AI compliance is meer dan een vinkje voor de auditor. Het is hoe u aantoont dat uw AI-gebruik veilig, transparant en wettig is. Op deze pagina leest u wat het inhoudt, welke vijf pijlers tellen en hoe u stap voor stap voldoet aan de EU AI Act, AVG en sectorale regels.
AI compliance is het geheel aan beleid, processen, documentatie en controles waarmee een organisatie aantoont dat haar AI-gebruik voldoet aan toepasselijke wetgeving en aan eigen interne richtlijnen. In Europa staat de EU AI Act centraal, maar AVG, sectorale regels en arbeidsrecht horen er net zo goed bij.
Compliance is geen eenmalige actie. Een AI-systeem verandert: nieuwe versies, nieuwe data, nieuwe gebruiksdoelen. Daarom is AI compliance een doorlopend proces met governance, monitoring en periodieke heroverweging. Wie compliance ziet als kwartaalproject loopt onvermijdelijk achter de feiten aan.
Heldere rolverdeling, een AI-beleid en besluitvorming over wat wel en niet mag. Lees meer in AI Governance of AI-beleid opstellen.
Aantoonbare training voor iedereen die met AI werkt. Verplicht onder Artikel 4 sinds 2 februari 2025. Zie AI-geletterdheid.
AI-inventaris, risicoclassificatie en passende beheersmaatregelen per systeem. Zie AI-risicoanalyse en AI-inventaris.
Technische documentatie, transparantie-informatie, FRIA waar verplicht en een conformiteitsbeoordeling voor hoog-risico systemen. Zie AI Act documentatie.
Logging, periodieke evaluatie van prestatie en bias, incident-meldprocedures en post-market monitoring. Compliance-by-design aan de voorkant en compliance-by-watch aan de achterkant.
AI compliance is niet hetzelfde als AVG-compliance, en ISO 42001 is geen vervanging van de AI Act. De kaders versterken elkaar.
Een uitgebreide checklist staat op de AI Act checklist.
Een AI-managementsysteem in spreadsheets en gedeelde mappen werkt op kleine schaal. Zodra u meer dan een handvol AI-systemen heeft, of zodra een toezichthouder vraagt om aantoonbaarheid, loopt die aanpak vast. Een dedicated platform combineert AI-register, risicoanalyse, documentgeneratie en e-learning op een plek.
Onze eigen oplossing is AIComplianceHub — een Nederlandstalig platform dat alle vijf pijlers in een werkstroom giet, met doorlopende updates wanneer regelgeving verandert. Zie ook de prijzen voor de plannen.
De AI Act geldt overal, maar de invulling verschilt per branche. Hieronder de sectoren met de zwaarste hoog-risico-classificaties.
AI compliance is het geheel van maatregelen waarmee een organisatie aantoont dat haar AI-gebruik voldoet aan wet- en regelgeving en aan eigen interne richtlijnen. In de EU draait het primair om de AI Act, maar AVG, sectorregels (zoals MDR voor medische AI) en arbeidsrechtelijke kaders zijn even belangrijk.
Sinds 2 februari 2025 zijn de eerste AI Act-verplichtingen van kracht: AI-geletterdheid (Art. 4) en het verbod op acht AI-praktijken (Art. 5). Boetes lopen op tot 35 miljoen euro of 7% van de wereldwijde omzet. Daarnaast zien we toezichthouders zoals de Autoriteit Persoonsgegevens al actief onderzoek doen naar HR-AI en algoritmes in de publieke sector.
GDPR en AVG gaan over persoonsgegevens — wie welke data over een persoon mag verwerken. AI compliance gaat over het AI-systeem zelf — hoe het is gebouwd, getest, gedocumenteerd en gemonitord. De twee overlappen veel (vooral bij geautomatiseerde besluitvorming uit Art. 22 AVG) maar vervangen elkaar niet. Een AI-systeem kan AVG-compliant zijn en toch in strijd met de AI Act.
ISO/IEC 42001:2023 is een internationale norm voor een AI-managementsysteem. Het is geen wet, maar wel een erkend kader dat helpt bij het structureren van AI compliance. Een organisatie met ISO 42001 voldoet niet automatisch aan de AI Act, maar heeft wel een sterke governance-basis.
Typisch: een eindverantwoordelijke (vaak directie of CTO), een AI-officer of compliance-officer, FG/DPO voor het AVG-vlak, security-officer, en operationele eigenaren per AI-systeem. In een kleinere organisatie combineert een persoon meerdere rollen. Cruciaal is dat verantwoordelijkheid expliciet belegd is, niet impliciet.
Begin met inventariseren: welke AI-systemen worden in uw organisatie gebruikt of ontwikkeld? Onze gratis 5-minuten risicoscan geeft direct een eerste classificatie. Vervolgens: AI-beleid opstellen, AI-geletterdheid borgen, en de hoog-risico-systemen prioriteren voor documentatie en monitoring.
Sterk afhankelijk van de schaal en het type AI. Voor MKB met enkele AI-toepassingen ligt een SaaS-platform vanaf rond 50 euro per maand. Een externe consultant kost typisch 150-300 euro per uur. Een hoog-risico systeem onder Bijlage III vereist substantieel meer werk: technische documentatie, conformiteitsbeoordeling, post-market monitoring.
Ja. Als u AI-tools inkoopt en in uw bedrijfsvoering inzet, bent u deployer (gebruiksverantwoordelijke). U moet onder andere zorgen voor menselijk toezicht, transparantie naar betrokkenen, AI-geletterdheid bij personeel en monitoring van de output. De leverancier dekt het provider-deel, niet uw deployer-verplichtingen.
Vijf minuten, geen account nodig. U krijgt direct inzicht in welke compliance-stappen voor uw organisatie als eerste tellen.
