Toen de EU AI Act in 2024 werd aangenomen, koos Brussel voor een hybride toezichtmodel. Nationale toezichthouders blijven verantwoordelijk voor de naleving binnen lidstaten, maar voor de meest krachtige AI-modellen, de zogenoemde General Purpose AI (GPAI), kwam er een nieuw centraal orgaan. Dat orgaan heet het EU AI Office, en het opereert vanuit het Directoraat-Generaal Communicatienetwerken, Content en Technologie (DG CNECT) in Brussel. Voor Nederlandse bedrijven is het nuttig te begrijpen waar de bevoegdheden liggen, want niet alles wordt door de Autoriteit Persoonsgegevens gedaan.
Wat is het EU AI Office?
Het EU AI Office is opgericht bij Besluit van de Commissie van 24 januari 2024 en is sinds juni van datzelfde jaar operationeel. Het bureau valt organisatorisch onder DG CNECT en wordt geleid door een directeur die rapporteert aan de Commissie. Het mandaat is verankerd in artikel 64 van de AI Act, waarin staat dat de Commissie expertise en capaciteit moet ontwikkelen om GPAI-modellen te beoordelen en de uniforme toepassing van de AI Act in de hele Unie te bevorderen.
De staf bestaat uit beleidsmedewerkers, juristen, AI-onderzoekers en technische experts. De begroting wordt jaarlijks vastgesteld via het EU-budget en is bedoeld voor onder andere het inhuren van wetenschappelijke evaluatoren, het ontwikkelen van testinfrastructuur en het coordineren van internationale samenwerking. Anders dan een nationale toezichthouder heeft het AI Office geen bevoegdheid om individuele Nederlandse bedrijven te onderzoeken die AI gebruiken. Het richt zich op de aanbieders van de modellen achter die AI-tools.
Vijf hoofdtaken van het AI Office
Het AI Office heeft vijf duidelijk afgebakende kerntaken. Wie begrijpt hoe deze samenhangen, weet ook welke ontwikkelingen vanuit Brussel relevant kunnen worden voor de eigen organisatie.
1. GPAI-toezicht en handhaving
Het AI Office is exclusief bevoegd voor het toezicht op GPAI-modellen, in het bijzonder modellen met systeemrisico (GPAI met training boven 10^25 FLOPs). Denk aan modellen achter ChatGPT, Claude, Gemini en Llama. Het Office kan documentatie opvragen, modeltesten uitvoeren en bij ernstige overtredingen boetes opleggen tot 3% van de wereldwijde jaaromzet of vijftien miljoen euro, afhankelijk van wat hoger is.
2. Codes of Practice ontwikkelen
Het AI Office faciliteert het opstellen van Codes of Practice voor GPAI-aanbieders. Deze codes vertalen wettelijke verplichtingen naar concrete naleving-maatregelen en geven aanbieders een praktisch instrument om aan de wet te voldoen voordat geharmoniseerde standaarden beschikbaar zijn. De eerste Code of Practice voor GPAI werd in 2025 gepubliceerd na een open consultatieronde.
3. AI Pact coordineren
Het AI Pact is een vrijwillig initiatief van de Commissie waarin bedrijven zich committeren om al voor de wettelijke deadline aan de AI Act te voldoen. Het AI Office is verantwoordelijk voor de uitvoering: het ondersteunt deelnemende organisaties, organiseert webinars, deelt best practices en publiceert de lijst van ondertekenaars.
4. Standards-werkgroepen
De AI Office werkt nauw samen met de Europese standaardisatieorganisaties CEN en CENELEC. Daar worden de geharmoniseerde normen ontwikkeld die straks via artikel 40 van de AI Act een vermoeden van naleving geven. Het Office levert input, beoordeelt concepten en zorgt dat de normen aansluiten op het wettelijk kader.
5. Internationale samenwerking
Het AI Office is het primaire aanspreekpunt voor andere jurisdicties (Verenigde Staten, Verenigd Koninkrijk, Japan, Canada) over AI-governance. Het Office vertegenwoordigt de EU in fora zoals de G7 Hiroshima Process, de OESO AI Policy Observatory en de AI Safety Institutes Network.
Verhouding met nationale toezichthouders
Voor een Nederlands bedrijf is het cruciaal te begrijpen wie u waarvoor moet aanspreken. De rolverdeling is in beginsel eenvoudig:
- EU AI Office: houdt toezicht op aanbieders van GPAI-modellen (zoals OpenAI, Anthropic, Google DeepMind, Meta).
- Autoriteit Persoonsgegevens (AP): is in Nederland aangewezen als nationale markttoezichthouder voor de AI Act en controleert bedrijven die AI inzetten (deployers), evenals aanbieders van hoog-risico AI die niet onder GPAI vallen.
- Rijksinspectie Digitale Infrastructuur (RDI): heeft een rol bij AI-systemen die onderdeel zijn van producten die al onder sectorale productregelgeving vallen, zoals medische hulpmiddelen of speelgoed.
Coordinatie tussen het AI Office en de nationale toezichthouders verloopt via de European Artificial Intelligence Board, een orgaan waarin vertegenwoordigers van alle lidstaten zitten. Dit voorkomt dat eenzelfde aanbieder in 27 lidstaten verschillend wordt behandeld.
Praktisch: als u ChatGPT in uw organisatie gebruikt, valt OpenAI onder het AI Office. Maar uw bedrijf, als deployer, valt onder de Autoriteit Persoonsgegevens. U bent dus niet "afgedekt" door wat OpenAI doet, u heeft uw eigen verplichtingen.
Codes of Practice voor GPAI
De Codes of Practice zijn een typisch Brussels instrument: vrijwillig, maar wel zo opgezet dat ondertekening de norm wordt. Voor GPAI-aanbieders die de Code tekenen geldt een vermoeden van naleving van een aantal AI Act-verplichtingen, mits zij de gedragsregels daadwerkelijk implementeren. Wie de Code niet tekent, moet via andere middelen aantonen dat hij voldoet, wat juridisch en operationeel zwaarder is.
De inhoud van de Codes is in werkgroepen geschreven door vertegenwoordigers van aanbieders, het AI Office en onafhankelijke deskundigen. Onderwerpen zijn onder andere transparantie over trainingsdata, copyright-naleving, evaluatie van systeemrisico's, incidentmelding en cybersecurity. De eerste ondertekenaars omvatten onder meer OpenAI, Anthropic en Google. Enkele aanbieders, waaronder Meta, hebben aanvankelijk geweigerd te ondertekenen vanwege bezwaren tegen de transparantie-eisen.
AI Pact: vrijwillige naleving voor 2 augustus 2026
Het AI Pact richt zich niet op GPAI-aanbieders maar op alle organisaties die AI inzetten of leveren binnen de EU. Door te tekenen verklaart u dat u zich al voor de wettelijke deadline van 2 augustus 2026 inspant om te voldoen aan de AI Act, met name op het gebied van AI-geletterdheid, AI-register en risicobeheer.
Wat u terugkrijgt is geen ontheffing of korting, maar wel:
- Toegang tot exclusieve webinars en workshops van het AI Office.
- Vermelding in de publieke lijst van Pact-ondertekenaars (relevant voor B2B-positionering).
- Een netwerk van peer-organisaties die ervaring delen.
- Vroege toegang tot interpretatiedocumenten en richtsnoeren.
Aanmelden gebeurt via een formulier op de AI Office-website. U beschrijft kort welke concrete acties uw organisatie al heeft ondernomen of binnenkort onderneemt. Voor MKB-bedrijven die een professionele indruk willen maken bij grote opdrachtgevers kan ondertekening een goedkope reputatie-investering zijn.
Direct toezicht op GPAI-providers
Het AI Office heeft sinds 2 augustus 2025 directe handhavingsbevoegdheden tegenover GPAI-aanbieders. Anders dan bij deployers, waar boetes via de nationale toezichthouder lopen, kan het AI Office zelf onderzoek doen en sancties opleggen. De maximumboete voor GPAI-providers bedraagt 15 miljoen euro of 3% van de wereldwijde jaaromzet, afhankelijk van wat hoger is.
Belangrijk: deze boetes gelden uitsluitend voor de aanbieder van het model, niet voor het bedrijf dat het model gebruikt. Er is geen sprake van dubbele beboeting: als u ChatGPT inzet en OpenAI wordt beboet voor een GPAI-overtreding, ontvangt u zelf geen sanctie. Wel kunt u nog steeds door de Autoriteit Persoonsgegevens aangesproken worden op uw eigen verplichtingen als deployer (AI-register, AI-geletterdheid, transparantie naar gebruikers).
| Toezichthouder | Doelgroep | Maximumboete |
|---|---|---|
| EU AI Office | GPAI-aanbieders | 15 miljoen euro of 3% wereldwijde omzet |
| Autoriteit Persoonsgegevens | Deployers en aanbieders van hoog-risico AI in Nederland | 35 miljoen euro of 7% jaaromzet (verboden AI) |
| RDI | AI in producten onder sectorale regels | Sectorafhankelijk |
Scientific Panel of Independent Experts
Aan het AI Office is een wetenschappelijk panel verbonden van onafhankelijke experts uit academia en industrie. Dit panel adviseert over de beoordeling van systeemrisico's bij GPAI-modellen, een onderwerp waar de wetenschap zelf nog volop in beweging is. Voorbeelden van vraagstukken: hoe meet je het risico op desinformatie, hoe beoordeel je het potentieel voor misbruik bij cyberaanvallen, en welke evaluaties zijn voldoende robuust om als bewijs te dienen.
Het panel komt enkele keren per jaar bijeen en publiceert openbare adviezen. Voor Nederlandse bedrijven die zelf GPAI-modellen ontwikkelen of fine-tunen kan het panel een belangrijke informatiebron zijn, omdat hun adviezen vaak vooruitlopen op formele richtsnoeren.
Wat betekent dit voor Nederlandse bedrijven?
De praktische impact van het AI Office op uw bedrijf hangt sterk af van uw rol:
- U gebruikt AI (deployer): u heeft geen direct contact met het AI Office. Uw aanspreekpunt is de Autoriteit Persoonsgegevens. Het is wel nuttig om de AI Office-publicaties te volgen, omdat richtsnoeren en codes daar als eerste verschijnen.
- U bent leverancier van hoog-risico AI: u valt onder de nationale toezichthouder, maar geharmoniseerde normen die straks bepalen wat "voldoende" is, worden mede door het AI Office aangestuurd.
- U bouwt of fine-tunet GPAI-modellen: u kunt direct met het AI Office te maken krijgen. Voor de meeste Nederlandse bedrijven is dit niet aan de orde, maar bij modellen met een rekenkracht boven 10^25 FLOPs verandert dat snel.
Daarnaast biedt het AI Office reguliere mogelijkheden tot inspraak: publieke consultaties over richtsnoeren, deelname aan werkgroepen via brancheverenigingen en de jaarlijkse AI Office stakeholders-bijeenkomst. Voor sectorverenigingen en brancheorganisaties is dit een kanaal waarmee Nederlandse belangen kunnen worden ingebracht in beleid dat anders in Brussel zonder dat tegengeluid wordt vastgesteld.
Nuttige bronnen
Wie zich verder wil verdiepen of formele documenten wil raadplegen, vindt deze bronnen het meeste van waarde:
- De officiele AI Office-website van de Europese Commissie (digital-strategy.ec.europa.eu).
- Het openbare register van Codes of Practice voor GPAI-aanbieders.
- Het registratieformulier voor het AI Pact.
- Het tijdschema en de notulen van het Scientific Panel.
- De Nederlandse vertaling van richtsnoeren via de website van de Autoriteit Persoonsgegevens.
Hoewel formele EU-besluiten in alle officiele talen verschijnen, zijn werkdocumenten, richtsnoeren en consultatiestukken van het AI Office doorgaans alleen in het Engels beschikbaar. Voor Nederlandse vertalingen kunt u wachten op publicatie door de AP, maar dat duurt vaak weken tot maanden.
Samenvattend
Het EU AI Office is geen toezichthouder die u snel zal benaderen, tenzij u zelf een GPAI-model ontwikkelt. Toch is het orgaan relevant: het bepaalt mede de Europese richtsnoeren, beheert het AI Pact, en zorgt dat regels voor de zwaarste AI-modellen niet versnipperd raken over 27 lidstaten. Door de publicaties van het AI Office te volgen blijft u vroeg op de hoogte van wat er aankomt, zonder dat u zich verliest in details die voor uw rol als deployer geen toegevoegde waarde hebben.
Voor de operationele naleving binnen uw organisatie blijft de Autoriteit Persoonsgegevens uw aanspreekpunt. Het AI Office is vooral het orgaan dat het Europese speelveld vormgeeft, en dat is op termijn even belangrijk als de directe handhaving.
Controleer uw naleving gratis
De gratis AI Act checker analyseert uw tools, geeft een risicoklassificatie en toont welke naleving-documenten u nog mist. In 10 minuten weet u of u op het radar van de toezichthouder kunt komen.
Start de gratis nalevingscheck