Uitvoeringswet AI-verordening Nederland: wat regelt de nieuwe wet?

De EU AI Act is een verordening en werkt rechtstreeks in alle lidstaten. Maar een aantal zaken laat de verordening over aan het nationale recht: welke toezichthouder krijgt welke bevoegdheid, hoe loopt de bestuurlijke boete, wat is de klachtenroute en hoe regelt Nederland de samenwerking tussen sectorale toezichthouders. Daarvoor is een nationale uitvoeringswet nodig. Op 20 april 2026 publiceerde het kabinet het wetsvoorstel voor de Uitvoeringswet AI-verordening (UAIA) op internetconsultatie.nl. De consultatie loopt tot 1 juni 2026.

Wat regelt de Uitvoeringswet AI-verordening?

De UAIA is geen herhaling van de AI Act. De verordening zelf werkt direct, met al haar verplichtingen, definities en boeteplafonds. De uitvoeringswet vult de organisatorische ruimte in die de verordening aan de lidstaten laat. Voor bedrijven is dit onderscheid belangrijk: de inhoudelijke normen waar u aan moet voldoen (zoals risicobeheer, technisch dossier en transparantie) komen uit de verordening. De Nederlandse uitvoeringswet bepaalt wie u daarop aanspreekt, hoe een procedure verloopt en welke nationale bestuursrechtelijke instrumenten worden ingezet. In de toelichting bij de internetconsultatie noemt het ministerie vier kerntaken:

• Aanwijzing van markttoezichthouders: per sector wordt vastgelegd welke bestaande Nederlandse toezichthouder de AI Act handhaaft. Daarmee voldoet Nederland aan artikel 70 van de verordening, dat lidstaten verplicht om nationale autoriteiten aan te wijzen.
• Bevoegdheden van de toezichthouders: bevoegdheid tot opvragen van documentatie, bedrijfsbezoek, last onder dwangsom, bestuurlijke boete en intrekking van conformiteitscertificaten. De UAIA verankert deze bevoegdheden in Nederlands recht via aanpassingen van bestaande wetten zoals de Algemene wet bestuursrecht en sectorale toezichtwetten.
• Sanctieregime: de boeteplafonds uit de verordening worden in Nederlands recht omgezet. Procedurele waarborgen (hoorrecht, beroep) worden uitgewerkt.
• Klachten- en beroepsroutes: hoe een burger of organisatie een klacht indient, welke toezichthouder die behandelt, en welke route beroep mogelijk maakt bij de bestuursrechter.

Daarnaast bevat het concept-wetsvoorstel een grondslag voor de regulatory sandbox die elke lidstaat moet inrichten (artikel 57 AI Act), en regels voor de samenwerking tussen Nederlandse toezichthouders onderling en met de Europese Commissie.

De gefragmenteerde Nederlandse aanpak: 10 markttoezichthouders

De meest besproken keuze in het concept is de aanwijzing van tien verschillende toezichthouders. Andere lidstaten, zoals Spanje (AESIA) en Italie (AgID), kiezen voor een centrale AI-autoriteit. Nederland kiest expliciet voor sectoraal toezicht, vanuit het uitgangspunt dat de bestaande toezichthouders de domeinkennis hebben en de AI Act geintegreerd moet worden in bestaande toezichtspraktijken.

De tien aangewezen markttoezichthouders zijn:

1. Autoriteit Persoonsgegevens (AP): horizontaal toezicht voor restcategorieen, biometrie, recht op uitleg, AVG-overlap. Tevens coordinerende rol.
2. Rijksinspectie Digitale Infrastructuur (RDI): productrichtlijnen uit Annex I, zoals machines, radioapparatuur en speelgoed.
3. Autoriteit Consument & Markt (ACM): consumentenbescherming, dark patterns en online platforms.
4. Nederlandse Zorgautoriteit (NZa): AI in de zorgsector, inclusief beslissingsondersteunende systemen.
5. Autoriteit Financiele Markten (AFM): financiele AI zoals beleggingsadvies en kredietscoring voor consumenten.
6. De Nederlandsche Bank (DNB): banken en verzekeraars, hoog-risico AI in financiele dienstverlening, raakvlak met DORA.
7. Nederlandse Voedsel- en Warenautoriteit (NVWA): productveiligheid AI bij voedsel en consumentenproducten.
8. Inspectie van het Onderwijs: AI in onderwijs en examineringsbesluiten.
9. Inspectie Justitie en Veiligheid: AI bij politie, justitie en migratie binnen de uitzonderingsclausules van de verordening.
10. Inspectie Leefomgeving en Transport (ILT): AI in transport, infrastructuur en milieu.

De AP als horizontale toezichthouder en het DCA

De AP krijgt twee rollen. Ten eerste: horizontaal toezicht op alle hoog-risico AI-toepassingen die niet onder een sectorale toezichthouder vallen. Dat is een brede restcategorie, inclusief HR-AI, recruitment-tools en algemene zakelijke toepassingen. Ten tweede speelt de AP een coordinerende rol via het Department for the Coordination of Algorithmic Oversight (DCA), een samenwerkingsverband tussen toezichthouders dat in 2023 is opgezet en met de UAIA wettelijke verankering krijgt. Het DCA zorgt voor gedeelde casuistiek, gezamenlijke onderzoeksstrategieen en eenduidige communicatie naar bedrijven.

RDI voor productrichtlijnen

De Rijksinspectie Digitale Infrastructuur valt onder het ministerie van Economische Zaken en houdt al toezicht op telecom, frequentiegebruik en de Radio Equipment Directive. Onder de AI Act krijgt zij Annex I-toezicht: AI in machines, medische hulpmiddelen, speelgoed, liften, persoonlijke beschermingsmiddelen en vergelijkbare productcategorieen waar AI als veiligheidscomponent functioneert. Voor maakbedrijven die AI inbouwen in hun producten is RDI dus de relevante autoriteit.

Sancties en boetes: hoe loopt dit in Nederland?

De UAIA volgt het sanctiekader van de verordening met aanpassingen voor de Nederlandse bestuursrechtelijke praktijk:

Overtreding	Maximumboete
Gebruik verboden AI (artikel 5)	€35 miljoen of 7% wereldwijde jaaromzet
Schending hoog-risico verplichtingen	€15 miljoen of 3% wereldwijde jaaromzet
Onjuiste informatie aan toezichthouder	€7,5 miljoen of 1,5% wereldwijde jaaromzet

Bestuurlijke boetes worden opgelegd door de bevoegde sectorale toezichthouder. De AP heeft de algemene route, de ACM kan via haar consumentenbeschermingsmandaat parallel optreden, en DNB en AFM volgen hun eigen sanctie-instrumentarium. Belangrijk: bij overlap tussen toezichthouders kiest het concept-wetsvoorstel voor een lead-supervisor-model, waarbij een primaire toezichthouder wordt aangewezen per casus.

Klachtenroute voor burgers en organisaties

Een belangrijk onderdeel van de UAIA is de klachtenroute. Onder artikel 85 AI Act heeft elke burger het recht een klacht in te dienen bij de markttoezichthouder. De UAIA werkt dat als volgt uit:

• Klachten kunnen elektronisch worden ingediend bij de relevante sectorale toezichthouder.
• Als de klant niet weet welke toezichthouder bevoegd is, kan de klacht bij de AP worden ingediend; die zorgt voor doorverwijzing.
• De toezichthouder is verplicht binnen redelijke termijn een ontvangstbevestiging en inhoudelijke reactie te geven.
• Beroep tegen besluiten loopt via de bestuursrechter, met de Afdeling bestuursrechtspraak van de Raad van State als hoogste instantie.

Voor bedrijven betekent dit dat zij klachten van medewerkers, klanten en zakenpartners niet alleen intern moeten kunnen afhandelen, maar ook moeten kunnen reageren op informatieverzoeken vanuit verschillende toezichthouders. Praktisch betekent dit dat uw interne klachtenproces niet alleen op AVG-klachten gericht moet zijn, maar ook op AI-specifieke vragen zoals: hoe is een besluit tot stand gekomen, welke menselijke controle was er, en welke alternatieve route heeft de klager? Een gestructureerd klachtenregister maakt het bovendien mogelijk patronen te signaleren voordat de toezichthouder dat doet.

De internetconsultatie: hoe meedoen, deadline 1 juni 2026

De internetconsultatie biedt iedere belanghebbende de kans om commentaar te leveren op het wetsvoorstel. De praktische werkwijze:

1. Ga naar internetconsultatie.nl en zoek op "Uitvoeringswet AI-verordening".
2. Download het concept-wetsvoorstel en de memorie van toelichting.
3. Lever uw reactie aan via het formulier, schriftelijk of als geuploade bijlage.
4. Geef aan of u akkoord gaat met publicatie van uw reactie.

Brancheorganisaties hebben aangekondigd gezamenlijke reacties op te stellen. Bedrijven die specifieke uitvoeringspraktijken willen aankaarten, doen er goed aan om of zelf in te dienen of via hun brancheorganisatie input te leveren. Veel gehoorde aandachtspunten in de eerste reacties: helderheid over lead-supervisor bij overlap, proportionaliteit voor MKB, en behandeling van AI-systemen die meerdere sectoren raken.

Wat ontbreekt nog?

Het wetsvoorstel laat enkele punten open die de praktijk graag opgelost ziet. De Autoriteit Persoonsgegevens heeft in haar pre-consultatie-advies vier aandachtspunten benoemd:

• Verplicht algoritmeregister voor private partijen: nu alleen voorzien voor overheid. De AP roept op tot bredere registratieplicht, met name voor consumentenkrediet, woningverhuur en verzekeringen waar geautomatiseerde besluitvorming grote impact heeft op individuen.
• FRIA-richtlijnen: de fundamental rights impact assessment uit artikel 27 vraagt om Nederlandse handleidingen. Die ontbreken nog. Tot dat moment moeten organisaties zelf invulling geven aan de FRIA op basis van Europese richtsnoeren en best practices uit andere lidstaten.
• Sandbox-details: waar in Nederland, met welke selectiecriteria en welke begeleiding biedt de sandbox? Innovatieve MKB-bedrijven hebben behoefte aan concrete duidelijkheid over kosten, toelating en de juridische status van sandbox-deelname.
• Coordinatieprotocol DCA: hoe gaan de tien toezichthouders concreet samenwerken bij sector-overschrijdende casuistiek? Het concept-wetsvoorstel verwijst naar nog op te stellen samenwerkingsafspraken, maar legt geen termijn vast.

Daarnaast spelen er praktische punten zoals de behandeling van AI-systemen die zowel binnen als buiten het hoog-risico bereik vallen, afhankelijk van toepassing. Een Large Language Model dat zowel in HR-context (hoog-risico via deployer) als marketing-context (laag-risico) wordt ingezet, vraagt om duidelijkheid over toezichts- en documentatieverplichtingen per use case. Brancheorganisaties dringen aan op heldere richtsnoeren hierover voor de definitieve wetstekst.

Wat moet u als bedrijf nu doen?

Ook al treedt de UAIA pas in 2027 in werking, drie acties zijn nu al verstandig: