedrijf. Noteer per toepassing het doel, de gebruikte data en de leverancier. Bepaal daarna de risicoklasse volgens de AI Act: minimaal, beperkt of hoog. Dat geeft richting aan de maatregelen die nodig zijn.
Regel vervolgens governance: wijs een AI-verantwoordelijke aan en maak beleid voor menselijke controle. Leg vast wie mag goedkeuren, bijsturen en stoppen. Werk inkoopvoorwaarden bij zodat leveranciers informatie geven over prestaties, beperkingen en updates. Vraag om evaluatierapporten en testresultaten.
Investeer in rolgebaseerde training. HR leert bijvoorbeeld bias herkennen, IT leert logboeken veilig te bewaren en directie begrijpt risico’s en aansprakelijkheid. Leg ook een incidentproces vast, inclusief meldpaden bij fouten met impact op mensen. Start met een kleinschalige pilot, evalueer en schaal pas daarna op.
Gebruik generatieve AI met beleid. Maak duidelijke schrijf- en promptregels, en verbied het invoeren van gevoelige persoonsgegevens. Controleer uitkomsten altijd door een medewerker voordat je ze naar klanten of kandidaten stuurt. Zo voorkom je dat fictieve of ongepaste antwoorden de organisatie schaden.
Koppeling met AVG-privacyregels
AI werkt vaak met persoonsgegevens. Dan geldt de AVG met eisen als dataminimalisatie, versleuteling en bewaartermijnen. Bij hogere risico’s hoort een gegevensbeschermingseffectbeoordeling (DPIA). Documenteer de uitkomsten en neem corrigerende maatregelen waar nodig.
Automatische besluitvorming met grote gevolgen vraagt extra waarborgen. De AVG geeft betrokkenen recht op uitleg en menselijke tussenkomst bij zulke besluiten. Combineer dat met de AI Act-eisen voor menselijk toezicht en logging. Zo ontstaat één samenhangend proces voor rechtmatigheid en verantwoording.
Transparantie is verplicht richting sollicitanten, werknemers en klanten. Vertel welke gegevens je gebruikt, waarvoor en hoe lang. Leg ook uit wat de rol is van het algoritme en van de medewerker die controleert. Maak bezwaar en inzage eenvoudig, en train frontoffice en HR in het afhandelen van deze verzoeken.
In Nederland speelt ook medezeggenschap mee. Systemen voor personeelsvolgsystemen of beoordelingen vallen vaak onder instemming van de ondernemingsraad. Betrek de OR dus vroegtijdig bij de keuze en de voorwaarden van AI-toepassingen. Dit voorkomt vertraging en zorgt voor draagvlak.
Tijdpad en handhaving Europa
De AI Act geldt stapsgewijs. Verboden toepassingen gelden eerder, terwijl verplichtingen voor hoog-risico systemen later ingaan. Op het moment van schrijven moeten bedrijven rekening houden met invoering tussen 2024 en 2026. Wie nu voorbereidt, voorkomt haastwerk en kosten achteraf.
Toezicht komt van nationale autoriteiten, gecoördineerd door de Europese AI Office. In Nederland werken de aangewezen markttoezichthouders samen met de Autoriteit Persoonsgegevens voor privacyevraagstukken. Leveranciers van hoog-risico AI moeten aan CE-eisen voldoen, maar gebruikers blijven verantwoordelijk voor juist gebruik. Logboeken, training en meldplichten zijn daarom cruciaal.
De sancties bij overtreding zijn aanzienlijk en kunnen oplopen tot hoge boetes. Daarnaast spelen contractrisico’s in de keten: grote klanten en overheden gaan bewijs van naleving eisen. Denk aan audits, trainingsbewijzen en risicorapporten. Wie dit op orde heeft, wint vertrouwen en aanbestedingen.
Hulp en subsidies beschikbaar
Er is ondersteuning voor mkb om kennis op te bouwen. European Digital Innovation Hubs (EDIH’s) helpen met testen, trainingen en advies. In Nederland bieden regionale hubs laagdrempelige trajecten en toegang tot Europese expertise. Dit verkort de leercurve en beperkt kosten.
De Nederlandse AI Coalitie heeft leerlijnen en praktische tools voor bedrijven. Via RVO zijn er regelingen voor scholing en digitalisering, zoals de SLIM-regeling en mkb-werkplaatsen digitalisering. Brancheorganisaties organiseren daarnaast themasessies over AI en privacy. Zo ontstaat een netwerk waar ondernemers snel kunnen bijleren.
Maak tot slot een leerplan met doelen, rollen en deadlines. Gebruik leveranciersdocumentatie, voorbeeldbeleid en e-learning om tijd te besparen. Leg elke training vast en koppel die aan taken in HR of IT. Behandel AI-geletterdheid net zo serieus als privacy en cybersecurity: als vast onderdeel van het werk.