Naleving van de EU AI Act — ook wel de AI wet — is niet iets wat u bij de toezichthouder aangeeft als u er klaar voor bent. De Autoriteit Persoonsgegevens (AP) kan bedrijven proactief benaderen voor een compliance-controle, en dat gebeurt zowel naar aanleiding van klachten als op eigen initiatief. Weten wat de AP controleert bij AI wet-overtredingen, is dus directe risicobeheersing.
Wie is de toezichthouder voor AI Act naleving in Nederland?
De AP is door de Nederlandse overheid aangewezen als nationale toezichthouder voor de EU AI Act. De AP had die rol al voor de AVG, en voegt AI Act-handhaving toe aan haar bestaande bevoegdheden. Dit betekent dat een AP-onderzoek naar privacy-schendingen tegelijkertijd ook AI Act-naleving kan raken, met name als de betrokken AI-tool persoonsgegevens verwerkt.
Naast de AP is er ook de EU AI Office, een nieuw Europees orgaan dat toezicht houdt op aanbieders van General Purpose AI-modellen (zoals OpenAI of Google). De EU AI Office controleert de aanbieders; de AP controleert de deployers — uw bedrijf.
Hoe start een AP-onderzoek naar AI Act naleving?
Er zijn drie mogelijke aanleiding voor een handhavingstraject:
- Klacht van een betrokkene: een medewerker of klant dient een klacht in omdat zij denken dat uw AI-systeem hun rechten heeft geschonden. De AP is verplicht dit te onderzoeken.
- Eigen initiatief (thematisch onderzoek): de AP kondigt onderzoek aan naar een specifieke sector of toepassing, zoals recruitment-AI of kredietbeoordeling. Bedrijven in die sector kunnen een vragenlijst of auditverzoek ontvangen.
- Incidentmelding: bij hoog-risico AI moet u ernstige incidenten melden bij de AP. Deze meldingen kunnen leiden tot een vervolgonderzoek.
Tijdlijn handhaving: De AP heeft aangegeven in 2026 prioriteit te geven aan hoog-risico toepassingen, met name AI in HR, financiën en zorg. Bedrijven in deze sectoren lopen het meeste risico op een audit in de komende 12 maanden.
Welke documentatie vraagt de AP bij een compliance-audit?
Op basis van de AI Act en de handhavingsstrategie van de AP zijn dit de documenten die u bij een compliance-controle kunt verwachten te moeten tonen:
Een actuele lijst van alle AI-systemen in gebruik, met naam, aanbieder, doel, risiconiveau en verantwoordelijke. Dit is de basiseis bij elk compliance-onderzoek.
Trainingsmateriaal, e-learning certificaten, aanwezigheidslijsten of vergaderverslagen die aantonen dat medewerkers zijn geïnformeerd over de AI-tools die zij gebruiken. Dit gold al per 2 februari 2025.
Het document dat beschrijft hoe uw organisatie AI gebruikt, wie de verantwoordelijken zijn, welke data erin mag en hoe u output controleert. De AP wil zien dat er bewust beleid is, niet alleen ad hoc gebruik.
Voor elke AI-tool waarbij persoonsgegevens worden verwerkt, heeft u een DPA nodig. De AP heeft al eerder bedrijven beboet voor ontbrekende DPA's onder de AVG — dit is een eenvoudig aantoonbaar compliance-gebrek.
Bij hoog-risico toepassingen verwacht de AP een gedocumenteerde analyse van de risico's van het AI-systeem voor betrokkenen, inclusief maatregelen om die risico's te beheersen.
Informatie over hoe het AI-systeem werkt, welke data erin gaat en wat de bekende beperkingen zijn. U vraagt dit op bij uw AI-leverancier en bewaart het in uw compliance-dossier.
Wat zijn de boetes bij onvoldoende naleving?
De AI Act kent een gelaagd boetestelsel. Hoe ernstiger de overtreding, hoe hoger het maximumbedrag:
| Overtreding | Maximum boete |
|---|---|
| Gebruik van verboden AI (bijv. social scoring, verboden biometrie) | €35 miljoen of 7% jaaromzet |
| Schending van hoog-risico compliance-verplichtingen | €15 miljoen of 3% jaaromzet |
| Onjuiste informatie aan de toezichthouder verstrekken | €7,5 miljoen of 1,5% jaaromzet |
| Ontbrekend AI-register of AI-beleid (beperkt risico) | Waarschuwing + hersteltermijn (verwacht bij eerste overtreding) |
Voor MKB-bedrijven zijn de percentages relevanter dan de absolute bedragen. Een bedrijf met €3 miljoen omzet kan bij een ernstige hoog-risico overtreding een boete van €90.000 krijgen. De AP heeft bij AVG-handhaving aangetoond ook kleine organisaties te beboeten als er geen aantoonbare inspanning is geleverd.
Hoe maakt u naleving aantoonbaar?
Het principe dat de AP hanteert is accountability: u moet kunnen aantonen dat uw organisatie bewust en actief bezig is met naleving. Dat betekent niet dat alles perfect hoeft te zijn — het betekent dat u kunt laten zien dat u weet wat u heeft, welke risico's er zijn en welke maatregelen u heeft genomen.
Praktische stappen voor aantoonbare naleving
- Bewaar alles in één map: maak een compliance-map (digitaal of fysiek) met uw AI-register, AI-beleid, trainingsbewijzen en DPA's. Zorg dat een collega deze map ook kan vinden.
- Dateer uw documenten: de AP kijkt ook naar wanneer maatregelen zijn genomen. Een AI-beleid dat gedateerd is vóór de deadline laat zien dat u proactief heeft gehandeld.
- Leg beslissingen vast: als u bewust besluit een tool niet als hoog-risico te classificeren, noteer dan uw redenering. Een gedocumenteerde beslissing is beter dan geen beslissing.
- Wijs een verantwoordelijke aan: zorg dat er iemand in uw organisatie is die "eigenaar" is van AI-compliance. Dit hoeft geen AI-jurist te zijn — een HR-manager of operations-directeur kan deze rol vervullen.
AI-geletterdheid was verplicht per 2 februari 2025. Als u dit nog niet heeft gedocumenteerd, bent u nu al in overtreding. De AP kan hier bij een controle direct op handhaven. Start vandaag met het documenteren van uw AI-bewustmakingsmaatregelen.
Hoe ziet een compliance-audit in de praktijk eruit?
Op basis van eerdere AVG-audits door de AP en de AI Act-handhavingsstrategie verloopt een compliance-onderzoek doorgaans als volgt:
- Informatieverzoek: de AP stuurt een schriftelijk verzoek om informatie en documentatie. U heeft doorgaans twee tot vier weken om te reageren.
- Beoordeling documentatie: de AP beoordeelt de aangeleverde documenten op volledigheid en kwaliteit.
- Eventueel bedrijfsbezoek: bij ernstigere vermoedens van niet-naleving kan de AP een bedrijfsbezoek plannen om systemen en processen ter plekke te beoordelen.
- Zienswijze: als de AP tekortkomingen constateert, krijgt u de kans om uw standpunt te geven voordat een besluit wordt genomen.
- Besluit: de AP kan een waarschuwing, een last onder dwangsom of een boete opleggen.
Controleer uw naleving gratis
De gratis AI Act checker analyseert uw tools, geeft een risicoklassificatie en toont welke compliance-documenten u nog mist. In 10 minuten bent u voorbereid op een eventuele audit.
Start de gratis nalevingscheck