Artikel 57 AI Act: regulatory sandbox in Nederland uitgelegd

Een nieuwe AI-toepassing op de markt brengen onder de AI Act voelt vaak als springen in het diepe. De wettekst laat ruimte voor interpretatie, sectorale regels lopen door elkaar en u wilt liever niet pas bij een eerste handhavingsbesluit horen dat uw aanpak niet voldoet. Voor precies deze situatie heeft de Europese wetgever artikel 57 opgenomen: de verplichte nationale AI regulatory sandbox. Vanaf 2 augustus 2026 moet elke lidstaat ten minste één sandbox operationeel hebben. In Nederland krijgt de Autoriteit Persoonsgegevens (AP) een leidende rol, samen met sectorale toezichthouders. Dit artikel legt uit wat de sandbox is, voor wie hij bedoeld is en hoe u zich straks aanmeldt.

Wat is een regulatory sandbox onder de AI Act?

Een AI regulatory sandbox is een formeel gecontroleerde omgeving waarin een ontwikkelaar zijn AI-systeem kan ontwerpen, trainen, valideren en in beperkte mate testen onder direct toezicht van de bevoegde autoriteit. De sandbox is geen technische infrastructuur en geen cloud-account: het is een juridisch en organisatorisch arrangement met afgesproken doelen, een tijdslijn en duidelijke afspraken over rapportage.

Artikel 57 lid 9 noemt drie doelen die de sandbox tegelijk moet dienen: rechtszekerheid bieden over de naleving van de AI Act, het delen van best practices stimuleren, en innovatie en concurrentievermogen ondersteunen. Met andere woorden: u krijgt de kans om met de toezichthouder mee te denken in plaats van pas achteraf bij te sturen. Voor toezichthouders is het tegelijk een manier om praktijkkennis op te bouwen voordat zij grootschalig handhaven.

Verplichting voor elke lidstaat: minimaal een sandbox per 2 augustus 2026

Artikel 57 lid 1 verplicht alle lidstaten om uiterlijk 2 augustus 2026 ten minste één AI regulatory sandbox operationeel te hebben op nationaal niveau. Lidstaten mogen samenwerken in een gezamenlijke sandbox, en zij mogen ook op regionaal niveau bijkomende sandboxen oprichten. De Europese Commissie houdt toezicht via gedelegeerde handelingen die de gedetailleerde werkwijze, deelnamecriteria en samenwerking tussen lidstaten regelen.

Belangrijk: deze verplichting is geen suggestie maar een resultaatsverplichting. De lidstaat is in gebreke als er op 2 augustus 2026 geen functionerende sandbox is. De AP heeft daarom in april 2025 al een voorstel gepubliceerd voor de Nederlandse invulling, juist om vertraging te voorkomen.

De Nederlandse sandbox: AP-voorstel en focus op begeleiding

In het Nederlandse voorstel van april 2025 kiest de AP voor een coordinerende rol als algemeen AI-toezichthouder. Sectorale toezichthouders zoals DNB, AFM, NZa en het AT (voor producten) blijven verantwoordelijk voor hun eigen domein, maar de AP fungeert als loket en regievoerder. Daarmee voorkomt Nederland dat een MKB-deelnemer langs vijf verschillende deuren moet voor één sandbox-traject.

De Nederlandse aanpak is uitgesproken begeleidend van karakter. Dat is een bewuste keuze: in plaats van louter te toetsen of een systeem aan de AI Act voldoet, helpt de toezichthouder bij het invullen van open normen. Voorbeelden zijn de inrichting van het risicobeheer onder artikel 9, de keuze van de juiste conformiteitsbeoordeling en de vraag of een specifiek systeem überhaupt als hoog-risico kwalificeert.

Wat krijgt u als deelnemer?

De waarde van deelname zit niet in een stempel of certificaat, maar in concrete instrumenten waarmee u uw eigen naleving kunt onderbouwen. Wat u krijgt:

• Regulatory guidance: schriftelijke en mondelinge aanwijzingen over hoe specifieke verplichtingen op uw systeem toepasbaar zijn. Deze guidance heeft de status van toezichthoudersbeleid.
• Een voorlopig actieplan: een opgesteld document waarin doelen, tussenstappen, KPI's en risico's per fase worden vastgelegd. Dit plan wordt gezamenlijk met de AP opgesteld en regelmatig bijgewerkt.
• Begeleiding van AP en DCA: direct contact met casemanagers, en bij sectorspecifieke vraagstukken inschakeling van de Digital Markets, Competition and Authorities (DCA) of de relevante sectorale waakhond.
• Safe harbor bij goede trouw: u krijgt geen automatische boetebescherming, maar handhavers nemen meegewogen dat u in goed overleg met de toezichthouder hebt gehandeld. Artikel 57 lid 12 noemt dit expliciet als verzachtende omstandigheid.
• Een sluit-rapport: aan het einde ontvangt u een rapportage die u kunt gebruiken bij interne governance en richting investeerders of klanten.

Voor wie is de sandbox bedoeld?

De doelgroep is bewust breed gehouden. Artikel 57 noemt providers en prospective providers, dat wil zeggen: organisaties die al een AI-systeem in de markt zetten en organisaties die dat van plan zijn. In de Nederlandse invulling krijgt het MKB en startups voorrang, conform artikel 62 over MKB-ondersteuning. Ook publieke organisaties zoals gemeenten en uitvoeringsorganisaties kunnen zich aanmelden, juist omdat zij vaak met experimentele toepassingen worstelen waarbij grondrechten op het spel staan.

Grote spelers zijn niet uitgesloten, maar krijgen geen voorrang en moeten een sterker innovatie-argument leveren. Het idee is dat de sandbox primair waarde creeert daar waar het toepassen van de AI Act anders onhaalbaar of te onzeker zou zijn. Voor startups die werken met general-purpose AI kan dit het verschil maken tussen lanceren of de markt opgeven.

Wat voor AI past in de sandbox?

De sandbox is in de eerste plaats bedoeld voor systemen waarbij de normale toezichtrelatie onvoldoende rechtszekerheid biedt. Drie categorieen passen het beste:

• Hoog-risico AI volgens bijlage I of bijlage III, waarbij de toepasselijke harmonisatie- of conformiteitsroute onduidelijk is.
• GPAI-modellen, vooral wanneer het gaat om systemen met systeemrisico of innovatieve trainingstechnieken.
• Innovatieve toepassingen in een grijs gebied, bijvoorbeeld AI die randvoorwaarden van artikel 5 raakt (denk aan emotieherkenning in commerciele context) of toepassingen die op de grens zitten van wat onder de verordening valt.

Wat niet past: standaard productiviteits-AI zoals een marketingchatbot of een copilot voor uw kantoor. Voor dat soort gebruik volstaat de gewone naleving zoals beschreven in uw AI-beleid en de informatie-checklist van de AP.

Aanmeldproces (verwacht in 2026)

De definitieve procedure wordt vastgelegd in de Nederlandse uitvoeringswet en het sandbox-reglement van de AP. Op basis van het april-2025-voorstel en de Europese richtsnoeren kunt u op het volgende proces rekenen:

1. Plan indienen: u dient een beknopt voorstel in (vier tot acht pagina's) met de toepassing, de juridische vragen waar u tegenaan loopt en het doel van uw deelname.
2. Intake door de AP: een casemanager van de AP bekijkt het voorstel, raadpleegt zo nodig sectorale toezichthouders en geeft binnen vier tot zes weken antwoord.
3. Sandbox-plan opstellen: bij positief besluit volgt een planningssessie waarin doelen, mijlpalen, datadelen en rapportagecadans worden vastgelegd.
4. Doorloop: het traject duurt typisch zes tot twaalf maanden, met periodieke evaluaties.
5. Afsluiting en publicatie: u ontvangt een eindrapport. Geanonimiseerde lessen worden opgenomen in publieke guidance, conform artikel 57 lid 16.

Wat doet de sandbox NIET?

De sandbox is geen vrijbrief. Vooral deze vier zaken zijn cruciaal:

• Geen toestemming voor verboden AI uit artikel 5. Praktijken die op de verbodslijst staan, blijven verboden, ook in een sandbox.
• Geen vrijbrief richting klanten of betrokkenen. Schade aan derden blijft civielrechtelijk aansprakelijk.
• Geen AVG-uitzondering. Verwerking van persoonsgegevens vereist nog steeds een grondslag. Artikel 57 lid 5 staat onder strikte voorwaarden hergebruik van gegevens toe, maar de basisprincipes van de AVG blijven gelden.
• Beperkte duur. Een sandbox-traject is geen permanente status. Na afloop moet u zelf de normale naleving aantonen, eventueel via de gepubliceerde guidance die uit uw traject is voortgekomen.

Cross-border samenwerking: sandbox-resultaten over Europa

Artikel 57 lid 9 verplicht lidstaten om hun sandbox-werkwijze te coordineren via de EU AI Board. Resultaten, best practices en sjabloondocumenten worden Europees gedeeld. Dat heeft twee praktische gevolgen voor u. Ten eerste kan een sandbox-traject in Spanje of Frankrijk leiden tot guidance die ook voor u relevant is, en die u dus kunt gebruiken in uw eigen documentatie. Ten tweede wordt het over een paar jaar mogelijk om in een ander EU-land aan te haken bij een sandbox als de Nederlandse capaciteit op is, zonder dat u opnieuw vanaf nul start.

De EU AI Office heeft een coordinerende rol en publiceert sinds 2025 jaarrapporten met geleerde lessen uit alle nationale sandboxes.

Vergelijking met sandboxes in andere EU-landen

Spanje is officieel de pioneer: de Spaanse AI sandbox is in 2022 al van start gegaan onder leiding van de Secretaria de Estado de Digitalizacion. Het Spaanse model is sterk geprotocolleerd met formele audits en publieke deelnemers. Frankrijk werkt via experimentele consortia rondom strategische sectoren (gezondheid, defensie, energie). Duitsland zet stevig in op een gedecentraliseerde aanpak via de Lander, met onder andere een sandbox in Beieren gericht op industriele AI.

Het Nederlandse model onderscheidt zich door de combinatie van centrale coordinatie (een loket bij de AP) en bewuste laagdrempeligheid voor het MKB. Dat sluit aan bij de Nederlandse uitvoeringspraktijk waarbij toezichthouders veel gewicht leggen op overleg en richtsnoeren in plaats van formele audits vooraf.

Wat doet u als u nog geen toegang heeft?

De Nederlandse sandbox heeft naar verwachting een beperkte capaciteit, zeker in het eerste jaar. Niet iedereen krijgt direct een plek. Wat doet u in de tussentijd om toch rechtszekerheid op te bouwen?

• Gebruik de AI Office Service Desk. De Europese helpdesk beantwoordt vragen over de interpretatie van de AI Act. De antwoorden zijn niet juridisch bindend, maar wel autoritair voor de praktijk.
• Volg de Code of Practice. Voor GPAI-providers is er sinds 2025 een vrijwillige Code of Practice die wordt erkend door de Commissie en de AI Board.
• Adopteer ISO 42001. Een AI-managementsysteem volgens ISO 42001 dekt veel van de governance-eisen en geeft u een ankerstandaard voor interne processen.
• Documenteer uw redenering. Houd een logboek bij van interpretatie-keuzes, gebruikte bronnen en consultaties. Bij toezicht is dit het verschil tussen slordigheid en gemotiveerde naleving.