Interactieve checklist om uw AI Act-compliance te verifiëren volgens uw rol in de organisatie. DPO, HR-directeur, CIO, directie en MKB-directeuren.
De meest voorkomende fout bij de AI Act: geloven dat één enkele afdeling de compliance kan dragen. De DPO kan het niet alleen. De CIO evenmin. AI Act-compliance mobiliseert juridische, technische, HR- en strategische competenties — het kan alleen slagen als elke functie zijn specifieke verantwoordelijkheden op zich neemt.
Dit hoofdstuk biedt u een interactieve checklist per rol om precies te identificeren wat u aangaat en uw voortgang te volgen.
De DPO (of de complianceverantwoordelijke) speelt een centrale rol. Hij moet alle AI-systemen inventariseren, ze classificeren volgens de risiconiveaus van de verordening en ervoor zorgen dat verboden praktijken niet worden toegepast in de organisatie. Dit werk vormt een aanvulling op de bestaande verplichtingen onder de AVG (Algemene Verordening Gegevensbescherming) inzake de bescherming van persoonsgegevens.
Hij is ook de schakel tussen de directie, de CIO en HR: hij coördineert de inspanningen en bereidt de bewijzen voor met het oog op een eventuele audit.
Artikel 26, lid 5 — Règlement (UE) 2024/1689
De gebruiksverantwoordelijken van hoog-risico AI-systemen bewaken de werking van het hoog-risico AI-systeem op basis van de gebruiksaanwijzing en […] informeren de aanbieder of distributeur en de bevoegde markttoezichtautoriteit.
Artikel 4 plaatst AI-opleiding in het hart van de compliance. De HR-directeur is het best gepositioneerd om een competentieontwikkelingsprogramma te implementeren dat is aangepast aan elk medewerkersprofiel.
Dit beperkt zich niet tot het organiseren van een webinar. Er moet het opleidingstraject gedocumenteerd, de verworven kennis gemeten en bewijzen geproduceerd kunnen worden dat het AI-geletterdheidsniveau evenredig is met de functie van iedereen.
📄AI Act Artikel 4: de opleidingsverplichting uitgelegd→De CIO heeft de verantwoordelijkheid om alle ingezette AI-systemen in kaart te brengen — inclusief die welke door de business zonder validatie zijn aangenomen (shadow AI). Voor elk als hoog risico geclassificeerd systeem moet hij de technische documentatie implementeren, de traceerbaarheid van algoritmische beslissingen garanderen en de vereiste mechanismen voor menselijk toezicht integreren.
De meest voorkomende uitdaging: AI-tools die zijn ingebed in software van derden (CRM, ERP, kantoortools). De CIO moet deze “onzichtbare” AI-componenten identificeren en hun risiconiveau verifiëren.
📄Shadow IT in het bedrijf: risico's en oplossingen in 2026→De algemene directie moet de compliancestrategie valideren, de budgetten toewijzen (met name voor de opleiding van Artikel 4) en een AI Act-verantwoordelijke aanwijzen. Ze volgt de voortgang via een compliance-dashboard en anticipeert op de regelgevende deadlines om onaangename verrassingen te vermijden.
Het belangrijkste risico voor de directie: budgettaire onderschatting. AI Act-compliance heeft een prijs — maar die is veel lager dan de potentiële sancties (tot 35 miljoen euro of 7% van de wereldwijde omzet).
Het MKB is niet vrijgesteld van de AI Act. Maar de aanpak moet evenredig zijn: identificeren of het bedrijf AI-systemen gebruikt (zelfs indirect via software van derden), de teams opleiden in de juiste reflexen, de compliance van leveranciers verifiëren en het gebruik documenteren. Nederlandse bedrijven die samenwerken met overheidsinstanties als het UWV of de Belastingdienst — die zelf AI-systemen inzetten — dienen zich ervan bewust te zijn dat ook zij als gebruiksverantwoordelijke verplichtingen kunnen hebben.
Voor een MKB-bedrijf is de absolute prioriteit Artikel 4: een gedocumenteerd opleidingsprogramma, zelfs een eenvoudig, volstaat om de goede trouw van de organisatie aan te tonen.
Selecteer uw rol en vink de reeds uitgevoerde acties aan. Uw voortgang wordt lokaal opgeslagen in uw browser — u kunt er op elk moment naar terugkeren.
Selectionnez votre role :
De checklist per rol is nuttig om individuele verantwoordelijkheden te verduidelijken. Maar AI Act-compliance vereist een actieve coördinatie tussen functies. Hier zijn de essentiële mechanismen.
Breng DPO, HR-directeur, CIO en een directielid samen in een toegewijd comité dat maandelijks bijeenkomt. Het doel: de voortgang delen, blokkades opheffen en prioriteiten bepalen. Zonder dit comité werkt elke functie in een silo en vermenigvuldigen de blinde vlekken zich.
De DPO coördineert, de CIO levert de technische kaart, de HR-directeur identificeert het bedrijfsgebruik. De inventaris moet uniek, gedeeld en regelmatig bijgewerkt zijn. Een Excel-tabel kan voldoende zijn om te beginnen — het belangrijkste is dat het bestaat en volledig is.
Het door HR aangestuurde opleidingsprogramma moet worden gekalibreerd op basis van de risicoclassificatie die door de DPO is vastgesteld. Medewerkers die hoog-risicosystemen gebruiken hebben een diepgaandere opleiding nodig dan degenen die een eenvoudige conversatie-assistent gebruiken.
Wacht niet op een controle om uw dossier samen te stellen. Elke compliance-actie moet worden gedocumenteerd met datum, verantwoordelijke en oplevering. De bewijslast rust op de organisatie: het is aan u om aan te tonen dat u hebt gehandeld.
📄AI-governance in het bedrijf: 5 stappen om te structureren→De uitdaging van traceerbaarheid
De AI Act vraagt niet om perfectie — het vraagt om bewijs van inspanning. Een gedocumenteerd opleidingsprogramma, een bijgehouden inventaris van AI-systemen, notulen van compliancecomités: deze elementen vormen uw eerste verdedigingslinie bij een controle. De volledige afwezigheid van documentatie is daarentegen een vastgesteld verzuim.