Over honderdzes dagen, op 2 augustus 2026, moet Nederland drie dingen tegelijk op orde hebben. Een aangewezen toezichthouder voor de EU AI Act, een werkende uitvoeringswet die die toezichthouder handhavingsbevoegdheden geeft, en een regulatory sandbox waar Nederlandse bedrijven onder begeleiding hun hoog-risico AI-systemen kunnen testen. Op elk van die drie deadlines loopt het kabinet achter. Voor een mkb-er die in augustus een AI-toepassing in de zorg, personeelsselectie of kredietbeoordeling wil blijven gebruiken, wordt de leegte tussen Brussels beleid en Haagse uitvoering een concreet probleem.
Wat Artikel 57 oplegt en wat Nederland er tot nu toe van heeft gemaakt
Artikel 57 van de AI-verordening verplicht elke EU-lidstaat om uiterlijk op 2 augustus 2026 minimaal één AI regulatory sandbox operationeel te hebben. De sandbox is geen marketingterm uit Silicon Valley maar een juridische constructie. Aanbieders en gebruikers van hoog-risico AI kunnen er onder toezicht van de bevoegde autoriteit hun systeem ontwikkelen, testen en valideren voordat het op de markt komt. De begeleiding is concreet: je krijgt antwoord op de vraag of je product onder Annex III valt, welke documentatie je nodig hebt en hoe je conformiteitsassessment eruit moet zien.
De Autoriteit Persoonsgegevens en de Rijksinspectie Digitale Infrastructuur publiceerden op 23 april 2025 het Vormvoorstel Nederlandse regulatory sandbox. Geen definitief ontwerp, maar een richtinggevend document dat nog "onderhevig is aan verandering". De hoofdkeuze in het voorstel is een single multi-sectoral sandbox: één loket waar AI-ontwikkelaars hun vragen indienen, een kernteam dat triageert en sectorale toezichthouders betrekt als dat nodig is. Er komt een servicedesk voor eenvoudige vragen en een uitgebreide procedure voor complexe kwesties, met een eindrapport per traject.
De uitvoeringswet die er niet op tijd is
Een sandbox kan pas juridisch werken als de toezichthouder die hem draait de bevoegdheid heeft om beslissingen te nemen. Die bevoegdheid ontstaat via een Nederlandse uitvoeringswet bij de AI-verordening, en die wet is er niet. Staatssecretaris Zsolt Szabo (Digitalisering en Koninkrijksrelaties) liet de Tweede Kamer op 13 november 2024 weten dat Nederland de eerste aanwijzingsdeadline van 2 augustus 2025 niet zou halen. Sindsdien is er geen doorbraak geweest. Begin april 2026 gaf minister Van Weel (Justitie) toestemming aan ambtenaren om deel te nemen aan een technische briefing over de Digital Omnibus en AI — een teken dat Den Haag nog altijd op het verkennende niveau opereert, terwijl de klok richting augustus tikt.
Gevolg: burgers en bedrijven konden in theorie al vanaf februari 2025 bij de civiele rechter schadevergoeding vorderen voor overtreding van de prohibited practices, maar er was geen nationale autoriteit die erop kon handhaven. De coördinerende rol die AP en RDI nu al vervullen, rust op algemene bevoegdheden (AVG, telecomwetgeving), niet op de AI-verordening zelf. Het Department for the Coordination of Algorithmic Oversight binnen de AP groeit in 2026 naar een budget van 3,6 miljoen euro — goed voor coördinatie, onvoldoende voor een volwaardige sandbox-operatie voor een land met ruim 1,9 miljoen bedrijven.
Wat dit betekent voor Nederlandse mkb'ers met een hoog-risico AI-toepassing
Stel je bent een middelgrote zorginstelling in Utrecht die een triage-assistent draait op basis van een Claude Sonnet 4.6-pipeline met eigen fine-tuning. Of je bent een hr-dienstverlener die kandidaten rankt met een RAG-oplossing bovenop een open model. Allebei val je onder Annex III — hoog-risico. Op 2 augustus 2026 moet je aantonen dat je voldoet aan de artikelen 9 tot en met 49 van de AI Act: risicomanagement, datagovernance, technische documentatie, logging, menselijk toezicht, robuustheid. De conformiteitsassessment door een notified body kost tussen de 10.000 en 100.000 euro en duurt drie tot twaalf maanden. Als je nu nog geen assessor hebt benaderd, red je het niet voor de deadline.
De sandbox was het politieke antwoord op precies dit probleem. Het was de route waarlangs Nederlandse start-ups, mkb'ers en overheden met beperkte juridische capaciteit onder begeleiding konden ontdekken hoe ze compliant kunnen werken. Zonder sandbox vallen ze terug op dure externe juristen, of op de brede guidance van de European AI Office in Brussel die geen Nederlandse sector-context kent. De AP verwijst bedrijven sinds maart naar een tijdelijke FAQ en naar bestaande AVG-guidance. Dat is nuttig, maar het is geen sandbox.
Spanje loopt ruim een jaar voor, Duitsland koppelt aan bestaande toezichthouders
De Nederlandse vertraging is scherper zichtbaar als je naar de buren kijkt. Spanje opende al in november 2024 zijn pilot-sandbox onder AESIA, het eerste nationale AI-bureau in de EU. Twaalf bedrijven kregen daar in de eerste ronde begeleiding, inclusief een mkb uit Valencia dat een AI-kredietmodel test. Duitsland hevelt AI-toezicht rechtstreeks over naar de Bundesnetzagentur, die al handhaaft op telecom en NIS2 en nu extra capaciteit krijgt. Frankrijk wijst CNIL aan als centrale coördinator, met sectorale aansluiting op ACPR en ARCEP.
In alle drie die landen is de uitvoeringswetgeving al aangenomen of in eindfase. Nederland heeft gekozen voor een model met eindadvies van AP en RDI uit november 2024 — sectoraal en centraal gecoördineerd — dat inhoudelijk verstandig is maar juridisch complex om te implementeren. Dat verklaart deels de vertraging. Het verklaart niet waarom de definitieve wet in april 2026 nog niet in de Tweede Kamer ligt.
Wat consultancy-klanten in de praktijk doen
In het werk dat ik doe bij Nederlandse bedrijven die AI willen implementeren, zie ik dat twee groepen de leegte anders invullen. Grotere organisaties — banken, verzekeraars, ziekenhuizen — kopen extern juridisch advies in en bouwen intern een AI risk officer aan. De kosten lopen op tot zes cijfers per jaar, maar ze hebben de middelen. De tweede groep, de mkb'ers die ChatGPT en Claude in hun CRM of klantenservice inzetten, improviseert. Ze weten dat er iets komt, ze weten dat 2 augustus de datum is, maar er is geen overheidsloket waar ze een simpele vraag kunnen stellen zonder meteen een adviestraject op te starten.
Dat creëert twee risico's. Het eerste is overcompliance: bedrijven die uit voorzichtigheid AI-toepassingen stopzetten die onder de AI Act helemaal geen hoog risico vormen, maar die door het gebrek aan duidelijkheid toch afgewaardeerd worden. Het tweede is stille non-compliance: bedrijven die een hoog-risico toepassing draaien en niet eens weten dat ze onder Annex III vallen, omdat niemand het ze verteld heeft. Beide zijn slecht voor de Nederlandse AI-markt en allebei hadden ze deels opgevangen kunnen worden door een werkende sandbox.
Drie momenten om de komende weken in de gaten te houden
Voor lezers die hier meer dan theoretisch mee bezig zijn, drie concrete signaleringen voor mei en juni. Eén: let op de brief die Szabo heeft toegezegd met de definitieve structuur van het AI-toezicht. Die brief is de trigger voor de uitvoeringswet. Twee: de RDI publiceert waarschijnlijk in Q2 een herziening van het sandbox-vormvoorstel, inclusief duidelijkheid over kosten en toelatingscriteria voor deelnemers. Drie: de European AI Office publiceert in mei de definitieve guidance op Annex III-categorieën die nu nog in consultatie zijn. Als je AI inzet in hr, kredietbeoordeling, onderwijs of zorg, bepaalt die guidance of jouw toepassing hoog-risico is.
Voor nu geldt: wacht niet op de sandbox. Begin zelf met een AI-inventaris: welke AI draait er in je organisatie, welke data gebruikt die AI, en welke beslissingen neemt die AI over mensen. Die inventaris kost een middag en is de basis van elke latere compliance-stap. Of er in augustus een sandbox draait of niet.
