EU AI-verordening compliance
AI compliance Limburg: wat MKB-bedrijven in 2026 moeten regelen
Limburgse MKB-bedrijven in de chemie, logistiek en zorg gebruiken AI — maar de EU AI-verordening legt concrete verplichtingen op die per augustus 2026 gelden. Dit is wat je nu moet doen.
De EU AI-verordening geldt voor elk bedrijf dat AI inzet, ook als je vestiging in Sittard-Geleen, Venlo of Heerlen staat. Geen uitzondering voor Limburg, geen uitzondering voor MKB. En dat is precies waarom dit nu op de agenda moet.
Limburg heeft een paar industriële kenmerken die de compliance-opgave extra concreet maken. Chemische industrie rondom Chemelot, logistieke hubs in Venlo (een van de grootste distributiecentra van Europa), en een fors zorglandschap met Zuyderland, VieCuri en tientallen kleinere organisaties. Al die sectoren gebruiken AI. En al die sectoren vallen onder de verordening.
Wat de verordening precies vraagt van deployers
Een deployer is elk bedrijf dat een AI-systeem van een ander in gebruik neemt. Dus ook jij, als je HR-software met een AI-functie gebruikt voor sollicitantenselectie, of als je een planningsalgoritme inzet in je warehouse.
Artikel 26 van de EU AI-verordening legt de kern van de deployer-verplichtingen vast. Je moet passende technische en organisatorische maatregelen nemen. Je moet het systeem gebruiken zoals de aanbieder dat bedoeld heeft. En je moet menselijk toezicht organiseren bij hoog-risico AI-systemen.
Dat klinkt abstract. Maak het concreet: als een logistiek bedrijf in Venlo een AI-systeem gebruikt dat routes plant op basis van werknemersprestaties, of als een zorginstelling AI inzet voor patiëntentriage, dan zijn dat waarschijnlijk hoog-risico toepassingen die onder Bijlage III vallen. Daarvoor gelden zwaardere eisen.
Limburg chemie: Chemelot en de AI-risico's
Rond Chemelot opereren tientallen MKB-bedrijven die AI gebruiken voor procesoptimalisatie, veiligheidsmonitoring en predictive maintenance. Dat zijn geen hoog-risico AI-systemen in de zin van de verordening — tenzij ze ook worden ingezet voor beslissingen over mensen.
De crux zit in het onderscheid. Een AI-systeem dat een machine monitort is iets anders dan een systeem dat medewerkersbeoordeling of toegangscontrole beïnvloedt. Dat tweede valt wel degelijk onder hoog-risico categorieën.
Voor de chemiesector is Artikel 4 concreet relevant: per 2 februari 2025 moeten alle organisaties die AI inzetten zorgen dat hun medewerkers voldoende AI-geletterdheid hebben. Dat geldt nu al. Niet in 2026, niet na een overgangsperiode. Nu.
Dat betekent niet dat elke medewerker een AI-cursus moet volgen. Het betekent dat de mensen die AI-systemen gebruiken of beheren, begrijpen wat het systeem doet, waar het fout kan gaan, en wanneer ze moeten ingrijpen. Leg dat vast. Documenteer welke training je hebt gegeven, aan wie, wanneer.
Logistiek in Venlo: algoritmen, werknemers en de verordening
Venlo is een logistieke hotspot. Warehouses gebruiken AI voor routeplanning, personeelsplanning, prestatiemonitoring en kwaliteitscontrole. Dat is precies het domein waar de EU AI-verordening het scherpst is.
AI-systemen die medewerkersselectie, -beoordeling of -indeling beïnvloeden vallen onder de hoog-risico categorie van Bijlage III. Dat geldt ook voor systemen die werkpatronen analyseren om beslissingen over promotie of ontslag te ondersteunen.
Wat moet je dan regelen als deployer? Concreet:
- Technische documentatie opvragen bij je leverancier. Op grond van Artikel 26 heb je recht op die informatie. Als je leverancier die niet levert, is dat al een signaal.
- Menselijk toezicht inrichten. Dat betekent niet dat een mens elke beslissing opnieuw neemt, maar wel dat er een duidelijk proces is voor wanneer een medewerker de AI-uitkomst betwist.
- Een register bijhouden. Hoog-risico systemen moeten worden geregistreerd in de EU-database op grond van Artikel 49, maar als deployer moet je ook intern bijhouden welke systemen je gebruikt.
Een logistiek MKB-bedrijf met 80 medewerkers en één planningsalgoritme hoeft hier niet weken werk in te steken. Maar het moet wel worden gedaan.
Zorg in Limburg: Zuyderland, VieCuri en de AI-risico's
De Limburgse zorgsector is groot. Zuyderland Medisch Centrum, VieCuri, GGZ Oost Brabant met locaties in de regio, en tientallen huisartsenpraktijken en thuiszorgorganisaties die digitale tools inzetten.
Zorg is een van de sectoren waar AI-risico's het meest tastbaar zijn. Een AI-systeem dat triage ondersteunt, behandelaanbevelingen doet of patiëntendossiers analyseert, valt onder de hoog-risico categorie. Dat brengt de zwaarste verplichtingen met zich mee.
Daarnaast speelt in de zorg de AVG een grote rol. AI-systemen die gezondheidsgegevens verwerken triggeren zowel de verordening als de AVG. De Autoriteit Persoonsgegevens heeft al aangegeven dat ze toezicht houden op beide. Dat is geen dubbele last, maar het betekent wel dat je compliance-aanpak beide regelgevingen moet adresseren. Een DPIA (gegevensbeschermingseffectbeoordeling) is bij AI met gezondheidsdata bijna altijd verplicht.
Kijk, voor zorginstellingen die nu al werken met digitale systemen is dit geen revolutie. Veel verplichtingen sluiten aan op wat zorgorganisaties al kennen vanuit NEN 7510 en de AVG. Het gaat erom die bestaande kaders uit te breiden met AI-specifieke elementen.
De toezichthouder: de AP houdt toezicht
In Nederland is de Autoriteit Persoonsgegevens aangewezen als één van de markttoezichthouders voor de EU AI-verordening, naast sectorspecifieke toezichthouders. De Autoriteit Persoonsgegevens kijkt specifiek naar AI-systemen die persoonsgegevens verwerken — wat in HR, zorg en logistiek bijna altijd het geval is.
Dat betekent niet dat de AP morgen bij je op de stoep staat. Het betekent wel dat je bij een incident of klacht direct te maken krijgt met een toezichthouder die zowel AVG als AI-verordening kan handhaven. De boetes onder de AI-verordening zijn fors: tot 35 miljoen euro of 7% van de wereldwijde jaaromzet voor de zwaarste overtredingen, tot 15 miljoen euro of 3% voor hoog-risico schendingen.
Voor een MKB-bedrijf met 50 medewerkers is 3% van de jaaromzet snel een pijnlijk bedrag. De drempel voor handhaving ligt waarschijnlijk hoger dan bij grote tech-bedrijven, maar wachten op handhaving is een slechte strategie.
Wat je nu doet: een praktisch stappenplan
Limburg is geen uitzondering op de verordening, maar ook geen bijzonder moeilijk geval. De stappen zijn dezelfde als voor elk Europees MKB-bedrijf:
Stap 1: Inventariseer welke AI-systemen je gebruikt. Niet alleen de systemen die je zelf als 'AI' herkent, maar ook de softwarepakketten die AI-functies bevatten. Dat kan een HR-tool zijn, een planningssysteem, een klantenservicebot, of een analysepakket.
Stap 2: Bepaal het risiconiveau. Valt het systeem onder Bijlage III? Dan gelden de hoog-risico verplichtingen. Zo niet, dan gelden de algemene verplichtingen uit Artikel 26 en de AI-geletterdheidseis van Artikel 4.
Stap 3: Vraag documentatie op bij je leveranciers. Leveranciers van hoog-risico AI-systemen zijn verplicht informatie te verstrekken. Als ze dat niet doen, heb je een contractueel en compliance-probleem.
Stap 4: Richt menselijk toezicht in. Schrijf op wie verantwoordelijk is voor het monitoren van AI-uitkomsten. Dat hoeft geen fulltime functie te zijn, maar het moet wel duidelijk zijn.
Stap 5: Train je medewerkers. Documenteer die training. Dat is de AI-geletterdheidseis van Artikel 4, die nu al geldt.
Stap 6: Zorg voor een incidentprocedure. Als een AI-systeem fout gaat, moet je dat kunnen melden. Artikel 73 van de verordening verplicht deployers om ernstige incidenten te melden aan de markttoezichthouder.
De meeste MKB-bedrijven in Limburg hebben geen juridische afdeling. Dat is prima. De verordening is bedoeld om beheersbaar te zijn, ook voor kleinere organisaties. Maar 'beheersbaar' betekent niet 'vanzelf goed'. Je moet het actief oppakken.
Wil je weten waar jouw organisatie nu staat? De gratis 2-minuten compliance-check van Khairos AI Comply geeft je direct een concreet beeld van welke verplichtingen voor jou gelden en wat je prioriteiten zijn.
# Hulp nodig bij compliance?
De gratis 2-minuten compliance-check laat je direct zien waar je gaten zitten. Geen e-mailadres nodig om je score te zien.
Start de gratis check →