De EU AI Act stelt duidelijke regels voor AI-gebruik in Europa. Maar wie controleert of uw organisatie zich eraan houdt? En wanneer begint actieve handhaving in Nederland? Dit artikel legt het toezichtslandschap uit.
AP en RDI coördineren gezamenlijk
Nederland werkt aan de Uitvoeringswet AI-verordening (UAIV), de wet die de AI Act in nationaal recht verankert. Op 20 april 2026 is het wetsvoorstel gepubliceerd voor internet-consultatie (tot 1 juni 2026). Het voorstel wijst de Autoriteit Persoonsgegevens (AP) en de Rijksinspectie Digitale Infrastructuur (RDI) gezamenlijk aan als coördinerende nationale toezichthouders voor de AI Act.
De keuze voor twee coördinatoren weerspiegelt de breedte van de wet. De AP brengt privacy-, algoritme- en grondrechtenexpertise mee, opgebouwd via jaren aan AVG-toezicht. De RDI heeft de ervaring met productveiligheid en technische standaarden die nodig is voor AI ingebouwd in CE-gemarkeerde producten. Tot de UAIV formeel is aangenomen, is de aanwijzing nog niet wettelijk rond. In de tussentijd opereert de AP via haar Directie Coördinatie Algoritmes (DCA) al feitelijk als coördinerend toezichthouder, op basis van bestaande bevoegdheden onder de AVG en de Algemene wet bestuursrecht.
Coördinerend toezichthouder betekent niet dat AP en RDI alles zelf doen. Zij zijn het centrale aanspreekpunt voor nationale AI-kwesties, werken samen met sectorale toezichthouders, en vormen de schakel met het Europees AI Office. Heeft u te maken met een AI-systeem dat meerdere sectoren raakt, dan komt u via AP of RDI binnen.
De AP heeft voor 2026 een Werkagenda coördinerend AI- en algoritmetoezicht gepubliceerd met vijf prioriteiten: overkoepelend systeemtoezicht, transparantie en uitlegbaarheid, kaders en normen, bias- en fairnesstesten tegen discriminatie, en AI-geletterdheid. Die agenda stuurt ook de handhavingsinzet bij verplichtingen die nu al van kracht zijn: de AI-geletterdheidsplicht uit Artikel 4 en het verbod op bepaalde AI-praktijken uit Artikel 5.
Sectorale toezichthouders
Niet al het AI-toezicht loopt via AP en RDI. Afhankelijk van uw sector krijgt u ook te maken met andere toezichthoudende instanties. De concept-UAIV wijst tien partijen aan, ieder met een eigen bevoegdheidssfeer.
Rijksinspectie Digitale Infrastructuur (RDI)
Bijlage ICoördinator plus specifieke verantwoordelijkheid voor productveiligheid. AI in machines, medische apparaten en gereguleerde producten.
Inspectie Gezondheidszorg en Jeugd (IGJ)
Toezicht op AI in de zorgsector: triage-algoritmes, diagnostische AI, beslissingsondersteunende systemen.
Autoriteit Financiële Markten (AFM)
Gedragstoezicht in de financiële sector. AI voor beleggings- en verzekeringsadvies, geautomatiseerde klantinteracties.
De Nederlandsche Bank (DNB)
Governance en risicobeheer bij financiële instellingen. Kredietbeoordeling, fraudedetectie, operationeel risicobeheer via AI.
Inspectie Leefomgeving en Transport (ILT)
AI in transport, logistiek en leefomgeving: luchtvaart, spoor en wegvervoer.
Nederlandse Voedsel- en Warenautoriteit (NVWA)
Productveiligheid voor consumenten, AI in voedselketens en consumentenartikelen.
Nederlandse Arbeidsinspectie (NLA)
AI in werkplekcontexten: cv-screening, performance monitoring, planningsalgoritmes.
Procureur-Generaal bij de Hoge Raad
Toezicht op AI-gebruik in de rechterlijke macht.
President ABRvS
Toezicht op AI-gebruik in de bestuursrechtspraak.
De verdeling van bevoegdheden wordt formeel geregeld via de UAIV. Tot die wet is aangenomen (verwachting: na zomer 2026), handelen toezichthouders op basis van hun bestaande wettelijke kaders. De Autoriteit Consument en Markt (ACM) is in de consultatieversie niet als AI Act-toezichthouder aangewezen, maar kan via consumenten- en mededingingswetgeving wel een rol spelen bij algoritmische prijsvorming en AI in concurrentiegevoelige markten.
Europees niveau: het AI Office
Boven de nationale toezichthouders staat het EU AI Office, ondergebracht bij DG CNECT van de Europese Commissie. Dit bureau is op 29 mei 2024 opgericht en wordt geleid door directeur Lucilla Sioli. Het houdt toezicht op grote GPAI-modellen zoals ChatGPT, Claude en Gemini, pakt grensoverschrijdende zaken op, en coördineert de nationale toezichthouders.
Voor de meeste Nederlandse MKB-bedrijven is het AI Office indirect relevant. Als uw leverancier een groot internationaal platform is, kan een Europees onderzoek naar dat platform gevolgen hebben voor de tools die u gebruikt.
Wanneer begint actieve handhaving?
Handhaving volgt de inwerkingtreding van verplichtingen. Twee categorieën gelden nu al.
AI-geletterdheid. Artikel 4 is van kracht sinds 2 februari 2025. De AP kan hier nu al op handhaven. De focus ligt voorlopig op bewustmaking, maar bij aantoonbare nalatigheid kan een formele procedure volgen.
Verboden AI-praktijken. Artikel 5 verbiedt bepaalde AI-systemen ook al sinds februari 2025. De acht categorieën omvatten onder meer social scoring, predictive policing puur op basis van profiling, untargeted scraping van gezichtsbeelden, emotieherkenning op de werkplek en in het onderwijs, biometrische categorisatie naar ras of religie, en real-time biometrische identificatie in publieke ruimtes.
Juridisch geldt de transparantieplicht voor chatbots en AI-gegenereerde content (Artikel 50) vanaf 2 augustus 2026; het Digital Omnibus-voorstel verschuift deze datum naar verwachting naar eind 2026. Voor hoog-risico AI-systemen uit Bijlage III geldt juridisch 2 augustus 2026 als handhavingsdatum; het Omnibus-voorstel verschuift dit naar 2 december 2027. Bijlage I schuift van 2 augustus 2027 naar 2 augustus 2028. Tot adoptie in het Publicatieblad (verwacht mei/juni 2026) gelden de oorspronkelijke deadlines. Houd die onzekerheid mee in uw planning.
Bevoegdheden: wat kan een toezichthouder doen?
De bevoegdheden zijn breed: een nationale toezichthouder kan organisaties onaangekondigd bezoeken en systemen inspecteren. Ze kan documenten opvragen: uw AI-register, technische documentatie, risicoanalyses, AI-trainingsbewijzen. Kunt u die niet overleggen, dan staat u direct zwak.
Bij lichte overtredingen of een eerste incident volgt vaak een waarschuwing of aanbeveling. Bij herhaling of ernstige gevallen zijn dwangsommen en boetes het gevolg. De maximale boetes zijn aanzienlijk: tot 35 miljoen euro of 7 procent van de wereldwijde jaaromzet, afhankelijk van welke het hoogst is.
Als er een acuut risico is voor de veiligheid of grondrechten van personen, kan de toezichthouder gebruik van een AI-systeem tijdelijk verbieden. Een ingrijpende maatregel, bedoeld voor uitzonderlijke situaties.
Klachten indienen over AI-gebruik
Burgers en organisaties kunnen bij de nationale toezichthouder een klacht indienen als ze vermoeden dat een andere partij de AI Act overtreedt. Als ondernemer kunt u klagen over een leverancier die niet-conforme AI levert. Als werknemer over uw werkgever die verboden AI inzet op de werkvloer. De AP is verplicht elke klacht serieus te beoordelen.
Dat maakt naleving in de keten afdwingbaar. Wie met AI-tools van derden werkt, heeft er belang bij te controleren of die leverancier zelf compliant is.
Wat te bewaren voor een eventuele inspectie
Een toezichthouder die langskomt, vraagt naar concrete documentatie. Zorg dat u kunt overleggen: een up-to-date AI-register met alle systemen die u gebruikt, bewijs dat medewerkers AI-geletterdheidsstraining hebben gevolgd, documentatie over uw risico-overwegingen per systeem, en voor hoog-risico AI technische documentatie en conformiteitsverklaringen van leveranciers.
Dat hoeft geen perfecte set te zijn. Toezichthouders houden rekening met de omvang van uw organisatie, uw goede wil en de mate van medewerking. Wie aantoonbaar bezig is met compliance, staat veel sterker dan wie het probleem heeft genegeerd.
Wacht niet op een brief van de toezichthouder. Begin met een eerlijke inventarisatie van uw AI-gebruik. De gratis AI Risicoscanner van AIComplianceHub geeft u in vijf minuten een beeld van uw risicoprofiel, inclusief welke toezichthouders voor uw sector het meest relevant zijn.