In maart kleurde de AI-impactbarometer van de Autoriteit Persoonsgegevens rood. De boodschap aan het nieuwe kabinet was stevig: organisaties zetten AI steeds vaker in, terwijl de duidelijkheid over regels en toezicht achterblijft. De AP waarschuwde voor risico’s op onveilige en discriminerende algoritmes, terwijl handhavend optreden nog niet altijd goed mogelijk is.
Het wetsvoorstel voor de Uitvoeringswet AI-verordening (UAIV) (nu nog in consultatie) moet daar verandering in brengen. Dat doet de wetgever niet door de AI Act (in goed Nederlands de 'AI-verordening') inhoudelijk opnieuw uit te vinden. (Die regels staan immers al in de Europese regels en een deel daarvan is ook al van kracht.) Nee, de UAIV regelt vooral iets anders: wie houdt in Nederland toezicht, wie mag handhaven en met welke bevoegdheden? Wie hoopte op één helder AI-loket, komt bedrogen uit.
Geen aparte AI-waakhond, maar een toezichtlandschap
Nederland kiest niet voor één centrale AI-toezichthouder. Het voorstel verdeelt het toezicht over meerdere bestaande autoriteiten.
De Autoriteit Persoonsgegevens (AP) en de Rijksinspectie Digitale Infrastructuur (RDI) krijgen een sleutelrol, maar ook AFM, DNB, producttoezichthouders, en bijzondere actoren binnen de rechtsbedeling krijgen een plek. Hoeveel toezichthouders je precies telt, hangt af van je telmethode: formele markttoezichtautoriteiten, sectorale toezichthouders, coördinerende partijen, of bijzondere toezichtsroutes.
Het resultaat? Nederland krijgt geen dedicated AI-toezichthouder. Nederland krijgt een AI-toezichtslandschap.
Logisch, maar niet eenvoudig
Die keuze is bestuurlijk goed te verklaren. AI is geen sector. AI duikt op in zorg, finance, onderwijs, arbeid, infrastructuur, publieke dienstverlening, rechtspraak, en nog in zoveel andere sectoren. Eén toezichthouder kan al die domeinen nauwelijks inhoudelijk dragen.
Daarom sluit het voorstel zoveel mogelijk aan bij bestaande toezichtstructuren. Productgebonden hoogrisico-AI blijft dicht bij bestaand producttoezicht. Financiële AI blijft in belangrijke mate bij AFM en DNB. En voor veel maatschappelijke en grondrechtengevoelige toepassingen komt de AP nadrukkelijk in beeld.
Dat is logisch. Maar voor organisaties wordt het er niet per se eenvoudiger op. AI-compliance wordt niet alleen een vraag naar de inhoud van de AI Act, maar ook naar de Nederlandse toezichtkolom waarin je terechtkomt.
De AP wordt de spil, maar niet de enige speler
Als één toezichthouder duidelijk aan gewicht wint, dan is het de Autoriteit Persoonsgegevens. Deze komt opvallend dicht in de buurt van een horizontale AI-spil, maar zonder dé AI-autoriteit te worden.
De AP krijgt een brede rol bij veel AI-toepassingen die raken aan grondrechten, transparantie, en verboden praktijken. Ook bij verschillende hoogrisico-toepassingen uit bijlage III van de AI Act komt de AP nadrukkelijk naar voren, bijvoorbeeld bij biometrie, onderwijs, werk, essentiële diensten, en democratische processen.
Dat past bij het type risico’s waar de AP al langer voor waarschuwt. Veel AI-toepassingen gaan niet alleen over technische veiligheid, maar over de impact op mensen: selectie, beoordeling, toegang tot diensten, overheidsbesluiten, privacy, en discriminatie.
Tegelijk is het belangrijk om niet te doen alsof alles bij de AP belandt. De RDI heeft bijvoorbeeld een duidelijke rol als centraal contactpunt uit artikel 70 AI Act (hierover later meer), in de financiële sector blijven AFM en DNB stevig in beeld, bij productgebonden AI spelen bestaande producttoezichthouders een belangrijke rol, en voor AI in de rechtsbedeling kiest het wetsvoorstel zelfs voor een aparte institutionele route.
Het advies is gevolgd, maar niet gekopieerd
Een interessant punt zit in de coördinatie.
In het eindadvies van AP en RDI van vorig jaar was de gezamenlijke rol van AP en RDI nadrukkelijk zichtbaar. RDI werd daarin neergezet als belangrijke schakel voor coördinatie, expertise, en infrastructuur.
In het wetsvoorstel is dat formeler vormgegeven, al is de hoofdlijn van het eindadvies duidelijk herkenbaar: gespreid toezicht, veel gewicht voor de AP, aansluiting bij bestaande sectorale toezichthouders, en nadruk op samenwerking. Maar het kabinet neemt het advies niet één-op-één over.
Wie de wettekst leest, zou op het eerste oog kunnen denken dat de Minister van Economische Zaken en Klimaat het centrale contactpunt wordt en een coördinerende rol krijgt en dat de RDI minder prominent wordt dan in het eindadvies werd beschreven. In de praktijk lijkt de uitvoering via de RDI te gaan lopen via mandatering (zie vooral de Memorie van Toelichting). Dat is meer dan juridisch detailwerk. Het laat zien hoe Nederland het stelsel bestuurlijk wil ophangen: politieke verantwoordelijkheid formeel bij de Minister en technische/operationele expertise voor een belangrijk deel bij de RDI.
Verboden AI en transparantieverplichtingen worden daarnaast ook niet volledig bij de AP geconcentreerd, zeker niet in de financiële sector. Bovendien is voor de rechtsbedeling gekozen voor een eigen institutionele route, buiten het normale markttoezichtmodel.
Al met al, maakt dat het voorstel genuanceerder. Maar ook complexer.
Nieuwe tanden voor toezichthouders
De UAIV is niet alleen een organogram. Het voorstel geeft toezichthouders ook stevige handhavingsinstrumenten.
Het meest in het oog springt de bevoegdheid om onder fictieve identiteit onderzoek te doen. Toezichthouders kunnen dus, kort gezegd, als mystery shopper toegang proberen te krijgen tot AI-systemen. Dat is relevant bij systemen die niet eenvoudig van buitenaf te controleren zijn.
Daarnaast bevat het voorstel bevoegdheden om bij ernstige risico’s in te grijpen richting online interfaces, bestuursdwang toe te passen, en kosten van handhaving te verhalen. Ook worden boetebevoegdheden nationaal ingebed.
Daarmee krijgt de AI Act in Nederland pas echt tanden. Niet alleen op papier, maar ook in het toezicht.
Coördinatie wordt de lakmoesproef
Een gespreid toezichtmodel heeft voordelen. Het benut bestaande kennis, het voorkomt dat één nieuwe toezichthouder alles opnieuw moet uitvinden, en het sluit beter aan bij sectoren waarin al stevig toezicht bestaat.
Maar er zit ook een risico in. Hoe meer toezichthouders betrokken zijn, hoe groter de kans op overlap, discussie, of verschillende interpretaties.
Dat geldt zeker bij AI-systemen die in meerdere contexten worden gebruikt. Één AI-systeem kan relevant zijn voor transparantieverplichtingen, hoogrisico-classificatie, én sectorspecifieke regels. Dan moet duidelijk zijn wie waarover gaat.
Samenwerking, gegevensdeling, en afstemming tussen toezichthouders worden daarom randvoorwaarden voor het functioneren van het hele stelsel. Zonder goede coördinatie verandert 'gespreid toezicht' al snel in 'gefragmenteerd toezicht’.
Om nog niet te spreken over de extra mensen en middelen die dit van kersverse AI Act-toezichthouders gaat vragen. De wet is inmiddels in de maak: stelt het Kabinet de begroting hier ook passend op bij?
Hoe hier mee om te gaan binnen je AI Act-compliancestrategie?
Voor organisaties begint de analyse bij de eigen rol onder de AI Act.
Ben je aanbieder, bijvoorbeeld omdat je een AI-systeem ontwikkelt of onder eigen naam in de handel brengt of in gebruik stelt? Of ben je gebruiksverantwoordelijke, omdat je een AI-systeem onder eigen verantwoordelijkheid inzet?
Dat onderscheid is belangrijk. Een aanbieder van een hoogrisico-AI-systeem heeft andere verplichtingen dan een gebruiksverantwoordelijke dat zo’n systeem gebruikt.
Daarna volgt de classificatie. Is er sprake van een verboden AI-praktijk? Gaat het om hoogrisico-AI? Geldt een transparantieverplichting? Of spelen vooral algemene verplichtingen, zoals AI-geletterdheid?
Onder de Nederlandse UAIV komt daar dus nog een laag bij: welke toezichthouder hoort hierbij?
AI-compliance wordt ook bestuurlijk
Voor organisaties wordt AI-compliance dan ook niet alleen juridisch-inhoudelijk, maar ook bestuurlijk-praktisch.
Voor finance ligt AFM of DNB voor de hand. Voor veel grondrechtengevoelige toepassingen de AP. Voor productgebonden AI de bestaande producttoezichthouders. Voor kritieke infrastructuur komt de RDI/ILT-hoek in beeld. Maar voor rechtsbedeling geldt een aparte route bij de Procureur Generaal van de Hoge Raad.
Dat betekent dat organisaties hun AI-systemen niet alleen moeten toetsen aan de AI Act, maar ook moeten plaatsen op de Nederlandse toezichtkaart.
Wie is onze waarschijnlijke toezichthouder? Welke informatie zal die partij willen zien? Welke bevoegdheden kan die inzetten? En hoe past dit in onze bestaande governance, compliance, en documentatie?
Slot: zet toezicht op je AI-roadmap
De AI Act is Europees, maar de handhaving wordt Nederlands georganiseerd. Nederland kiest dus niet voor één AI-loket, maar voor een toezichtlandschap met meerdere routes, stevige bevoegdheden, en veel nadruk op coördinatie (althans, in dit voorstel, de UAIV moet nog door beide Kamers van het Parlement).
Dat maakt de UAIV belangrijker dan zij op het eerste gezicht lijkt. Dit is geen technische bijlage bij de AI Act. Dit is de wet die bepaalt wie straks vragen mag stellen, wie mag onderzoeken, en wie kan handhaven.
De praktische boodschap voor organisaties is daarom helder: breng je AI-systemen in kaart, bepaal per systeem je rol onder de AI Act, classificeer het risico, én koppel daar alvast de waarschijnlijke toezichthouder aan.
AI Act-implementatie betekent dus niet alleen regels lezen, maar ook toezicht voorspellen. Wie weet in welke toezichtkolom zijn/haar AI-systeem valt, staat straks een stuk minder verrast te kijken, óók als de toezichthouder zich niet meldt met visitekaartje, maar als “gewone gebruiker” door de voordeur van je AI-systeem binnenkomt.
Hulp nodig bij het in kaart brengen van je AI-systemen, het bepalen van je rol, of het voorbereiden op toezicht? Wij staan voor je klaar.
