Toezicht op AI krijgt vorm: wat betekent de uitvoeringswet voor jouw organisatie?

Inleiding

De AI-verordening treedt sinds 1 augustus 2024 gefaseerd in werking met het doel om AI-systemen te reguleren. Hoe groter het risico dat een systeem vormt voor mensen, hoe strenger de eisen. Het doel is veilige, transparante en grondrechten-respecterende AI binnen de Europese interne markt.

Op 20 april 2026 heeft staatssecretaris Aerdts de uitvoeringswet AI-verordening in internetconsultatie gebracht. Tot en met 1 juni 2026 kan iedereen reageren op het wetsvoorstel. Daarmee zet Nederland een concrete stap richting structureel nationaal toezicht op de Europese AI-verordening, die voor een groot deel al van kracht is. Dit is dan ook het moment om te weten waar je aan toe bent, en wat dit concreet van jouw organisatie vraagt.

Hoe is het toezicht georganiseerd?

Nederland kiest voor een hybride model met tien markttoezichthouders. Dat betekent: geen enkele centrale AI-autoriteit (zoals Spanje die met AESIA heeft opgericht), maar ook geen volledig gedecentraliseerd model. In plaats daarvan houdt elke toezichthouder toezicht op AI binnen het eigen domein. De Autoriteit Financiële Markten blijft verantwoordelijk voor financiële toepassingen, de Inspectie Gezondheidszorg en Jeugd voor zorgtoepassingen, de Nederlandse Arbeidsinspectie voor AI op de werkvloer, enzovoort. Organisaties krijgen daardoor zoveel mogelijk te maken met toezichthouders die zij al kennen.

Waarom deze keuze? Sectorale toezichthouders hebben al domeinkennis. De AFM weet hoe kredietverlening werkt, de IGJ kent de zorgketen. Een centrale AI-autoriteit zou die kennis vanaf nul moeten opbouwen. Tegelijk zou puur sectoraal toezicht versplintering opleveren. Daarom krijgen twee organisaties een centrale, coördinerende rol:

De Autoriteit Persoonsgegevens (AP) wordt toezichthouder voor gebieden zonder aangewezen sectorale toezichthouder, én voor verboden AI-praktijken, transparantieverplichtingen en een groot deel van de hoog-risico toepassingen. Denk aan AI ingezet in werk, onderwijs en overheid.
De Rijksinspectie Digitale Infrastructuur (RDI) krijgt samen met de AP een coördinerende rol, en wordt medeverantwoordelijk voor kennisopbouw, harmonisatie en de AI regulatory sandbox.

De sandbox is een begeleide omgeving waarin AI-aanbieders tijdens de ontwikkeling van hun systeem vragen kunnen voorleggen aan toezichthouders. Het doel is innovatie en naleving te combineren: organisaties krijgen vroegtijdig duidelijkheid over wat de wet van hen vraagt, zodat zij niet achteraf hoeven bij te sturen.

Eerst weten: ben je aanbieder of gebruiksverantwoordelijke?

Voordat je nadenkt over toezicht, is het zaak je eigen rol te bepalen. De AI-verordening maakt onderscheid tussen twee posities:

Aanbieders ontwikkelen AI-systemen en brengen ze op de markt of nemen ze in gebruik onder eigen naam. Denk aan OpenAI (ChatGPT), Alphabet (Gemini), Microsoft (Copilot), enzovoort. Voor hen geldt het zwaarste pakket aan verplichtingen: risicobeheer, datakwaliteit, technische documentatie, conformiteitsbeoordeling.
Gebruiksverantwoordelijken zetten AI-systemen in voor hun eigen doeleinden. De meeste organisaties vallen in deze categorie. De verplichtingen zijn lichter, maar niet onbelangrijk: zorgen voor menselijk toezicht, monitoren of het systeem werkt zoals bedoeld, en bij hoog-risico toepassingen impactanalyses uitvoeren.

Het onderscheid lijkt eenvoudig, maar de praktijk is vaak gelaagd. Een gemeente die Chat-GPT inzet voor het opstellen van conceptbeschikkingen is gebruiksverantwoordelijke. Maar als diezelfde gemeente een eigen chatbot ontwikkelt op basis van een onderliggend model, kan ze onder bepaalde omstandigheden alsnog aanbieder worden. Dat onderscheid bepaalt welke verplichtingen voor jou gelden, en wie jouw toezichthouder is.

Wat betekent dit concreet voor jouw organisatie?

De uitvoeringswet is nog in consultatie, maar dat betekent niet dat je kunt wachten. Belangrijke onderdelen van de AI-verordening zijn al van kracht, waaronder de regels over verboden AI-praktijken en de verplichting tot AI-geletterdheid. Organisaties doen er goed aan nu al te weten:

Welke AI-systemen je inzet en in welke risicocategorie deze vallen. Hoog-risico systemen, zoals AI bij sollicitatieprocedures, kredietverlening of uitkeringen, vallen onder strenge eisen op het gebied van risicobeheer, datakwaliteit en documentatie.
Welke toezichthouder voor jou relevant is. Werk je in de zorg, het onderwijs of als overheidsorganisatie? Dan is de AP hoogstwaarschijnlijk jouw aanspreekpunt. Werk je in finance, dan is dat de AFM.
Of je voldoet aan de transparantieverplichtingen. Gebruikers moeten weten wanneer zij met een chatbot communiceren of AI-gegenereerde content ontvangen. Deze verplichting volgt uit Art. 50 en wordt vanaf 2 augustus 2026 gehandhaafd.
Of je AI-geletterdheid op orde is. Artikel 4 van de AI-verordening verplicht aanbieders en gebruiksverantwoordelijken om passende maatregelen te nemen zodat medewerkers AI-systemen begrijpen en verantwoord kunnen inzetten.
Of je grip hebt op hoe AI binnen je organisatie wordt gebruikt. Heb je beleid, procedures en een register van AI-systemen? Of zetten medewerkers tools in zonder centraal overzicht? Zonder die basis worden de andere vier punten lastig te beheersen.

Niet wachten op de wet

De consultatie loopt tot 1 juni 2026. Daarna volgt advies van de Raad van State en behandeling door de Tweede Kamer. De definitieve uitvoeringswet is er dus nog niet. Maar de Europese AI-verordening zelf wel. Organisaties die nu beginnen met het in kaart brengen van hun AI-gebruik, hun governance en hun risicoclassificatie, bouwen een voorsprong op die straks het verschil maakt, en voorkomen zo dat naleving een kostbare crisisklus wordt.

Wil je weten waar jouw organisatie staat?

Privacy1 helpt organisaties bij het begrijpen en naleven van de AI-verordening. Of het nu gaat om een nulmeting van je AI-volwassenheid, het trainen van medewerkers op AI-geletterdheid, of juridisch advies over risicoclassificatie: wij vertalen de verordening naar de praktijk van jouw organisatie. Neem vrijblijvend contact op met een van onze adviseurs of stuur een bericht naar hallo@privacy1.nl.

Geschreven door Dirk Walgien

12 mei 2026

Wil je jouw organisatie privacy-volwassen maken of heb je vragen over gegevensbescherming?

Neem vrijblijvend contact met ons op en ontdek hoe Privacy1 je kan helpen.

Neem contact met ons op

Ook interessant:

Lees meer

#Artificial Intelligence

AI-tools op de werkvloer; Hoe benut je deze efficiënt én privacyproof?

AI-tools zoals ChatGPT en Copilot zijn niet meer weg te denken van de werkvloer. Ze helpen ons sneller, slimmer en efficiënter werken. Maar staan we eigenlijk wel genoeg stil bij de risico’s die dit met zich meebrengt? Hoe zorg je er als organisatie voor dat je wél profiteert van de voordelen van AI, maar tegelijkertijd grip houdt op risico’s zoals datalekken en ongewenste gegevensdeling? En welke rol spelen beleid, training en AI-geletterdheid hierin?

Naam	Aanbieder	Doel	Vervaldatum
CookieConsent	privacy1.nl	Registreert een uniek ID die wordt gebruikt om statistische gegevens te genereren over hoe de bezoeker de website gebruikt.	1 jaar

Naam	Aanbieder	Doel	Vervaldatum
_ga	privacy1.nl	Registreert een uniek ID die wordt gebruikt om statistische gegevens te genereren over hoe de bezoeker de website gebruikt.	2 jaar
_gat	privacy1.nl	Gebruikt door Google Analytics om verzoeksnelheid te vertragen.	1 dag
_gid	privacy1.nl	Registreert een uniek ID die wordt gebruikt om statistische gegevens te genereren over hoe de bezoeker de website gebruikt.	1 dag
collect	google-analytics.com	Gebruikt om gegevens naar Google Analytics te versturen over het apparaat en het gedrag van de bezoeker.	Sessie