De EU AI Act stelt duidelijke regels voor AI-gebruik in Europa. Maar wie controleert of uw organisatie zich eraan houdt? En wanneer begint actieve handhaving in Nederland? Dit artikel legt het toezichtslandschap uit.
De Autoriteit Persoonsgegevens coördineert
Nederland heeft de Autoriteit Persoonsgegevens (AP) aangewezen als coördinerend nationaal toezichthouder voor de AI Act. Een logische keuze: de AP heeft jarenlange ervaring met technologietoezicht via de AVG. Ze beschikt over juridische en technische expertise. Ze heeft al een werkende infrastructuur voor klachtenbehandeling en handhaving.
Coördinerend toezichthouder betekent niet dat de AP alles alleen doet. Zij is het centrale aanspreekpunt voor nationale AI-kwesties. Ze werkt samen met sectorale toezichthouders en is de schakel met het Europees AI-bureau. Heeft u te maken met een AI-systeem dat meerdere sectoren raakt, dan is de AP uw eerste ingang.
De AP stelt een speciaal AI-team samen. Dat team richt zich aanvankelijk op bewustwording. Maar het zal ook handhavend optreden bij overtredingen van verplichtingen die nu al van kracht zijn: de AI-geletterdheidsplicht uit Artikel 4 en het verbod op bepaalde AI-praktijken uit Artikel 5.
Sectorale toezichthouders
Niet alle AI-toezicht loopt via de AP. Afhankelijk van uw sector krijgt u ook te maken met andere toezichthoudende instanties.
Rijksinspectie Digitale Infrastructuur. De RDI houdt toezicht op productveiligheid. Ze is bevoegd bij AI-systemen ingebouwd in machines, medische apparaten en andere gereguleerde producten (Bijlage I van de AI Act).
Inspectie Gezondheidszorg en Jeugd. De IGJ houdt toezicht op AI-toepassingen in de zorgsector: triage-algoritmes, diagnostische AI en beslissingsondersteunende systemen in ziekenhuizen en huisartsenpraktijken.
Autoriteit Financiële Markten. De AFM kijkt naar gedragstoezicht in de financiële sector. AI voor beleggingsadvies, verzekeringsadvies of geautomatiseerde klanteninteracties valt onder haar aandacht.
De Nederlandsche Bank. DNB toetst governance en risicobeheer bij financiële instellingen. Kredietbeoordeling, fraudedetectie en operationeel risicobeheer via AI horen bij hun verantwoordelijkheden.
Autoriteit Consument en Markt. De ACM is bevoegd bij AI in consumentenmarkten en mededinging. Algoritmische prijsvorming, discriminatoire systemen en AI in kritieke infrastructuur als energie en telecom vallen in haar werkgebied.
De verdeling van bevoegdheden wordt formeel geregeld via de Nederlandse AI Act-implementatiewet, verwacht in de loop van 2026. Tot die wet er is, handelen toezichthouders op basis van hun bestaande wettelijke kaders.
Europees niveau: het AI Office
Boven de nationale toezichthouders staat het EU AI Office, ondergebracht bij de Europese Commissie. Dit bureau is in 2024 opgericht. Het houdt toezicht op grote GPAI-modellen zoals ChatGPT, Claude en Gemini, pakt grensoverschrijdende zaken op, en coördineert de nationale toezichthouders.
Voor de meeste Nederlandse MKB-bedrijven is het AI Office indirect relevant. Als uw leverancier een groot internationaal platform is, kan een Europees onderzoek naar dat platform gevolgen hebben voor de tools die u gebruikt.
Wanneer begint actieve handhaving?
Handhaving volgt de inwerkingtreding van verplichtingen. Twee categorieën gelden nu al.
AI-geletterdheid. Artikel 4 is van kracht sinds 2 februari 2025. De AP kan hier nu al op handhaven. De focus ligt voorlopig op bewustmaking, maar bij aantoonbare nalatigheid kan een formele procedure volgen.
Verboden AI-praktijken. Artikel 5 verbiedt bepaalde AI-systemen ook al sinds februari 2025. Sociale kredietsystemen, manipulatieve AI en bepaalde vormen van biometrische identificatie zijn verboden.
Vanaf 2 november 2026 gaat de transparantieplicht voor chatbots en AI-gegenereerde content in (Artikel 50, verschoven via het Digital Omnibus-pakket). Voor hoog-risico AI-systemen uit Bijlage III geldt handhaving vanaf december 2027, mits het Digital Omnibus-pakket formeel wordt aangenomen. Is dat niet het geval voor augustus 2026, dan gelden de oorspronkelijke deadlines. Houd die onzekerheid mee in uw planning.
Bevoegdheden: wat kan een toezichthouder doen?
De bevoegdheden zijn breed. Een nationale toezichthouder kan organisaties onaangekondigd bezoeken en systemen inspecteren. Ze kan documenten opvragen: uw AI-register, technische documentatie, risicoanalyses, AI-trainingsbewijzen. Kunt u die niet overleggen, dan staat u direct zwak.
Bij lichte overtredingen of een eerste incident volgt vaak een waarschuwing of aanbeveling. Bij herhaling of ernstige gevallen zijn dwangsommen en boetes het gevolg. De maximale boetes zijn aanzienlijk: tot 35 miljoen euro of 7 procent van de wereldwijde jaaromzet, afhankelijk van welke het hoogst is.
Als er een acuut risico is voor de veiligheid of grondrechten van personen, kan de toezichthouder gebruik van een AI-systeem tijdelijk verbieden. Een ingrijpende maatregel, bedoeld voor uitzonderlijke situaties.
Klachten indienen over AI-gebruik
Burgers en organisaties kunnen bij de AP een klacht indienen als ze vermoeden dat een andere partij de AI Act overtreedt. Als ondernemer kunt u klagen over een leverancier die niet-conforme AI levert. Als werknemer over uw werkgever die verboden AI inzet op de werkvloer. De AP is verplicht elke klacht serieus te beoordelen.
Dat maakt naleving in de keten afdwingbaar. Wie met AI-tools van derden werkt, heeft er belang bij te controleren of die leverancier zelf compliant is.
Wat te bewaren voor een eventuele inspectie
Een toezichthouder die langskomt, vraagt naar concrete documentatie. Zorg dat u kunt overleggen: een up-to-date AI-register met alle systemen die u gebruikt, bewijs dat medewerkers AI-geletterdheidsstraining hebben gevolgd, documentatie over uw risico-overwegingen per systeem, en voor hoog-risico AI technische documentatie en conformiteitsverklaringen van leveranciers.
Dat hoeft geen perfecte set te zijn. Toezichthouders houden rekening met de omvang van uw organisatie, uw goede wil en de mate van medewerking. Wie aantoonbaar bezig is met compliance, staat veel sterker dan wie het probleem heeft genegeerd.
Wacht niet op een brief. Begin met een eerlijke inventarisatie van uw AI-gebruik. De gratis AI Risicoscanner van AIComplianceHub geeft u in vijf minuten een beeld van uw risicoprofiel, inclusief welke toezichthouders voor uw sector het meest relevant zijn.