De AI-Verordening (Verordening (EU) 2024/1689) — in het dagelijks spraakgebruik de AI Act — is op 1 augustus 2024 in werking getreden en wordt gefaseerd van kracht. Nederland heeft geen aparte implementatiewet nodig: de verordening is rechtstreeks van toepassing. Toch laat onderzoek van TNO zien dat de meerderheid van de Nederlandse bedrijven nog geen concrete compliance-stappen heeft gezet.
Deze gids biedt u het volledige overzicht: van de basisprincipes tot een uitvoerbaar actieplan. Of u nu directeur, compliance-officer of HR-manager bent — na dit artikel weet u precies waar uw organisatie aan toe is.
À retenir
- De AI Act is een Europese verordening die rechtstreeks geldt in Nederland — geen aparte wet nodig
- Artikel 4 (AI-geletterdheid) is al van kracht sinds 2 augustus 2025 en geldt voor élke organisatie die AI inzet
- De Autoriteit Persoonsgegevens (AP) wordt de primaire toezichthouder en start in H2 2026 met oriënterende controles
- Boetes lopen op tot 35 miljoen euro of 7% van de wereldwijde jaaromzet bij verboden AI-praktijken
- Compliance is een organisatiebreed traject — niet alleen een IT-kwestie
Lees ook onze volledige AI Act gids — 7 gedetailleerde hoofdstukken.
Wat is de AI Act?
De AI Act is het Europese regelgevingskader voor kunstmatige intelligentie. Het doel is drieledig: fundamentele rechten beschermen, innovatie stimuleren en juridische zekerheid bieden aan bedrijven die AI ontwikkelen of gebruiken.
Anders dan de AVG (die zich richt op persoonsgegevens) reguleert de AI Act het AI-systeem zelf — ongeacht of er persoonsgegevens bij betrokken zijn. Beide regelgevingen gelden naast elkaar: als u AI inzet voor het verwerken van persoonsgegevens, moet u aan zowel de AVG als de AI Act voldoen.
€35M
maximale boete voor verboden AI-praktijken — of 7% van de wereldwijde jaaromzet
Source : AI-Verordening (EU) 2024/1689, Artikel 99
De vier risicoklassen uitgelegd
Het fundament van de AI Act is een risicogebaseerde benadering. Elk AI-systeem wordt ingedeeld in een van vier categorieën, en de verplichtingen nemen toe naarmate het risico hoger is.
1. Onacceptabel risico (verboden)
Sinds 2 februari 2025 zijn de volgende AI-toepassingen in de EU verboden:
- Sociale scoring door overheden (beoordeling van burgers op basis van sociaal gedrag)
- Real-time biometrische identificatie in publiek toegankelijke ruimtes (met beperkte uitzonderingen voor rechtshandhaving)
- Manipulatieve AI-systemen die kwetsbare groepen uitbuiten
- Emotieherkenning op de werkplek en in het onderwijs
- Ongerichte scraping van gezichtsbeelden voor databanken
2. Hoog risico
AI-systemen die worden ingezet op gebieden als werving en selectie, kredietbeoordeling, medische diagnostiek, publieke dienstverlening en onderwijs vallen onder strenge verplichtingen: conformiteitsbeoordeling, technische documentatie, menselijk toezicht, en registratie in een EU-databank.
3. Beperkt risico
Chatbots, deepfake-generatoren en AI-gegenereerde content vallen in deze categorie. De belangrijkste eis is transparantie: gebruikers moeten weten dat ze met AI communiceren.
4. Minimaal risico
Het overgrote deel van de AI-toepassingen — spamfilters, aanbevelingssystemen, spelletjes — valt hier. Er gelden geen specifieke verplichtingen, al moedigt de verordening vrijwillige gedragscodes aan.
Weet u niet zeker in welke risicoklasse uw AI-systeem valt? Begin met een inventarisatie van al het AI-gebruik in uw organisatie. In veel gevallen worden tools als ChatGPT, Copilot en Gemini geclassificeerd als beperkt risico — maar als u ze inzet voor HR-screening of klantenbeoordeling, kan het oordeel anders uitvallen.
Artikel 4: AI-geletterdheid — de verplichting die nu al geldt
Van alle bepalingen in de AI Act krijgt Artikel 4 de meeste directe impact op Nederlandse organisaties. Sinds 2 augustus 2025 is elke organisatie die AI-systemen aanbiedt of gebruikt verplicht om te waarborgen dat het personeel over een toereikend niveau van AI-geletterdheid beschikt.
Dit is geen vrijblijvende aanbeveling. Het gaat om een wettelijke verplichting waarop de Autoriteit Persoonsgegevens kan handhaven. En het geldt ongeacht uw bedrijfsgrootte — van mkb tot multinational.
Wat houdt AI-geletterdheid in?
Het vereiste niveau wordt bepaald door vier factoren:
- Technische kennis van de medewerker
- Ervaring en opleiding — een data-analist heeft andere training nodig dan een receptionist
- De context waarin het AI-systeem wordt gebruikt
- De impact op personen of groepen die door het AI-systeem worden geraakt
Concreet betekent dit dat uw medewerkers moeten begrijpen hoe AI-tools werken, waar de beperkingen liggen (hallucinaties, bias, privacyrisico’s), en wanneer menselijk ingrijpen nodig is.
Volledige tijdlijn: wanneer geldt wat?
De AI Act treedt gefaseerd in werking over een periode van drie jaar:
| Datum | Mijlpaal |
|---|---|
| 1 augustus 2024 | AI Act treedt in werking |
| 2 februari 2025 | Verboden AI-praktijken (Artikel 5) |
| 2 augustus 2025 | AI-geletterdheid (Artikel 4) + governance-structuur |
| 2 augustus 2026 | Hoog-risico verplichtingen (Artikelen 6-49) + transparantie-eisen voor general-purpose AI |
| 2 augustus 2027 | Volledige inwerkingtreding van alle bepalingen |
Voor de meeste Nederlandse organisaties is de urgentie nu: Artikel 4 geldt al en de hoog-risico verplichtingen komen er in augustus 2026 aan.
Handhaving: de rol van de Autoriteit Persoonsgegevens
De AP is aangewezen als de primaire toezichthouder voor de AI Act in Nederland. Dit is een bewuste keuze: de AP heeft al ervaring met techniekregelgeving (AVG) en beschikt over de benodigde handhavingsinstrumenten.
Handhavingsplanning
- H2 2026: oriënterende controles en sectoronderzoeken — de AP brengt in kaart welke sectoren het verst achterlopen
- 2027: proactieve handhaving op hoog-risico systemen
- Doorlopend: klachtgerichte handhaving — meldingen van medewerkers, klanten of concurrenten kunnen een onderzoek triggeren
Boetestructuur
| Overtreding | Maximumboete |
|---|---|
| Verboden AI-praktijken | €35 miljoen of 7% jaaromzet |
| Niet-naleving hoog-risico verplichtingen | €15 miljoen of 3% jaaromzet |
| Onjuiste informatie aan de toezichthouder | €7,5 miljoen of 1% jaaromzet |
Voor mkb-bedrijven gelden proportioneel lagere maxima, maar de bedragen blijven aanzienlijk.
68%
van de AI-tools in organisaties wordt gebruikt zonder formele goedkeuring (shadow AI)
Source : Salesforce State of IT Report, 2025
AI Act en de AVG: hoe verhouden ze zich?
Een veelgestelde vraag bij Nederlandse organisaties: hoe verhoudt de AI Act zich tot de AVG? Het antwoord is dat beide regelgevingen naast elkaar gelden. De AVG reguleert de verwerking van persoonsgegevens; de AI Act reguleert het AI-systeem zelf.
In de praktijk betekent dit:
- AVG-verplichtingen blijven volledig van kracht — een DPIA (Data Protection Impact Assessment) is nog steeds vereist als u persoonsgegevens verwerkt met AI
- AI Act-verplichtingen komen daar bovenop: risicoklassificatie, AI-geletterdheid, documentatie, menselijk toezicht
- Bij hoog-risico AI die persoonsgegevens verwerkt, moet u voldoen aan beide kaders — inclusief de eisen van de AP als toezichthouder voor zowel de AVG als de AI Act
Wilt u meer weten over de privacyaspecten? Lees dan onze gids over AI en gegevensbescherming.
Concreet stappenplan: 7 acties voor compliance
1. Inventariseer al het AI-gebruik
Breng in kaart welke AI-systemen uw organisatie gebruikt — inclusief shadow AI. Denk aan ChatGPT, Copilot, Gemini, maar ook AI-functies in uw CRM, HR-software en boekhoudsysteem.
2. Classificeer elk systeem per risicoklasse
Bepaal voor elk AI-systeem of het onacceptabel, hoog, beperkt of minimaal risico is. Documenteer uw beoordeling. Bij twijfel: raadpleeg de bijlagen van de AI-Verordening of schakel juridisch advies in.
3. Organiseer AI-opleiding (Artikel 4)
Dit is uw meest urgente actie. Zorg dat elke medewerker die met AI werkt over de juiste kennis beschikt. Een ChatGPT-cursus voor bedrijven is een goed startpunt, maar zorg dat het programma rolspecifiek is en breder dan één tool.
4. Stel een AI-beleid op
Documenteer spelregels voor AI-gebruik in uw organisatie: goedgekeurde tools, gegevensbescherming, escalatieprocedures en verantwoordelijkheden. Lees meer over het opstellen van een AI-beleid voor bedrijven.
5. Voer een risicobeoordeling uit
Voor hoog-risico AI-systemen is een conformiteitsbeoordeling verplicht. Maar ook voor beperkt-risico systemen is een risicobeoordeling verstandig — het is de basis voor verantwoord AI-gebruik.
6. Richt governance in
Wijs verantwoordelijkheden toe: wie bewaakt de naleving? Wie beslist over nieuwe AI-tools? Een duidelijke governance-structuur maakt compliance beheersbaar en voorkomt dat het bij goede intenties blijft.
7. Monitor, documenteer en actualiseer
Compliance is geen eindpunt. De technologie ontwikkelt zich snel, regelgeving wordt aangescherpt, en uw AI-gebruik verandert. Plan kwartaalupdates en houd uw documentatie actueel.
Veelgemaakte fout: veel organisaties denken dat AI Act-compliance een eenmalig project is. Dat is het niet. Net als bij de AVG is het een doorlopend proces dat verankerd moet worden in uw bedrijfsvoering. Organisaties die dit onderschatten, lopen risico bij de eerste AP-controle.
Sectorspecifieke aandachtspunten
De impact van de AI Act verschilt per sector:
- Financiële dienstverlening: AI voor kredietbeoordeling en fraudedetectie valt onder hoog risico. Lees meer in onze gids voor accountants en financials.
- Gezondheidszorg: medische diagnostiek met AI is hoog risico. Strenge eisen aan documentatie en menselijk toezicht.
- Overheid: social scoring is verboden, en AI voor overheidsdienstverlening valt vaak onder hoog risico.
- HR en werving: AI-screening van kandidaten is expliciet benoemd als hoog risico. Zorg voor transparantie en een menselijke besluitnemer.
- Mkb: dezelfde verplichtingen gelden, maar met proportionele boetes. Begin met Artikel 4 — lees onze mkb-gids.
Waarom nu handelen?
Drie redenen om niet te wachten:
- Artikel 4 geldt al. Elke dag zonder actie is een dag van non-compliance.
- De AP beloont proactiviteit. Organisaties die aantoonbaar bezig zijn met compliance krijgen meer ruimte dan organisaties die niets hebben gedaan.
- Concurrentievoordeel. Organisaties die hun medewerkers goed opleiden in AI presteren meetbaar beter — niet alleen op compliance, maar ook op productiviteit en innovatie.
Aan de slag met Brain
Brain helpt Nederlandse organisaties om te voldoen aan de AI Act met een schaalbare aanpak. Het platform biedt korte, interactieve AI-opleidingsmodules die zijn afgestemd op elke rol — van receptie tot directie. Elke voortgang wordt gedocumenteerd, zodat u de AP kunt laten zien dat uw organisatie serieus werk maakt van AI-geletterdheid.
Het resultaat: duurzame AI-competenties, meetbare vooruitgang en een solide basis voor compliance.
Gerelateerde artikelen
AI Act Nederland: Artikel 4 + stappenplan
AI-Verordening voor Nederlandse organisaties — Artikel 4, AP-handhaving, tijdlijn en concrete stappen naar compliance.
AI training voor bedrijven: complete gids 2026
Zet een AI-trainingsprogramma op dat werkt. Kosten, AI Act-compliance en meetbare resultaten voor Nederlandse organisaties.