Skip to content

AI-governance vanaf dag één: wat het mkb betaalt om naleving achteraf in te bouwen

AI-regelgeving convergeert — AI-verordening (aug. 2026), Amerikaanse deelstaatwetten, Azië. Wie governance vanaf dag één opbouwt, ontloopt de dure inhaalslag die het mkb bij de AVG trof.

AI-governance vanaf dag één: wat het mkb betaalt om naleving achteraf in te bouwen
Methodology by Daniela PiskackovaCo-founder & AI Audit Lead

In juni 2020 betaalde een Britse distributeur met 180 medewerkers — we noemen hem Northbridge Trading — £142.000 om de AVG achteraf in te bouwen: een register van de verwerkingsactiviteiten, drie DPIA's, een draaiboek voor inbreuken, zes verwerkersovereenkomsten en een CRM die met privacy by design opnieuw werd opgebouwd, terwijl dezelfde adviseurs dat op £28.000 hadden begroot als het twee jaar eerder vooraf was ontworpen. De operationeel directeur die die facturen tekende, staart nu naar dezelfde afgrond, ditmaal met AI.

De inhaalfactuur waar niemand op rekende

Northbridge Trading is een samengestelde casus, gevlochten uit vier reële opdrachten tussen 2019 en 2021. We hebben de namen veranderd; de cijfers zijn echt. Het patroon doet ertoe, want het staat op het punt zich te herhalen.

In mei 2018 ging Northbridge live met de AVG, met een beleidssjabloon van £200 en het gevoel dat het werk gedaan was. In mei 2020 kwam het eerste inzageverzoek binnen; een bijna-inbreuk in de salarisintegratie volgde; twee weken later arriveerde een klacht bij de ICO. Tegen Q3 2020 had het bedrijf externe juristen en een privacy-engineer ingehuurd om een register van de verwerkingsactiviteiten, drie gegevensbeschermingseffectbeoordelingen, een incidentdraaiboek, zes verwerkersovereenkomsten en een CRM-herbouw op te zetten, waarbij privacy-by-designwaarborgen achteraf in al draaiende gegevensstromen werden aangebracht. De rekening liep op tot ongeveer het vijfvoudige van de ontwerpbasis die hetzelfde adviesbureau tegen de architectuur van 2017 had begroot — betaald onder druk van de toezichthouder.

Zes jaar later draait diezelfde operationeel directeur drie AI-tools die in de loop van 2025 zijn ingezet: een cv-screeningsassistent, een samenvatter van verkoopgesprekken en een chatbot voor klantenondersteuning. Geen AI-register, geen risico-indeling per gebruikssituatie, geen documentatie op grond van art. 26, geen leerprogramma inzake AI-geletterdheid (art. 4). De AI-verordening trad op 1 augustus 2024 in werking [1]; de tijdlijn van de Commissie legt de volledige toepassing, inclusief de meeste verplichtingen voor systemen met een hoog risico, op 2 augustus 2026 [2]. De cv-screeningstool valt onder bijlage III als systeem met een hoog risico. De AI-richtsnoeren van de ICO zijn sinds 2023 bindend voor het Britse mkb onder UK GDPR [7]. "Ik weiger," vertelt hij ons, "om die cheque een tweede keer uit te schrijven."

De convergentie: waarom 'eerst de kat uit de boom kijken' in 2024 ophield verstandig te zijn

De 'mondiale convergentie' die het argument om vooraf te ontwerpen aandrijft, is geen marketingslogan. In 2024 werd de hoeveelheid regelgeving meetbaar en werd de gedeelde technische ruggengraat zichtbaar.

De cijfers die toezichthouders liever niet over het hoofd zien

De 2025 AI Index van Stanford HAI telt 59 Amerikaanse federale AI-regelingen in 2024, ruim het dubbele van 2023, verspreid over twee keer zoveel instanties [3]. Amerikaanse deelstaten namen in één jaar 131 AI-wetten aan, tegen 49 cumulatief tot en met 2023 [3]. Het aantal AI-vermeldingen in wetgeving steeg in 2024 met 21,3 % in 75 landen [3]. Voor een operationeel directeur die afweegt of hij nu handelt of wacht, is dat volume geen achtergrondruis. Het is het signaal.

Verordening (EU) 2024/1689 trad op 1 augustus 2024 in werking [1]. De gefaseerde tijdlijn van de Commissie is het duidelijkste gepubliceerde stappenplan dat er is: verboden praktijken gelden sinds 2 februari 2025; de verplichtingen voor AI-modellen voor algemene doeleinden sinds 2 augustus 2025; de volledige toepassing op systemen met een hoog risico vanaf 2 augustus 2026; ingebedde productregels met een hoog risico verlengd tot 2 augustus 2027 [2]. Dat is geen enkele afgrond. Het is een trap. Mkb-ondernemingen die wachten tot de bovenste trede, hebben er al twee gemist.

Het gedeelde anker: OECD, NIST, ISO/IEC 42001

Onder het volume ligt een gedeelde ruggengraat die governance die vroeg is ontworpen, duurzaam maakt over rechtsgebieden heen. De OECD AI Principles, herzien in mei 2024, zijn door 47 of meer landen overgenomen [4]. Zij vormen de uitdrukkelijke basis voor de afstemming tussen de EU, het VK, de VS en de G7. Het NIST AI Risk Management Framework 1.0 ordent verplichtingen rond vier functies: Govern, Map, Measure en Manage [5]. Het normalisatieprogramma van de AI-verordening verwijst naar die kern; het Britse AI Playbook (februari 2025) codificeert 10 beginselen voor overheids-AI en wijst op gelijkwaardige normen voor de eigen toeleveringsketen [6].

ISO/IEC 42001 is uitgegroeid tot de inkoopwaardige certificering waar kopers in het middensegment nu om vragen. Governance die is ontworpen tegen het snijvlak van de OECD-beginselen, de NIST-functies en de ICO-eisen, doorstaat de aanscherping van welk afzonderlijk regime dan ook. De gedeelde ruggengraat vangt de variatie op.

Tijdlijn AI-verordening: inwerkingtreding augustus 2024; verboden praktijken en verplichtingen inzake AI-geletterdheid februari 2025; regels voor AI voor algemene doeleinden augustus 2025; volledige verplichtingen voor hoog risico augustus 2026; ingebedde producten met een hoog risico augustus 2027.
De tijdlijn van de AI-verordening, van inwerkingtreding tot de volledige verplichtingen voor hoog risico in augustus 2026.

Waarom houdt 'de leverancier regelt de naleving' geen stand onder artikel 26?

De moeilijkste zin om op de marketingpagina van welke leverancier dan ook te schrijven, luidt: 'De taak van de gebruiksverantwoordelijke kunnen wij niet voor u overnemen.' Onder de AI-verordening is de grens tussen aanbieder en gebruiksverantwoordelijke expliciet, en die verschuift niet doordat u een enterprise-abonnement hebt afgenomen.

Het model van gedeelde verantwoordelijkheid in gewone taal

Artikel 16 bepaalt wat de aanbieder moet doen: conformiteitsbeoordeling, technische documentatie, monitoring na het in de handel brengen [1]. Artikel 26 bepaalt wat de gebruiksverantwoordelijke moet doen: het systeem volgens de instructies gebruiken, menselijk toezicht waarborgen, de invoergegevens relevant houden, gebruik met een hoog risico ten minste zes maanden loggen en betrokken werknemers en klanten informeren [1]. Artikel 4 legt daarbovenop een plicht inzake AI-geletterdheid op elke medewerker die AI gebruikt, in verhouding tot zijn rol, ongeacht welk model eronder ligt [1]. Artikel 50 vereist dat gebruikers weten wanneer zij met AI te maken hebben, over alle risiconiveaus heen [1].

Die vier artikelen beschrijven verplichtingen die bij het mkb-bedrijf zelf liggen. De verwerkersovereenkomst die een leverancier ondertekent, wijst ze niet opnieuw toe.

Wat ChatGPT Enterprise en Copilot niet uitbesteden

Zodra een Brits mkb-bedrijf een cv in ChatGPT plakt om kandidaten te screenen, wordt het een gebruiksverantwoordelijke met een hoog risico op grond van bijlage III [1]. Die indeling naar gebruikssituatie is de beslissing van de gebruiksverantwoordelijke. De Enterprise Privacy-pagina van OpenAI dekt de garanties aan de modelzijde: geen training op bedrijfsgegevens, encryptie, auditlogs. Zij deelt uw gebruikssituatie niet in, schrijft uw protocol voor menselijk toezicht niet, leidt uw personeel niet op en houdt uw logs op grond van art. 26, lid 6, niet bij. Een mkb-onderneming met 40 medewerkers die cv-screening-AI draait, draagt dezelfde verplichtingen uit art. 26 als een FTSE 100-werkgever. De omvang van het bedrijf staat niet in de classificatieregel.

Onder UK GDPR volgt de relatie van de verwerkingsverantwoordelijke dezelfde logica. Persoonsgegevens in een prompt maken het mkb-bedrijf de verwerkingsverantwoordelijke. De rechten van de betrokkene kunnen niet aan een leverancier worden gedelegeerd.

De ICO is sinds 2023 duidelijk

De AI-richtsnoeren van de ICO behandelen hoe de UK GDPR-beginselen van toepassing zijn op AI die persoonsgegevens verwerkt, inclusief DPIA-eisen, het beperken van vooringenomenheid en geautomatiseerde besluitvorming [7]. De richtsnoeren worden herzien naar aanleiding van de Data (Use and Access) Act 2025, die op 19 juni 2025 in werking trad [7]. De AI-audittoolkit van de ICO biedt concrete checklists voor governance, verantwoording, transparantie en individuele rechten [8]. Die checklists beschrijven wat de gebruiksverantwoordelijke nodig heeft vóór het bezoek van de ICO, niet erna. De drie tools van Northbridge hebben er niets van. De verwerkersovereenkomst van de leverancier dekt de leverancier. Het gat behoort toe aan de gebruiksverantwoordelijke.

Het bewijs over de inhaalkosten van de AVG: wat we empirisch weten

De empirische onderbouwing om governance vroeg te ontwerpen, berust niet op intuïtie. Zij berust op wat er gebeurde met EU-bedrijven die de AVG in 2018 als bijzaak behandelden.

MIT Sloan / Bessen et al. — de enige grootschalige inhaalstudie die we hebben

De studie van MIT Sloan / Bessen, Janßen, Peukert en Seamans vergeleek EU- en niet-EU-bedrijven nadat de handhaving in mei 2018 begon. De bevindingen zijn rechtstreeks: EU-bedrijven brachten hun opgeslagen data met 26 % en hun rekengebruik met 15 % terug, ten opzichte van niet-EU-controlegroepen [9]. De terugval concentreerde zich in de cohort die privacy niet van meet af aan had ontworpen — de inhaalcohort. Dit waren geen boetes of juridische kosten. Het waren operationele verstoringen: stopgezette producten, geschoonde marketingdatasets, vanaf nul herbouwde integraties. Bedrijven die privacy vanaf 2016 hadden ingebouwd, verwerkten dezelfde regelgeving zonder die ingrepen.

Northbridge Trading volgde het inhaalpad. Het ging in 2018 live met AVG-naleving via een beleidssjabloon van £200 en ontdekte twee jaar later de werkelijke kosten. De data van MIT Sloan beschrijven precies waarvoor het betaalde: de herbouw van de architectuur die ontstaat wanneer je nalevingsverplichtingen binnentrekt in een systeem dat er niet op was ontworpen om ze te dragen.

De inhaalfactor van 2,4

Benchmarks uit de sector over inhaalkosten komen vanuit de kostenkant tot dezelfde conclusie: mkb-ondernemingen die laat in actie kwamen, betaalden ongeveer 2,4 keer wat concurrenten betaalden die vooraf ontwierpen — over register van de verwerkingsactiviteiten, DPIA's, registers van de rechtsgrond, inbreukprocessen, heronderhandeling van verwerkersovereenkomsten en CRM-herbouw heen.

Elk van die AVG-categorieën heeft een rechtstreekse tegenhanger in de AI-verordening. Een AI-register vervangt het register van de verwerkingsactiviteiten. Een effectbeoordeling op het gebied van de grondrechten op grond van art. 27 vervangt de DPIA uit de AVG. Logging door de gebruiksverantwoordelijke op grond van art. 26, lid 6, vervangt het inbreukregister. De categorieën zijn dezelfde; de verwevenheid zit dieper. AI-modellen, prompts en workflows zijn op architectuurniveau aan elkaar gekoppeld op een manier waarop gegevensstromen dat niet waren. Registratiekoppelingen of toezichtwaarborgen uit een ingezette AI-pijplijn losmaken is een technische herbouw, geen beleidsdocument. Daarom valt de factor van ongeveer 5× bij Northbridge ruim binnen de bandbreedte die de sectorgegevens onder handhavingsdruk voorspellen.

Kostenberekening voor een mkb-onderneming: vooraf ontwerpen versus achteraf inbouwen, regel voor regel

De inhaalfactor en de operationele data van MIT Sloan zijn nuttige ankers, maar een operationeel directeur heeft cijfers nodig die zij in een bestuursstuk kan zetten. Hier is de berekening voor een mkb-onderneming met 180 medewerkers en drie AI-tools.

Ontwerpbasis voor een mkb-onderneming met 180 medewerkers en 3 AI-tools

AI-governance vanaf het begin ontwerpen, verspreid over twaalf weken, kost op basis van onze opdrachtervaring:

  • AI-register en risico-indeling per gebruikssituatie: 4-6 dagen interne inzet plus een consultancyreview van £2.000-4.000
  • Leerprogramma inzake AI-geletterdheid (art. 4) (basis van 90 minuten voor alle medewerkers; een volledige dag voor AI-eigenaren): £3.000-5.000
  • Protocol voor menselijk toezicht en logging op grond van art. 26, lid 6, ingebouwd in de architectuur: £4.000-6.000 aan technische uitvoering plus een juridische review van 2 dagen
  • Due-diligencepakket voor leveranciers met verwerkersovereenkomsten, modelkaarten en het openbaarmakingsspoor voor AI voor algemene doeleinden: £2.000-3.000

Indicatief all-in voor vooraf ontwerpen: £18.000-32.000 over twaalf weken.

Inhaalbudget onder handhavingsdruk (Q3 2026)

Dezelfde set achteraf inbouwen onder de druk van Q3 2026 loopt aanzienlijk hoger op:

  • Externe juristen die na een incident de blootstelling aan bijlage III in kaart brengen: £15.000-25.000
  • FRIA (art. 27) en het bijwerken van DPIA's op drie reeds ingezette tools: £20.000-35.000
  • Logging achteraf inbouwen en de workflow voor menselijk toezicht herbouwen: £40.000-70.000
  • Werknemersraadpleging, transparantiemededelingen en klantcommunicatie: £8.000-12.000

Indicatief all-in voor achteraf inbouwen: £85.000-145.000 in zes tot twaalf weken van samengeperste herstelwerkzaamheden. De verhouding loopt van ongeveer 2,7× tot 5,1×, wat de ondergrens van de sectorbenchmark reproduceert en de bovengrens van Northbridge bereikt.

Waarom de factor erger is dan bij de AVG

Drie structurele redenen tillen de inhaalfactor van AI boven het AVG-cijfer. Ten eerste zijn AI-workflows verweven: prompts, modelversies en geautomatiseerde vervolghandelingen zijn van nature gekoppeld, waardoor de omvang van de herbouw groter is dan het opnieuw inrichten van gegevensstromen. Ten tweede lopen inkoopgerichte herbouwwerkzaamheden parallel aan de deadline van de toezichthouder. Een mkb-onderneming die aanbestedingen verliest terwijl het herstel loopt, betaalt beide kosten tegelijk. Ten derde ligt het sanctieplafond hoger. Artikel 99 stelt geldboeten vast tot 7 % van de wereldwijde jaaromzet of 35 miljoen EUR voor verboden praktijken [1]. De richtlijn inzake AI-aansprakelijkheid voegt blootstelling aan civiele vorderingen toe die de AVG niet voortbracht.

Voor een Brits mkb-bedrijf met £25 miljoen jaaromzet komt een conservatieve basisberekening (vóór mkb-verlagingen) uit op 750.000 EUR [1]. De kosten van vooraf ontwerpen zijn geen nalevingsoverhead. Ze zijn een buffer tegen een boete die een veelvoud is van zichzelf.

Governance vanaf het begin ontwerpen kost illustratief 18.000 tot 32.000 pond over 12 weken; haar later achteraf inbouwen kost 85.000 tot 145.000 pond, ongeveer een factor 2,7 tot 5,1.
Governance vooraf ontwerpen versus haar later achteraf inbouwen, een illustratieve kostenfactor van 2,7× tot 5,1×.

Welke zeven artefacten vormen AI-governance vanaf dag één?

AI-governance vanaf dag één voor een mkb-onderneming met 50 tot 500 medewerkers is niet abstract. Het zijn zeven artefacten die u binnen twee weken kunt opzetten.

1-3: Inventarisatie en classificatie

Artefact 1 — AI-register. Een schema van één pagina: systeemnaam, leverancier, model, gebruikssituatie, gegevenscategorieën, risiconiveau, eigenaar, toezichtprotocol en herzieningsdatum. Het vergt geen consultant om op te bouwen; het vergt discipline om te onderhouden.

Artefact 2 — Beslisboom voor risico-indeling per gebruikssituatie. Gekoppeld aan de categorieën van bijlage III: arbeidsscreening, kredietscoring, toegang tot onderwijs, biometrische identificatie en kritieke infrastructuur [1]. Raakt een tool een van die workflows, dan worden de verplichtingen voor hoog risico geactiveerd.

Artefact 3 — Due-diligencepakket voor leveranciers. Verwerkersovereenkomst, modelkaart, openbaarmaking inzake AI voor algemene doeleinden, samenvatting van de conformiteitsbeoordeling en lijst van subverwerkers. De status van de onderliggende aanbieder als ondertekenaar van de GPAI Code of Practice telt hier mee [13].

4-5: Uitvoeren en beschermen

Artefact 4 — Protocol voor menselijk toezicht. Artikel 26, lid 5, vereist een aangewezen persoon die elke geautomatiseerde beslissing kan beoordelen en terzijde kan schuiven [1]. Het protocol legt vast wie die persoon is, de procedure om beslissingen terzijde te schuiven, de escalatiecriteria en de herzieningscadans.

Artefact 5 — Leerprogramma inzake AI-geletterdheid (art. 4). Een basis van 90 minuten voor alle medewerkers, een halve dag voor gevorderde gebruikers en een volledige dag voor AI-eigenaren, jaarlijks geactualiseerd [1]. Artikel 4 geldt voor alle gebruiksverantwoordelijken, ongeacht de leverancier, en de evenredigheid schaalt met de rol, niet met het personeelsbestand.

6-7: Documenteren en reageren

Artefact 6 — Logging- en incidentproces. Logs van de gebruiksverantwoordelijke op grond van art. 26, lid 6, monitoring van modeldrift en de beveiligingswaarborgen uit de Guidelines for Secure AI System Development van het NCSC — gezamenlijke richtsnoeren met CISA en 21 internationale cyberinstanties [10]. Bouw de log in de architectuur; beleidsdocumenten zonder technische koppelpunten falen bij de audit.

Artefact 7 — Transparantie- en werknemersinformatiepakket. Mededelingen aan gebruikers op grond van art. 50 voor klantgerichte AI, werknemersinformatie op grond van art. 26, lid 7, voor elke AI die werknemers monitort, en een duidelijke klachtroute [1].

Verankerd in door toezichthouders gesteunde kaders

Elk artefact sluit aan op de governance- en verantwoordingschecklists van het AI-auditkader van de ICO [8] en op de kern van het NIST AI RMF: Govern, Map, Measure en Manage [5]. ISO/IEC 42001 valt samen met dezelfde set van zeven artefacten. Bouw deze één keer en ze voldoen tegelijk aan meerdere regimes.

Inkoop is het handhavingsmechanisme dat uw klanten naar voren hebben gehaald

Elk zoekresultaat kadert de handhaving van de AI-verordening door de lens van boetes van de toezichthouder. Geen ervan noemt wat Britse mkb-bedrijven die aan het middensegment en grote ondernemingen verkopen, in 2026 al ondervinden: de vragenlijst van de koper was er eerder.

Wat kopers in het middensegment en grote ondernemingen nu vragen

Leveranciersvragenlijsten in laatfase-aanbestedingen in het VK verwijzen nu naar de controlefamilies van ISO/IEC 42001 en de vier kernfuncties van het NIST AI RMF [5]. Ze vragen om bewijs van een AI-register en risico-indeling per gebruikssituatie, een gedocumenteerd protocol voor menselijk toezicht tegen art. 26, lid 5 [1], en openbaarmaking van subverwerkers met de herkomst van het AI-model: welk basismodel, welke aanbieder, welke ondertekenaar van de Code of Practice [13]. Inkoopteams wachten niet op handhavingsrichtsnoeren. Ze beschermen hun eigen toeleveringsketens tegen de aansprakelijkheid die stroomopwaarts vloeit wanneer de AI-tool van een leverancier een incident veroorzaakt.

De zeven artefacten uit het vorige onderdeel zijn precies wat een leveranciersvragenlijst in sectie 9 vraagt.

Northbridge verliest een aanbesteding in Q2 2026

Northbridge Trading schreef in Q2 2026 in op een driejarig contract van £420.000 met een gereguleerde klant in het middensegment. Sectie 9 luidde: 'Houd een AI-register, FRIA-proces en protocol voor menselijk toezicht bij — lever bewijs.' Northbridge kon niet antwoorden. Het contract ging naar een concurrent met een register van één pagina en een op NIST gebaseerde beleidsstructuur. De inkoopgedreven herbouw zit nu boven op de deadline van de toezichthouder. Beide klokken lopen.

Erfenis vanuit de publieke sector

Britse mkb-bedrijven die aan de overheid verkopen, krijgen via een ander kanaal met dezelfde norm te maken. Het AI Playbook van de overheid, gepubliceerd in februari 2025, zet 10 beginselen uiteen rond ethisch gebruik, verantwoording, transparantie en levenscyclusbeheer, en leveranciers erven ze als contractvoorwaarden [6]. Het AI Opportunities Action Plan van DSIT, in januari 2025 volledig overgenomen, versterkt verantwoorde AI-inzet als verwachting voor de toeleveringsketen [11]. Het AI Foundation Models Initial Report van de CMA voegt een lens van consumentenbescherming en mededinging toe die over elke inzet van een basismodel heen ligt [12].

Buiten het zicht van de toezichthouder blijven, redt u niet van de vragenlijst van de koper. Dat ondervond Northbridge op de dure manier.

Wat de Digital Omnibus wél — en NIET — uitstelt

De kop boven de Digital Omnibus van november 2025 ('EU stelt AI-verordening uit') overleeft een zorgvuldige lezing van het eigenlijke voorstel niet. De verwarring is begrijpelijk. De kop klopt niet.

Wat al van kracht is en onveranderd blijft

Vier verplichtingen zijn al van kracht en geen enkele uitkomst van de Omnibus raakt ze. Het verbod op verboden praktijken geldt sinds 2 februari 2025 [2]. De plicht inzake AI-geletterdheid (art. 4) geldt sinds 2 februari 2025 [1]. De verplichtingen voor aanbieders van AI voor algemene doeleinden en het Code of Practice-regime gingen op 2 augustus 2025 in [2]. En UK GDPR is al bindend voor elke Britse organisatie die persoonsgegevens verwerkt, het mkb inbegrepen; de richtsnoeren van de ICO over AI en gegevensbescherming zijn de uitleg van de toezichthouder over hoe die wet op AI-systemen van toepassing is — geen wettelijke gedragscode, maar de praktische nalevingsbasis waaraan de ICO zal toetsen [7].

Wat de Digital Omnibus daadwerkelijk voorstelt

De Omnibus stelt een beperkt uitstel voor van de conformiteitsbeoordeling voor systemen met een hoog risico uit bijlage III, evenals van de technische documentatie en de registratie-eisen voor de EU-databank, voor aanbieders van specifieke categorieën AI-systemen met een hoog risico. Hij stelt niet voor om de verplichtingen van gebruiksverantwoordelijken (art. 26), de transparantie-eisen (art. 50), de plicht inzake AI-geletterdheid (art. 4) of de discipline rond de effectbeoordeling op het gebied van de grondrechten uit te stellen. Die verplichtingen blijven op het gepubliceerde schema staan.

De trialoog liep op 28 april 2026 vast. Een nieuwe planning was op het moment van schrijven nog in afwachting. De gepubliceerde deadline van de Commissie blijft daarom het juridisch geldende uitgangspunt [2]. Mkb-ondernemingen die 'uitgesteld tot 2027' lazen en op basis van die lezing het ontwerp van hun governance uitstelden, lopen al achter op de verplichtingen aan de zijde van de gebruiksverantwoordelijke die nooit verschoven zijn.

De stabiele kern die geen enkele Omnibus-uitkomst raakt

Governance die is ontworpen tegen de stabiele kern (risico-indeling per gebruikssituatie, menselijk toezicht, logging door de gebruiksverantwoordelijke, FRIA- en DPIA-documentatie, training in AI-geletterdheid, transparantiemededelingen) overleeft welke Omnibus-versie uiteindelijk ook landt. Wat tussen Omnibus-versies verandert, is in welke bijlage een gebruikssituatie valt, niet of een mkb-onderneming een register, een toezichtprotocol en een incidentproces nodig heeft. "We hebben tijd tot 2027" is geen lezing die de tekst ondersteunt.

Hoe bouwt een mkb-onderneming AI-governance op in 90 dagen?

Twaalf weken volstaan om governance op te leveren die vanaf het begin is ontworpen, mits het werk goed in volgorde wordt gezet. Hier is het week-voor-weekplan voor een mkb-onderneming met 50 tot 500 medewerkers die vanaf nul begint.

Week 1-3 — Inventariseren en classificeren

Breng elke AI-tool in gebruik in kaart, inclusief shadow AI: Copilot ingebed in Microsoft 365, AI in browserextensies, nichemodules in SaaS met AI-functies die uw inkoopteam nooit expliciet heeft beoordeeld. Zet het AI-register op en wijs per systeem een eigenaar aan. Doorloop de beslisboom voor risico-indeling per gebruikssituatie tegen bijlage III en markeer elke blootstelling in HR-screening, kredietscoring, onderwijs, biometrische identificatie of kritieke infrastructuur [1]. Voer een snelle toetsing van de rechtsgrond onder UK GDPR uit voor elk systeem dat persoonsgegevens verwerkt [7].

Week 4-7 — Uitvoeren en documenteren

Stel het protocol voor menselijk toezicht op voor elk systeem met een hoog en een beperkt risico: aangewezen persoon, procedure om beslissingen terzijde te schuiven, escalatiecriteria, herzieningscadans (artefact 4). Implementeer logging op grond van art. 26, lid 6, overal waar het platform dat ondersteunt; bouw anders de log aan de zijde van de gebruiksverantwoordelijke. Laat dit niet aan beleidsdocumenten over [8]. Voer het leerprogramma inzake AI-geletterdheid (art. 4) uit: eerst de basis van 90 minuten voor alle medewerkers, dan verdiepingssessies voor gevorderde gebruikers en AI-eigenaren [1]. Werk DPIA's en FRIA's bij tegen de toolkit van de ICO voor elk systeem met een hoog risico [8].

Week 8-12 — Aanbestedingsklaar en herzien

Stel het due-diligencepakket voor leveranciers samen: verwerkersovereenkomsten, modelkaarten, herkomst van het AI-model voor algemene doeleinden, lijsten van subverwerkers en de status als ondertekenaar van de Code of Practice voor elke aanbieder van een basismodel [13]. Publiceer transparantiemededelingen op grond van art. 50 op klantgerichte AI; informeer betrokken werknemers op grond van art. 26, lid 7 [1]. Leg de zeven artefacten naast het format van de inkoopvragenlijst die kopers in het middensegment versturen: de controlefamilies van ISO/IEC 42001 en de functies van het NIST AI RMF [5]. Plan de eerste driemaandelijkse governanceherziening en wijs een verantwoordelijke uit het hoger management aan, conform de toolkit-eis van de ICO [8].

Twee antipatronen om te vermijden

Ten eerste: een gereedschapsabonnement van £40.000 aanschaffen voordat het register is ingevuld. Gereedschap zonder governance-afbakening is schijnvertoning. De tool brengt risico's aan het licht die de mkb-onderneming nog niet heeft gedefinieerd.

Ten tweede: AI-geletterdheid (art. 4) behandelen als een eenmalig webinar. De plicht is doorlopend en in verhouding tot de rol [1]. Een startsessie van 90 minuten voldoet aan de basis; ze voldoet niet aan de jaarlijkse actualisering of de diepere sessies voor AI-eigenaren. De herbouw van de architectuur die AVG-inhalers betaalden, kwam doordat beleidsdocumenten werden geschreven en de technische uitvoering werd overgeslagen. Hetzelfde patroon, toegepast op AI, levert hetzelfde resultaat op.

Geleerde les

De les die Northbridge al heeft betaald

In juni 2020 tekende de operationeel directeur van Northbridge £142.000 aan facturen om de AVG achteraf in te bouwen tegen een ontwerpbasis van £28.000. Dat was geen inkoopfout. Het is wat er gebeurt wanneer een bekwame bestuurder naleving behandelt als iets om erbovenop te leggen zodra het product werkt. De data van MIT Sloan maken van die ervaring een patroon: EU-bedrijven brachten na 2018 hun opgeslagen data met 26 % en hun rekengebruik met 15 % terug, met de zwaarste impact onder bedrijven die privacy niet vanaf dag één hadden ingebouwd [9]. De AI-verordening staat op het punt die les een tweede keer te onderwijzen.

Het achteraf inbouwen van AI-governance pakt slechter uit, omdat logging, menselijk toezicht en prompts verweven zijn met de architectuur van de workflow. Inkoop handhaaft de verordening vóór de toezichthouders dat doen. De zeven artefacten kosten £18.000-32.000 om vooraf te ontwerpen; ze kosten £85.000-145.000 om achteraf in te bouwen onder handhavings- en inkoopdruk samen. De rekensom is niet subtiel.

Samenvatting

AI governance from day one — why retrofitting costs more
│
├─ The retrofit trap
│   ├─ GDPR precedent — one SMB paid ~5x to bolt it on late
│   ├─ AI Act is worse — prompts & logs entangle with workflow
│   └─ The numbers — design-in £18-32k vs retrofit £85-145k
│
├─ You can't outsource it
│   ├─ Article 26 — the deployer's job stays with the SMB
│   └─ Buying Copilot — vendor covers the model, not your use case
│
└─ Act now, not in 2027
    ├─ Procurement first — RFP questionnaires enforce before fines
    ├─ Omnibus myth — it defers providers, not deployer duties
    └─ Seven artefacts — register, oversight, logging, literacy

Verwante insights

Frequently Asked Questions

Wanneer geldt de AI-verordening voor het Britse mkb, en welke verplichtingen zijn al van kracht?
Het is een trap, geen enkele afgrond. De verordening trad op 1 augustus 2024 in werking. Verboden praktijken gelden sinds 2 februari 2025; de plicht inzake AI-geletterdheid (art. 4) sinds dezelfde datum; de verplichtingen voor aanbieders van AI-modellen voor algemene doeleinden sinds 2 augustus 2025; de volledige toepassing op systemen met een hoog risico op 2 augustus 2026; ingebedde productregels op 2 augustus 2027. Britse mkb-ondernemingen die EU-klanten bedienen, vallen extraterritoriaal binnen het toepassingsgebied, en de AI-richtsnoeren van de ICO zijn sinds 2023 bindend onder UK GDPR.
Wat kost het om AI-governance achteraf in te bouwen versus vooraf te ontwerpen voor een mkb-onderneming met 180 medewerkers?
Vooraf ontwerpen kost over twaalf weken £18.000-32.000: AI-register, leerprogramma art. 4, protocol voor menselijk toezicht met logging op grond van art. 26, lid 6, en een due-diligencepakket voor leveranciers. Hetzelfde achteraf inbouwen onder de handhavings- en inkoopdruk van Q3 2026 kost £85.000-145.000 in zes tot twaalf samengeperste weken — een factor 2,7 tot 5,1. Het AVG-precedent van Northbridge betaalde ongeveer het vijfvoudige, en MIT Sloan stelde vast dat EU-bedrijven na 2018 hun opgeslagen data met 26 % en hun rekengebruik met 15 % terugbrachten, geconcentreerd in de inhaalcohort.
Draagt de aanschaf van ChatGPT Enterprise of Microsoft Copilot de naleving van de AI-verordening over aan de leverancier?
Nee. Artikel 16 bepaalt wat de aanbieder moet doen: conformiteitsbeoordeling, technische documentatie, monitoring na het in de handel brengen. Artikel 26 bepaalt wat de gebruiksverantwoordelijke moet doen: het systeem volgens de instructies gebruiken, menselijk toezicht waarborgen, de invoergegevens relevant houden, gebruik met een hoog risico ten minste zes maanden loggen en betrokken werknemers en klanten informeren. Zodra een Brits mkb-bedrijf een cv in ChatGPT plakt om kandidaten te screenen, wordt het een gebruiksverantwoordelijke met een hoog risico op grond van bijlage III. De omvang van het bedrijf staat niet in de classificatieregel.
Hoe ziet AI-governance vanaf dag één voor een mkb-onderneming er concreet uit?
Zeven artefacten die u binnen twee weken kunt opzetten: een AI-register met per systeem leverancier, model, gebruikssituatie, risiconiveau en eigenaar; een beslisboom voor risico-indeling gekoppeld aan bijlage III; een due-diligencepakket voor leveranciers met verwerkersovereenkomst, modelkaart en herkomst van het AI-model voor algemene doeleinden; een protocol voor menselijk toezicht dat de verantwoordelijke persoon op grond van art. 26, lid 5, aanwijst; een leerprogramma inzake AI-geletterdheid (art. 4); logging en een incidentproces conform art. 26, lid 6; en transparantiemededelingen voor klantgerichte AI plus informatiepakketten voor werknemers.
Stelt de Digital Omnibus van november 2025 de AI-verordening zo ver uit dat een mkb-onderneming kan wachten?
Nee. De Omnibus stelt enkel een beperkt uitstel voor van de conformiteitsbeoordeling uit bijlage III voor aanbieders. Hij stelt de verplichtingen van gebruiksverantwoordelijken (art. 26), de transparantie-eisen (art. 50), de plicht inzake AI-geletterdheid (art. 4) en de effectbeoordeling op het gebied van de grondrechten niet uit. Verboden praktijken, de verplichtingen voor AI-modellen voor algemene doeleinden en de ICO-richtsnoeren onder UK GDPR gelden al en bewegen niet. De trialoog liep op 28 april 2026 vast, dus de gepubliceerde deadline van de Commissie blijft het geldende uitgangspunt. "We hebben tijd tot 2027" is geen lezing die de tekst ondersteunt.
Wat is een effectbeoordeling op het gebied van de grondrechten (FRIA) onder art. 27 AI-verordening, en wie moet die uitvoeren?
De FRIA is de verplichting uit art. 27 voor bepaalde gebruiksverantwoordelijken — overheidsinstanties en private operatoren van systemen met een hoog risico uit bijlage III in gereguleerde functies, zoals kredietscoring en verzekeringstarieven — om de gevolgen voor de grondrechten te beoordelen vóór ingebruikname en bij te werken bij wezenlijke wijzigingen. Ze bestrijkt betrokken personen, frequentie en duur van gebruik, schadesoorten, maatregelen voor menselijk toezicht en klachtmechanismen. Britse mkb-ondernemingen die EU-klanten bedienen, vallen er extraterritoriaal onder. De Digital Omnibus stelt deze discipline niet uit; haar samen met het AI-register ontwerpen voorkomt de inhaalfactor.
Helpt ISO/IEC 42001-certificering bij de paraatheid voor de AI-verordening, of zijn het gescheiden trajecten?
ISO/IEC 42001 en de AI-verordening vullen elkaar aan, ze zijn niet overbodig naast elkaar. ISO/IEC 42001 specificeert een AI-managementsysteem — governancerollen, AI-register, risico-identificatie, interne audit — wat het ontwerptraject rechtstreeks versnelt: AI-register, due-diligencepakket voor leveranciers, leerprogramma art. 4, logging conform art. 26, lid 6. De norm voldoet op zichzelf niet aan de conformiteitsbeoordeling van de aanbieder (art. 16), de FRIA (art. 27) of de transparantie-eisen (art. 50). Beschouw ISO/IEC 42001 als de ruggengraat van het beheer en de verordening als het juridische oppervlak; beide zijn nodig.

Sources

  1. 1.Regulation (EU) 2024/1689 — Artificial Intelligence ActEuropean Parliament and of the Council · 2024
  2. 2.Regulatory Framework on AIEuropean Commission · 2024
  3. 3.2025 AI Index Report — Chapter 6: Policy and GovernanceStanford Institute for Human-Centered AI (HAI) · 2025
  4. 4.AI Principles (revised May 2024)OECD · 2024
  5. 5.Artificial Intelligence Risk Management Framework (AI RMF 1.0)NIST · 2023
  6. 6.Artificial Intelligence Playbook for the UK GovernmentUK Government Digital Service / DSIT · 2025
  7. 7.Guidance on AI and Data ProtectionInformation Commissioner's Office (ICO) · 2023
  8. 8.AI and Data Protection Risk Toolkit / AI Auditing FrameworkInformation Commissioner's Office (ICO) · 2023
  9. 9.GDPR's Effects on Firm Data and Computation Use (Bessen, Janßen, Peukert, Seamans)MIT Sloan · 2022
  10. 10.Guidelines for Secure AI System DevelopmentNational Cyber Security Centre (NCSC) · 2023
  11. 11.AI Opportunities Action PlanUK Department for Science, Innovation and Technology (DSIT) · 2025
  12. 12.AI Foundation Models: Initial ReportCompetition and Markets Authority (CMA) · 2023
  13. 13.Guidelines for Providers of General-Purpose AI ModelsEuropean Commission · 2024

Want this run on your business?

AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.

Start your audit

You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.