De Europese AI-Verordening (Verordening (EU) 2024/1689) — beter bekend als de AI Act — is de eerste uitgebreide AI-wetgeving ter wereld. Voor Nederlandse organisaties is dit geen abstract Europees verhaal: de verordening is rechtstreeks van toepassing, zonder dat er een aparte Nederlandse wet nodig is. En de eerste verplichtingen gelden al sinds 2 augustus 2025.
Toch blijkt uit onderzoek van TNO (2025) dat slechts 23 % van de Nederlandse bedrijven concrete stappen heeft genomen om aan de AI Act te voldoen. De meerderheid wacht af — terwijl de Autoriteit Persoonsgegevens (AP) zich voorbereidt op handhaving. Dit artikel legt uit wat de AI Act precies betekent voor uw organisatie en welke stappen u nu moet zetten.
À retenir
- Artikel 4 van de AI Act verplicht organisaties sinds 2 augustus 2025 om medewerkers AI-competenties bij te brengen
- De Autoriteit Persoonsgegevens (AP) wordt de primaire toezichthouder in Nederland — eerste controles worden verwacht in H2 2026
- Boetes kunnen oplopen tot 15 miljoen euro of 3% van de wereldwijde jaaromzet
- Compliance begint met inventarisatie, opleiding en documentatie — niet met technologie
Lees ook onze volledige AI Act gids — 7 gedetailleerde hoofdstukken.
Wat is de AI Act precies?
De AI-Verordening is het Europese antwoord op de snelle opkomst van kunstmatige intelligentie. Het doel: AI-systemen reguleren op basis van het risico dat ze vormen voor fundamentele rechten en veiligheid.
De verordening hanteert een risicogebaseerde aanpak met vier niveaus:
- Onacceptabel risico (verboden): sociale scoring door overheden, real-time biometrische identificatie in openbare ruimtes (op enkele uitzonderingen na), manipulatieve AI-systemen
- Hoog risico: AI in werving & selectie, kredietbeoordeling, medische diagnostiek, onderwijs. Strenge eisen voor documentatie, menselijk toezicht en transparantie
- Beperkt risico: chatbots, deepfakes, AI-gegenereerde content. Transparantieverplichtingen — gebruikers moeten weten dat ze met AI communiceren
- Minimaal risico: spamfilters, AI-aanbevelingen, spelletjes. Geen specifieke verplichtingen, wel vrijwillige gedragscodes
Voor de meeste Nederlandse bedrijven vallen de gangbare AI-toepassingen (ChatGPT, Copilot, Gemini, geautomatiseerde klantenservice) in de categorie beperkt of minimaal risico. Maar dat betekent niet dat er geen verplichtingen zijn.
23%
van de Nederlandse bedrijven heeft concrete stappen genomen voor AI Act-compliance
Source : TNO Monitor AI & Werk, 2025
Artikel 4: de eerste verplichting die nu al geldt
Van alle bepalingen in de AI Act is Artikel 4 de eerste die in werking is getreden — op 2 augustus 2025. En het raakt élke organisatie die AI-systemen gebruikt.
Wat staat er in Artikel 4?
Artikel 4 verplicht zowel aanbieders als gebruikers van AI-systemen om te zorgen dat hun personeel over een “toereikend niveau van AI-geletterdheid” beschikt. Het vereiste niveau moet worden afgestemd op:
- De technische kennis van de medewerker
- De ervaring en opleiding van de medewerker
- De context waarin het AI-systeem wordt gebruikt
- De personen of groepen op wie het AI-systeem van invloed is
Concreet betekent dit: als uw medewerkers ChatGPT gebruiken voor klantenservice, moeten zij niet alleen weten hóé ze het gebruiken, maar ook de beperkingen kennen (hallucinaties, bias), weten welke gegevens ze wel en niet mogen invoeren, en begrijpen wanneer menselijke tussenkomst nodig is.
Wie valt eronder?
Iedereen. Artikel 4 maakt geen onderscheid naar bedrijfsgrootte. Of u nu een mkb-bedrijf bent met 10 medewerkers of een multinational met 10.000 — als uw personeel AI-systemen gebruikt, moet u aan deze verplichting voldoen.
Let op: “Gebruiker” in de zin van de AI Act is niet de individuele medewerker, maar de organisatie die het AI-systeem inzet. De werkgever is verantwoordelijk voor het waarborgen van AI-geletterdheid — niet de medewerker zelf.
Handhaving in Nederland: de rol van de AP
In Nederland wordt de Autoriteit Persoonsgegevens (AP) de primaire toezichthouder voor de AI Act. De AP heeft in 2025 een speciaal AI-team opgericht en werkt samen met het Ministerie van Economische Zaken aan een handhavingskader.
Wat kunt u verwachten?
- H2 2026: eerste oriënterende controles en sectoronderzoeken
- 2027: proactieve handhaving op hoog-risico AI-systemen (Artikel 6-7)
- Doorlopend: klachtgerichte handhaving — als een medewerker, klant of concurrent een melding doet, kan de AP onderzoek starten
De AP heeft al aangegeven dat zij een pragmatische maar strenge aanpak zal hanteren. Organisaties die aantoonbaar bezig zijn met compliance krijgen meer ruimte dan organisaties die niets hebben gedaan.
Sancties
De boetestructuur is gelaagd:
- Verboden AI-praktijken: tot 35 miljoen euro of 7 % van de wereldwijde jaaromzet
- Niet-naleving van hoog-risico verplichtingen: tot 15 miljoen euro of 3 % van de jaaromzet
- Onjuiste informatie aan toezichthouders: tot 7,5 miljoen euro of 1 % van de jaaromzet
Voor het mkb gelden aangepaste maxima, maar de bedragen blijven significant.
€15M
maximale boete voor niet-naleving van Artikel 4 (AI-geletterdheid) of 3% van de wereldwijde jaaromzet
Source : AI-Verordening (EU) 2024/1689, Artikel 99
Tijdlijn: wanneer geldt wat?
De AI Act treedt gefaseerd in werking:
| Datum | Wat geldt er? |
|---|---|
| 2 februari 2025 | Verboden AI-praktijken (Artikel 5) |
| 2 augustus 2025 | AI-geletterdheid (Artikel 4) + governance-regels |
| 2 augustus 2026 | Verplichtingen voor hoog-risico AI (Artikelen 6-49) + transparantie voor general-purpose AI |
| 2 augustus 2027 | Volledige inwerkingtreding alle bepalingen |
Voor de meeste Nederlandse organisaties is Artikel 4 nu de prioriteit: het geldt al en het raakt iedereen.
Wat moet uw organisatie nu doen? 5 concrete stappen
Stap 1: Inventariseer uw AI-gebruik
Breng in kaart welke AI-systemen uw organisatie gebruikt — formeel én informeel. Uit onderzoek blijkt dat 68 % van de AI-tools in organisaties wordt gebruikt zonder formele goedkeuring (shadow AI). Denk aan:
- ChatGPT, Copilot, Gemini en andere generatieve AI-tools
- AI-functies in bestaande software (CRM, ERP, HR-systemen)
- Geautomatiseerde besluitvorming (kredietscoring, HR-screening)
Stap 2: Classificeer het risico
Bepaal voor elk AI-systeem in welke risicocategorie het valt. De meeste kantoortools (ChatGPT, Copilot) zijn beperkt of minimaal risico. Maar als u AI inzet voor werving, kredietbeoordeling of medische toepassingen, kan het hoog-risico zijn.
Stap 3: Organiseer AI-opleiding
Dit is de kern van Artikel 4-compliance. Een effectieve AI-opleiding voor uw organisatie bevat:
- Basiskennis: hoe werken LLM’s, wat zijn hallucinaties, wat zijn de beperkingen
- Praktische vaardigheden: effectief prompten, resultaten verifiëren, iteratief werken
- Richtlijnen: welke gegevens wel/niet invoeren, wanneer menselijk toezicht nodig is
- Compliance-bewustzijn: wat de AI Act vereist, wat uw interne policy voorschrijft
Een ChatGPT cursus voor bedrijven is een goede eerste stap, maar zorg dat het programma breder is dan één tool.
Stap 4: Stel een AI-beleid op
Documenteer hoe uw organisatie omgaat met AI. Een goed AI-beleid bevat minimaal:
- Goedgekeurde AI-tools en toegestane gebruiksdoelen
- Gegevensclassificatie: wat mag wel/niet in AI-tools
- Procedure bij incidenten (hallucinaties, datalekken, bias)
- Verantwoordelijkheden en escalatieprocedures
Stap 5: Documenteer en monitor
De AP zal bewijs vragen — geen intenties. Documenteer:
- Wie welke opleiding heeft gevolgd en wanneer
- Welke AI-systemen in gebruik zijn en waarvoor
- Risicobeoordelingen en genomen maatregelen
- Incidenten en hoe ze zijn afgehandeld
Tip voor Nederlandse organisaties: De AP heeft aangekondigd dat zij in 2026 sectorspecifieke richtlijnen zal publiceren voor de implementatie van de AI Act. Houd de website van de AP in de gaten en sluit aan bij brancheorganisaties die samenwerken met de toezichthouder. Proactief handelen wordt beloond — achteraf repareren niet.
Veelgemaakte fouten
“We gebruiken alleen ChatGPT, dat telt niet.” ChatGPT is een AI-systeem in de zin van de verordening. Elk gebruik valt onder de AI Act.
“We wachten tot de AP duidelijkheid geeft.” Artikel 4 geldt nu al. Wachten is geen strategie — het is een risico.
“Eén workshop is genoeg.” AI-geletterdheid is geen eenmalig evenement. De technologie verandert maandelijks. Plan kwartaalupdates en zorg voor doorlopende bijscholing.
“Onze IT-afdeling regelt het wel.” AI-geletterdheid is een organisatiebrede verplichting. Elke medewerker die AI gebruikt, moet getraind worden — van receptie tot directie.
Uw organisatie compliant maken met Brain
Brain is het platform voor AI-opleiding dat Nederlandse organisaties helpt om te voldoen aan de AI Act. In plaats van eenmalige workshops biedt Brain korte, interactieve modules aangepast aan elke rol. Het platform documenteert elke voortgang — voor uw interne compliance en voor de toezichthouder.
Het resultaat: duurzame AI-competenties in uw hele organisatie, meetbare productiviteitswinst en een solide basis voor AI Act-compliance.
Gerelateerde artikelen
AI Act: verplichtingen + stappenplan voor NL
AI-Verordening voor Nederlandse bedrijven: risicoklassen, Artikel 4, AP-handhaving, boetes en concreet stappenplan voor compliance.
AI training voor bedrijven: complete gids 2026
Zet een AI-trainingsprogramma op dat werkt. Kosten, AI Act-compliance en meetbare resultaten voor Nederlandse organisaties.