Ethiek & Beleid

Kabinet legt AI-toezicht neer bij tien instanties

· 5 min leestijd

Op 20 april heeft staatssecretaris Aerdts het wetsvoorstel voor de Nederlandse uitvoeringswet AI-verordening in internetconsultatie gebracht. Het kabinet stelt tien markttoezichtautoriteiten voor om de EU AI Act te handhaven, met de Rijksinspectie Digitale Infrastructuur (RDI) als officieel aanspreekpunt voor Nederland richting Brussel. Bedrijven kunnen tot 1 juni reageren, waarna het wetsvoorstel naar de Raad van State en de Tweede Kamer gaat. Het tijdpad is krap: op 2 augustus 2026 worden de hoog-risico-verplichtingen van kracht, terwijl de wet dan nog niet door het parlement is.

Tien toezichthouders, elk in hun sector

Het kabinet kiest bewust voor een gelaagd model in plaats van één centraal AI-orgaan. De redenering: AI-toepassingen zijn domein-afhankelijk. Een systeem dat patiëntgegevens analyseert heeft andere risico's dan een AI in een kredietbeslissingsproces. Bestaande sectorale kennis en relaties blijven daarmee behouden.

Uit het consultatievoorstel zijn al de meeste van de tien markttoezichtautoriteiten te destilleren:

  • Autoriteit Persoonsgegevens (AP) krijgt een eigen AI-directie en wordt toezichthouder voor sectoren zonder aangewezen sectorale toezichthouder. De AP is ook bevoegd bij AI die persoonsgegevens verwerkt, wat overlap geeft met de AVG.
  • Rijksinspectie Digitale Infrastructuur (RDI) coördineert het systeem, houdt toezicht op AI in draadloze apparatuur en digitale infrastructuur, en fungeert als SPOC namens Nederland.
  • Inspectie Gezondheidszorg en Jeugd (IGJ) houdt toezicht op AI in zorg, jeugdhulp en medische hulpmiddelen.
  • Inspectie voor Leefomgeving en Transport (ILT) houdt toezicht op AI in mobiliteit en infrastructuur.
  • DNB en AFM pakken AI in financiële dienstverlening op. De NVWA en de Nederlandse Arbeidsinspectie vullen het stelsel aan voor voedsel- en werkplek-toepassingen.

Dit model heeft een duidelijk voordeel: bedrijven weten wie hun toezichthouder is, want dat is ook al de partij waarmee ze nu te maken hebben. Het risico is versnippering: wat als een AI-systeem twee domeinen raakt? Het wetsvoorstel adresseert dat via de coördinerende rol van de RDI, maar de praktijk moet dat uitwijzen.

De RDI als schakel tussen alle toezichthouders

De RDI krijgt een dubbele rol. Als coördinerend toezichthouder houdt het instituut alle sectorale AI-toezichthouders op één lijn. Als SPOC (Single Point of Contact) is de RDI het formele aanspreekpunt richting de Europese AI Office en voor burgers en bedrijven met vragen over AI-toezicht in Nederland.

De RDI benadrukt in zijn reactie dat het toezicht "proactief, risicogericht en proportioneel" zal zijn. Kleine bedrijven met laag-risico AI zullen minder te maken krijgen met actief toezicht dan grote leveranciers die hoog-risico AI aanbieden in de EU-markt.

De regulatory sandbox krijgt een wettelijke basis

Een van de meest concrete nieuwe elementen in het wetsvoorstel is de regulatory sandbox. Bedrijven, specifiek kleinere spelers en startups, kunnen straks innovatieve AI-systemen ontwikkelen en testen onder begeleiding van de toezichthouder, zonder direct het volle gewicht van de wet te dragen.

In eerdere berichten over de AI Act schreven we dat de sandbox in Nederland nog een vage belofte was. Met dit wetsvoorstel krijgt het een wettelijke grondslag. Hoe bedrijven kunnen instappen, wat de selectiecriteria zijn en welke sectoren als eerste in aanmerking komen: dat zijn precies de vragen waarop het kabinet tijdens de consultatie input zoekt.

Wat de wet betekent voor wie AI inzet

Voor bedrijven die AI gebruiken maar geen systemen bouwen of verhandelen, zijn de directe verplichtingen beperkt. De zwaarste eisen richten zich op leveranciers van hoog-risico AI-systemen, de categorie die valt onder Annex III van de AI-verordening: sollicitatiescreening, kredietbeoordeling, medische diagnose, biometrische identificatie en beslissingsondersteuning bij overheidsinstanties.

Als interne gebruiker ben je echter ook niet vrij van verplichtingen. Wie een AI-tool koopt van een externe leverancier voor HR-screening of kredietbeoordeling, valt onder de categorie gebruiksverantwoordelijke. Dat betekent: de leverancier controleren op conformiteit, risicobeheer bijhouden en medewerkers informeren over AI-gebruik. Een DPIA is in veel gevallen verplicht als er ook persoonsgegevens in het spel zijn.

Voor aanbieders van GPAI-modellen, zoals de grote taalmodellen van Anthropic, OpenAI en Google, geldt de Europese GPAI-wetgeving rechtstreeks. De nationale uitvoeringswet raakt hen minder direct, maar Nederlandse handhavingsinstanties kunnen daar op terugvallen bij overtredingen op nationaal grondgebied.

Reageren kan, en het loont

De consultatie loopt tot 1 juni 2026 via internetconsultatie.nl. Reacties zijn openbaar en worden meegenomen bij de behandeling in de Tweede Kamer. Tot nu toe zijn er twee openbare bijdragen binnengekomen.

Als uw organisatie hoog-risico AI inzet, is reageren concreet zinvol. Specifieke vragen die spelen:

  • Is uw sector goed vertegenwoordigd in de toezichtsstructuur?
  • Zijn de sandboxbepalingen bruikbaar voor uw bedrijfsgrootte?
  • Zijn conformiteitsvereisten voor bestaande AI-systemen werkbaar voor het mkb?

Een reactie hoeft geen juridisch document te zijn. Twee alinea's praktijkervaring vanuit een mkb-organisatie wegen vaak zwaarder dan een abstracte positienota van een lobbyklub.

Wat dit betekent voor Nederlandse organisaties voor 2 augustus

De uitvoeringswet is nog geen wet. Na de consultatie gaat het voorstel naar de Raad van State voor advies en vervolgens naar de Kamer. Dat tijdpad loopt waarschijnlijk door tot eind 2026, ruim na de deadline van 2 augustus.

Dit betekent: de AI Act is op 2 augustus gewoon van kracht, ook zonder uitvoeringswet. Handhaving in die overgangsperiode loopt formeel via Europees niveau, via de AI Office in Brussel. Voor organisaties is de boodschap ongewijzigd: compliance voorbereiden naar de Europese verordening zelf, niet wachten op de nationale wet.

De uitvoeringswet regelt daarna wie er in Nederland handhaaft, hoe klachten worden ingediend, en welke sancties gelden. De AI Act staat boetes toe tot 35 miljoen euro of 7 procent van de wereldwijde jaaromzet. De kabinetsbrief van 20 april geeft inzicht in de redenering achter de gekozen structuur.

Autoriteit Persoonsgegevens EU AI Act hoog-risico AI RDI Regulatory sandbox Uitvoeringswet
Michael Groeneweg
Geschreven door Michael Groeneweg AI-consultant bij Digital Impact en oprichter van UnicornAI.nl

Michael is AI-consultant bij Digital Impact in Rotterdam en oprichter van UnicornAI.nl, waar hij AI-oplossingen en SaaS-integraties bouwt voor bedrijven. Al tien jaar ondernemer, en sinds een paar jaar weigert hij iets te doen waar geen AI in verweven zit, zakelijk noch privé, tot mild ongenoegen van zijn omgeving. Zijn reizen door de wereld zijn inmiddels een serie experimenten in wat AI wel en niet kan vanaf een terrasje in Lissabon of een treinstation in Tokio. Hij test obsessief nieuwe tools, bouwt oplossingen voor klanten, en vindt dat niemand de hype moet geloven, maar ook niemand meer kan doen alsof AI niet alles verandert. Houdt van goede koffie, lange vluchten en mensen die met AI bouwen in plaats van er alleen over praten.

Gemaakt door een mens, met AI als assistent bij research en redactie. Meer over onze werkwijze in de AI-disclosure en het redactiestatuut.

Misschien vind je dit ook leuk

Ethiek & Beleid

Nederland mist zijn AI Act sandbox en uitvoeringswet
Ethiek & Beleid

EU-icoon voor deepfakes komt eraan, dit moet je weten
Ethiek & Beleid

Nederland heeft vier maanden voor de AI Act