De AI Act in Nederland

AI Act Nederland voor Organisaties

Hoe pakt Nederland de AI Act aan? Wat verandert er voor Nederlandse organisaties en wat moet u al weten en doen? Praktisch overzicht.

AI Act Nederland voor organisaties

De AI Act stelt nieuwe verplichtingen voor alle Nederlandse organisaties die AI inzetten, verplichtingen die nu al deels van kracht zijn en de komende jaren verder worden uitgebreid. De Autoriteit Persoonsgegevens is als coördinerend toezichthouder aangewezen; de eerste verplichtingen (waaronder de AI-geletterdheidsplicht) zijn per 2 februari 2025 van kracht.

De AI Act (EU 2024/1689): de Europese verordening voor kunstmatige intelligentie die organisaties verplicht tot risicogebaseerde compliance, transparantie en menselijk toezicht op AI-systemen. Van kracht per 1 augustus 2024, met gefaseerde inwerkingtreding van de meeste verplichtingen.

In dit artikel

De AI Act in Nederland: context

Nederland is in de EU een relatief actieve speler op het gebied van AI-beleid. De overheid heeft een nationale AI-strategie gepubliceerd en is vroeg begonnen met het voorbereiden van toezichtsstructuren. Toch geldt de AI Act niet vanwege Nederlands beleid, het is een EU-verordening die rechtstreeks van toepassing is op alle lidstaten, zonder omzetting in nationale wet.

Dat heeft een praktische consequentie: de wet geldt al, niet nadat Nederland er wetgeving over heeft gemaakt. Organisaties die wachten op een Nederlandse implementatiewet, wachten op iets dat er niet komt. De verordening werkt rechtstreeks.

Wie valt er onder?

De reikwijdte is breed. De AI Act geldt voor:

  • Aanbieders (providers) die AI-systemen op de EU-markt brengen of in gebruik nemen, ongeacht of ze in de EU gevestigd zijn.
  • Gebruikers (deployers) die AI-systemen inzetten in hun organisatie, ook als die systemen zijn ingekocht van een externe leverancier.
  • Importeurs en distributeurs in de EU-keten.

Voor de meeste Nederlandse organisaties is de meest relevante rol die van deployer: ze kopen AI-tools in (SaaS-producten, Microsoft 365 Copilot, HR-software met AI-functionaliteit) en zetten die in. Die rol brengt ook verplichtingen mee.

Wat is een AI-systeem volgens de wet?

De definitie is breder dan veel organisaties verwachten. Een AI-systeem is een machinegebaseerd systeem dat opereert met een zeker niveau van autonomie, dat conclusies trekt of beslissingen neemt op basis van invoer, en dat uitvoer produceert zoals voorspellingen, aanbevelingen of beslissingen. Een eenvoudige regelgebaseerde chatbot valt er waarschijnlijk buiten. Een systeem dat kandidaten rankt op basis van machine learning valt er zeker onder.

Toezicht en handhaving in Nederland

Nederland heeft de Autoriteit Persoonsgegevens (AP) aangewezen als coördinerend toezichthouder voor de AI Act. Dat is niet toevallig: de AP heeft al ruime ervaring met het toezicht op algoritmes en AI in de context van de AVG.

Naast de AP zijn er sectorale toezichthouders die binnen hun eigen domein handhaven:

  • Autoriteit Financiële Markten (AFM): voor AI in financiële dienstverlening, kredietscoring en verzekeringen.
  • Inspectie Gezondheidszorg en Jeugd (IGJ): voor medische AI-systemen en gezondheidszorgtoepassingen.
  • Autoriteit Consument en Markt (ACM): voor AI in consumentenmarkten en concurrentie-gerelateerde toepassingen.

Die sectorale opzet betekent dat handhaving niet vanuit één loket komt. Een zorginstelling die AI inzet, heeft te maken met zowel de AP als de IGJ. Een financiële instelling met zowel de AP als de AFM. Organisaties doen er verstandig aan de relevante toezichthouder(s) voor hun sector te identificeren.

Handhavingsfilosofie

De AP heeft aangegeven een educatieve en risicoproportionele aanpak te hanteren in de beginfase. Dat betekent dat uitleg en begeleiding prioriteit hebben boven directe boetes, maar het is geen vrijbrief voor uitstel. De wet is van kracht, de verplichtingen gelden, en de AP heeft de bevoegdheid om te handhaven. De maximale boetes lopen op tot €35 miljoen of 7% van de wereldwijde jaaromzet voor de zwaarste overtredingen.

Wat al van kracht is

De AI Act werkt gefaseerd. Niet alles geldt per dezelfde datum. Hier is de tijdlijn zoals die er nu uitziet:

1 augustus 2024

Verordening in werking getreden

De AI Act is officieel van kracht. De overgangsperiodes gaan lopen. Governance-structuren mogen worden ingericht.

2 februari 2025

Verboden AI-toepassingen en AI-geletterdheidsplicht

Verboden AI-systemen moeten buiten gebruik zijn gesteld. Artikel 4 (AI-geletterdheidsplicht) is van kracht: aanbieders en deployers moeten een voldoende niveau van AI-geletterdheid waarborgen bij hun personeel. Regels voor foundation models (GPAI) gelden ook.

2 augustus 2026

Overige verplichtingen voor hoog-risico AI

Volledige compliance-vereisten voor hoog-risico AI-systemen zijn van kracht: conformiteitsbeoordelingen, technische documentatie, kwaliteitsmanagementsystemen, registratieplicht in de EU-database.

2 augustus 2027

Extra overgangsperiode voor bestaande hoog-risico AI

AI-systemen die al vóór augustus 2026 in gebruik waren en onder bijlage I van de AI Act vallen (specifieke hoog-risico productcategorieën) krijgen deze extra tijd voor aanpassing.

Wat dit concreet betekent: de AI-geletterdheidsplicht geldt nu al. Verboden toepassingen (sociale-kredietsystemen, real-time biometrische identificatie in openbare ruimtes, emotieherkenning op de werkplek voor beoordeling) zijn per 2 februari 2025 verboden. Dat zijn geen toekomstscenario's.

Wat Nederlandse organisaties anders moeten doen

De AI Act vraagt om vier concrete soorten acties, ongeacht de sector:

1. AI-inventarisatie

Breng in kaart welke AI-systemen de organisatie gebruikt, zowel intern ontwikkeld als ingekocht. Denk aan: recruitment-software met AI-screening, chatbots, people-analytics dashboards, fraude-detectie, geautomatiseerde besluitvorming in klantenprocessen. Veel organisaties onderschatten hoeveel AI-componenten er al in gebruik zijn, ook in standaard SaaS-producten.

2. Risicoklassificatie

Bepaal voor elk geïdentificeerd systeem in welke risicocategorie het valt:

Categorie Voorbeelden Verplichtingen
Verboden Sociale kredietscoring, real-time gezichtsherkenning openbaar, emotieherkenning werkplek Volledig verboden per 2 feb 2025
Hoog risico Recruitment-AI, kredietscoring, biometrische toegangscontrole, medische diagnose Documentatie, conformiteitsbeoordeling, menselijk toezicht
Beperkt risico Chatbots, deepfake-content, emotieherkenning met toestemming Transparantie: gebruiker moet weten dat het AI is
Minimaal risico Spamfilters, productaanbevelingen, eenvoudige automatisering Geen verplichte maatregelen, vrijwillige codes

3. AI-geletterdheid borgen

Artikel 4 verplicht organisaties om te zorgen dat medewerkers die met AI werken over voldoende AI-geletterdheid beschikken. Wat "voldoende" betekent, is niet tot op de letter gedefinieerd, maar de wet noemt technische kennis, de context van de toepassing, en bewustzijn van risico's als relevante elementen. Dit is geen eenmalige training maar een doorlopende verantwoordelijkheid.

4. Governance inrichten

Hoog-risico AI-systemen vereisen intern toezicht: een verantwoordelijke per systeem, een procedure voor het melden van incidenten, en documentatie van hoe menselijk toezicht is georganiseerd. Dat vraagt om organisatorische afspraken, niet alleen technische maatregelen.

Sector-specifieke aandachtspunten

De impact van de AI Act verschilt per sector, afhankelijk van hoe AI er wordt ingezet en welke risicocategorieën relevant zijn.

HR en recruitment

AI-tools voor het screenen van kandidaten, het ranken van sollicitanten, het monitoren van prestaties of het voorspellen van verloop zijn hoog-risico AI. Dat geldt ook als de AI-functionaliteit is ingebouwd in een ingekochte ATS of HR-tool. Als deployer bent u verantwoordelijk voor compliance, ook al heeft u het systeem niet zelf gebouwd. Transparantie naar kandidaten en menselijk toezicht op AI-beslissingen zijn verplicht.

Financiële dienstverlening

Kredietscoring, fraudedetectie en beleggingsadvies op basis van AI zijn hoog-risico. De AFM werkt samen met de AP op handhaving. Organisaties in deze sector zijn vaak al gewend aan streng toezicht, maar de AI Act voegt een extra laag toe specifiek voor de AI-componenten van die systemen.

Gezondheidszorg

Medische AI-systemen (van diagnostische beeldvorming tot klinische beslissingsondersteuning) zijn hoog-risico. Voor CE-gemarkeerde medische hulpmiddelen met AI-functionaliteit gelden extra overgangsregels. De IGJ is betrokken als sectorale toezichthouder.

Overheid en gemeenten

Overheidsorganisaties die AI inzetten voor besluitvorming over burgers (uitkeringen, boetes, vergunningen) zitten in de hoog-risico categorie. De transparantieverplichtingen gaan hier verder, mede in het licht van rechtsbescherming van burgers.

Onderwijs

AI-systemen die worden gebruikt voor het beoordelen van studenten, toelating of leerlingvolgsystemen zijn hoog-risico. Onderwijsinstellingen die AI inzetten voor deze doeleinden moeten hun processen aanpassen.

Aan de slag

  • Maak een AI-inventarisatie: breng in kaart welke AI-systemen uw organisatie inzet en in welke risicocategorie ze vallen.
  • Controleer direct of u verboden AI-toepassingen gebruikt, deze zijn per 2 februari 2025 al onwettig en handhaving is in werking.
  • Borg AI-geletterdheid bij alle medewerkers die met AI werken, dit is een directe verplichting onder artikel 4 AI Act, nu al van kracht.
  • Bepaal uw relevante toezichthouder: AP voor privacy-gerelateerde AI, AFM voor financiële dienstverlening, IGJ voor zorg, ACM voor consumentenmarkten.
  • Plan uw compliance-roadmap richting augustus 2026, wanneer de volledige hoog-risico vereisten ingaan, dit vraagt voorbereiding die nu al moet starten.

Veelgestelde vragen

Wanneer is de AI Act van kracht in Nederland?

De AI Act is in werking getreden op 1 augustus 2024. De verboden op specifieke AI-toepassingen en de AI-geletterdheidsplicht gelden per 2 februari 2025. De volledige compliance-vereisten voor hoog-risico AI gelden per 2 augustus 2026. Bestaande hoog-risico systemen in bepaalde categorieën hebben een extra overgangsperiode tot 2 augustus 2027.

Wie handhaaft de AI Act in Nederland?

De Autoriteit Persoonsgegevens (AP) is aangewezen als coördinerend toezichthouder. Sectorale toezichthouders handhaven binnen hun eigen domein: de AFM voor financiële dienstverlening, de IGJ voor gezondheidszorg, en de ACM voor consumentenmarkten.

Geldt de AI Act ook voor kleine Nederlandse bedrijven?

Ja, de AI Act geldt voor alle organisaties die AI inzetten, ongeacht omvang. De verplichtingen zijn afhankelijk van het risiconiveau van de gebruikte AI-systemen, niet van de organisatiegrootte. Een klein bedrijf dat hoog-risico AI inzet (zoals AI-gestuurde recruitment) heeft dezelfde compliance-verplichtingen als een grote onderneming.

Lees ook

Neem vandaag nog contact met ons op!

Zorg dat jouw organisatie klaar is voor de AI act!

Contact
AICG AI Consultancy Group

AIGeletterdheid.com maakt onderdeel uit van de AI Consultancy Group (AICG)

Socials
Contact
  • Mail ons
Scroll naar boven