AI zit overal in organisaties: in het wervingsplatform van HR, in de fraudemodule van financiële systemen, in de klantenservice-chatbot en in de tooling waarmee beleidsmedewerkers dossiers samenvatten. Niet zelden ontbreekt echter het totaaloverzicht. En hoewel veel organisaties denken dat de AI Act voor hen niet relevant is, valt de benodigde kennis en capaciteit voor compliancy niet te onderschatten.
Tegelijkertijd groeit het besef dat AI niet zonder spelregels kan. De Toeslagenaffaire liet zien hoe een algoritme gezinnen levenslang kan beschadigen. Zeker in een wereld waarin AI-systemen steeds meer gemeengoed worden, stijgt de kans dat groepen burgers, sollicitanten of patiënten structureel benadeeld worden. Daarnaast is generatieve AI in een paar jaar van experiment naar dagelijkse werkpraktijk geschoven, zonder volledige duidelijkheid over wie verantwoordelijk is voor de uitkomsten.
De Europese Unie komt daarom met de AI Act, de eerste brede wet ter wereld die de inzet van AI reguleert. De kern van de wetgeving is dat hoe groter het risico van een AI-systeem voor mensen, hoe strenger de eisen waar het aan moet voldoen. Sommige toepassingen worden helemaal verboden, zoals social scoring door overheden en emotieherkenning op de werkvloer.
Wat verandert er per augustus 2026?
De AI Act wordt gefaseerd ingevoerd. Sinds februari 2025 moeten medewerkers de werking van AI-systemen die ze gebruiken kunnen begrijpen. Per augustus 2026 gelden voor hoogrisicosystemen zware verplichtingen rond documentatie, menselijk toezicht en transparantie. Voor de minder risicovolle toepassingen volstaan lichtere transparantieregels.
De categorie 'hoog risico' is breder dan veel organisaties denken, en omvat onder andere het gebruik van AI in werving en selectie, kredietbeoordeling, fraudeopsporing, medische diagnostiek en beslissingen in onderwijs en publieke sector. Daarmee raakt de wet juist organisaties die AI al veel gebruiken: gemeenten, zorginstellingen, financiële dienstverleners en uitvoeringsorganisaties.
Daarnaast gelden straks transparantieverplichtingen voor een veel bredere groep AI-systemen. Zo moeten chatbots zich kenbaar maken als AI, moeten deepfakes worden gelabeld en AI-gegenereerde teksten, beelden of video’s als zodanig herkenbaar zijn. Eén nuance is daarbij cruciaal. Als u een AI-systeem inzet, bent u medeverantwoordelijk voor de naleving, ook wanneer u de software bij een leverancier heeft ingekocht. Het is dus niet langer mogelijk alle verantwoordelijkheid op leveranciers af te schuiven.
Drie veelvoorkomende uitdagingen
In gesprekken met organisaties komen de volgende drie uitdagingen telkens terug. Ze raken verschillende rollen binnen de organisatie, en hangen onderling samen:
1. Het overzicht ontbreekt
Vraag een gemiddelde organisatie welke AI-systemen er draaien, en het blijft vaak stil. AI zit doorgaans namelijk verstopt in tools die voor andere doelen zijn ingekocht: een wervingsplatform, een klantenservicesysteem, een fraudemodule in het ERP. Zonder overzicht is classificatie echter onmogelijk, en zonder classificatie weet u niet welke systemen straks aan welke eisen moeten voldoen. Als u niet weet dat een risico bestaat, kunt u het ook niet beheersen.
2. De vertaalslag van wet naar werk ontbreekt
De AI Act is principle-based geschreven, met weinig regels. Dat geeft ruimte, maar legt de invulling volledig bij u neer. Wat betekent 'betekenisvol menselijk toezicht' in een recruitmentproces waarin wekelijks honderden cv's voorbijkomen? Wanneer is documentatie 'voldoende', en hoe ziet 'passend kennisniveau' eruit voor een beleidsmedewerker of een data scientist?
Een compliance-afdeling kan in een notitie vastleggen wát er moet gebeuren. De uitdaging ligt in de vertaling naar concrete werkprocessen: wie in het recruitmentteam wat anders gaat doen, hoe documentatie er feitelijk uit moet zien, welke training medewerkers krijgen. Zo’n vertaalslag voorkomt dat u met de mond vol tanden staat als de toezichthouder aanklopt.
3. De technische onderbouwing ontbreekt
De wet vraagt om aantoonbaarheid, en niet alleen op papier. Welke data zaten in het trainingsmateriaal en hoe representatief waren die voor de groep waarop u het systeem toepast? Hoe is statistisch getoetst of het model geen groepen systematisch benadeelt? En hoe wordt gemonitord of het model na een jaar nog werkt zoals bedoeld, nu de werkelijkheid waarop het is getraind alweer is veranderd?
Wanneer AI-systemen in eigen beheer zijn gebouwd, vraagt dit om de juiste documentatie en testinfrastructuur. Bij ingekochte systemen blijkt in gesprek met de leverancier soms dat deze informatie niet beschikbaar is of dat een beroep wordt gedaan op bedrijfsgeheim. Zonder (technische) onderbouwing is naleving echter lastig te bewijzen richting toezichthouders, burgers, klanten en medewerkers, als die de gevolgen ondervinden.
Wat is een werkbare aanpak?
Hoe zorgt u dan dat u handelt in lijn met de AI Act? Een werkbare aanpak kent drie opeenvolgende stappen:
1. Inzicht. Begin met een gestructureerde inventarisatie van alle AI-systemen, gekoppeld aan een risicoclassificatie volgens de AI Act. Zo ontstaat een helder beeld van wat er moet gebeuren. Voor veel organisaties is dit de logische, en vaak ontnuchterende, eerste stap.
2. Inrichting. Documentatie opstellen, leverancierscontracten aanpassen, menselijk toezicht inbouwen in bestaande werkprocessen, medewerkers opleiden, conformiteitsbeoordelingen uitvoeren. Hier krijgen abstracte principes vorm als concrete afspraken.
3. Borging. AI-systemen veranderen, er komen nieuwe bij, regelgeving evolueert. Dat vraagt om een AI-governancestructuur met duidelijke rollen, een intern AI-register, een toetsingskader voor nieuwe systemen en periodieke evaluatie.
Het loont om de basis op orde te brengen
Augustus 2026 voelt nog ver weg, maar genoemde stappen maken al snel duidelijk dat dit geen werk van enkele weken is. Denk aan organisatiebrede inventarisatie, technische dossiers, governance, opleidingen en leverancierscontracten. Besef dat AI een steeds groter onderdeel wordt van veel organisatieprocessen. Dus loont het om de basis op orde te brengen, waarop u later verder kunt bouwen én waarmee risico’s tijdig afgedekt zijn. In welk stadium uw organisatie zich ook bevindt, wij denken graag met u mee.