Ethiek & Beleid

Tien Nederlandse loketten kijken straks mee met jouw AI

· 10 min leestijd

Je hebt een chatbot gebouwd die cv's voorsorteert. Werkt prima. En dan, ergens deze zomer, krijg je een mail. Niet van de privacywaakhond waar je aan gewend bent. Van de Arbeidsinspectie. Want jouw AI valt vanaf 2 augustus onder de Europese AI-verordening, en het kabinet heeft net besloten welk Nederlands loket bij welke sector hoort. Wie jou mag bellen, hangt vanaf nu af van wat jouw AI doet.

Wat heeft het kabinet eigenlijk besloten

Op 20 april stuurde staatssecretaris Willemijn Aerdts (Digitale Economie en Soevereiniteit, EZK) het voorstel voor de Uitvoeringswet AI-verordening de internetconsultatie in. Tot en met 1 juni 2026 kun je als ondernemer, ontwikkelaar of jurist reageren. Daarna gaat het voorstel naar de Tweede Kamer en moet het er door zijn voor 2 augustus, de dag waarop de AI Act volledig van kracht wordt.

De Europese AI Act zelf is geen verrassing. Die geldt al sinds 1 augustus 2024. Maar Brussel liet een belangrijke knop aan de lidstaten over: wie controleert het. Nederland heeft die knop nu omgedraaid. Het antwoord is niet een toezichthouder, maar tien. Verspreid over de sectoren waar AI in de praktijk landt.

Even voor de beeldvorming. Dit is alsof je een nieuwe verkeerswet krijgt waarbij iedere sector zijn eigen handhaver houdt. Banken bij De Nederlandsche Bank, vrachtwagens bij ILT, voedsel bij de NVWA. AI gaat dezelfde kant op, alleen staan er straks tien borden aan de weg in plaats van een.

Welke tien loketten zitten er, en wie belt jou

De brief van Aerdts noemt tien toezichthouders, elk met een eigen domein. Hieronder de korte versie. Bij elke regel staat het type AI dat onder die toezichthouder valt, zodat je in een oogopslag ziet welk loket jouw bedrijf raakt.

  • Autoriteit Persoonsgegevens (AP), algemeen markttoezicht op hoog-risico AI, transparantieverplichtingen en verboden AI-praktijken. Ook het vangnet voor alles wat verder geen logische sector heeft.
  • Rijksinspectie Digitale Infrastructuur (RDI), algoritmes in telecomnetwerken en de digitale infrastructuur die eronder ligt.
  • Autoriteit Consument en Markt (ACM), consumentenbescherming tegen misleidende algoritmes en oneerlijke aanbevelingen.
  • Inspectie Leefomgeving en Transport (ILT), AI in producten en kritieke infrastructuur die nu al onder ILT valt.
  • Autoriteit Financiële Markten (AFM), AI in financiële dienstverlening, beleggingsadvies en vermogensbeheer.
  • De Nederlandsche Bank (DNB), AI in de prudentiële kant van de financiële sector, dus banken, verzekeraars, pensioenfondsen.
  • Nederlandse Voedsel- en Warenautoriteit (NVWA), AI in producten waar de NVWA al toezicht op houdt.
  • Nederlandse Arbeidsinspectie (NLA), AI in arbeidssituaties. Zo'n cv-screener uit het lede-voorbeeld komt bij hen langs.
  • Inspectie Gezondheidszorg en Jeugd (IGJ), AI in zorgproducten en zorgprocessen.
  • Procureur-generaal bij de Hoge Raad (PGHR), AI in juridische toepassingen, met de hoogste rechter als toezichthouder. Een fijne tussendetail om uit te leggen op een verjaardag.

De clou: je hebt geen vrijheid in welk loket je kiest. Het sectorale toezichthouderschap volgt jouw use case. Een bank die met een groot taalmodel klantgesprekken automatiseert, krijgt te maken met DNB en AFM en, als er persoonsgegevens in zitten, de AP. Een ziekenhuis dat hetzelfde model inzet voor triage zit bij IGJ. Twee verschillende loketten, een model.

Waarom AP en RDI samen het stuur pakken

Tien toezichthouders is veel. Daarom heeft het kabinet er twee bovenop gezet. De AP en de RDI worden de coördinatoren van het stelsel. Ze zorgen dat de tien onderling kennis delen, dat ze niet allemaal zelf het wiel uitvinden, en ze vertegenwoordigen Nederland in Brussel als de Europese AI Office vragen heeft.

De AP krijgt er nog een rol bij. Voor sectoren waar geen duidelijke toezichthouder bestaat, denk aan een algoritme bij een gemeente dat geen privacyaspect heeft maar wel risico's voor burgers, springt de AP in. Daarvoor wordt een aparte AI-bestuurder binnen de AP aangesteld. Een nieuwe functionaris met een eigen mandaat. De RDI krijgt op zijn beurt de SPOC-rol: het loket waar bedrijven, politiek en publiek terecht kunnen voor algemene vragen.

Wat dit voor jou betekent: als je niet zeker weet welke toezichthouder voor je geldt, is de RDI je eerste belletje. Ze sturen je door of geven uitsluitsel.

Wat verandert er op 2 augustus voor jouw bedrijf

De AI Act gebruikt twee rollen: provider (wie het AI-systeem maakt en op de markt brengt) en deployer (wie het inzet binnen zijn organisatie). De meeste Nederlandse bedrijven zijn deployers. Je bouwt geen eigen groot taalmodel, je huurt er een van OpenAI, Anthropic of Google. Maar als je dat model in een hoog-risico-context inzet, gelden er voor jou alsnog stevige verplichtingen.

De praktische lijst voor deployers vanaf 2 augustus 2026:

  • Voor hoog-risico-AI-systemen moet je een Fundamental Rights Impact Assessment (FRIA) doen voordat je hem in productie zet. Dat is een nieuwe DPIA-achtige toets, maar dan op grondrechten breed: privacy, non-discriminatie, recht op informatie.
  • Publieke organisaties (en bedrijven die diensten leveren in opdracht van overheden) moeten hun hoog-risico-AI-inzet registreren in de Europese database voor hoog-risico AI.
  • Je moet menselijk toezicht regelen. Niet als formaliteit. Mensen die het AI-systeem gebruiken moeten de output kunnen overrulen, snappen waar het systeem onzeker is, en weten wanneer ze moeten ingrijpen.
  • Werknemers moeten AI-geletterd zijn voor zover ze met het systeem werken. Die plicht geldt overigens al sinds 2 februari 2025.
  • Je moet kunnen aantonen dat je een leverancier hebt gekozen die zelf voldoet aan de provider-verplichtingen. In de praktijk: je vraagt OpenAI of Anthropic naar hun Model Card, hun bias-tests, hun incident-rapportage. Geen reactie, geen leverancier.

Bij overtredingen kunnen boetes oplopen tot 35 miljoen euro of 7 procent van de wereldwijde jaaromzet, afhankelijk van het type overtreding. Voor mkb gelden lagere maxima, maar de berekening blijft dezelfde proportionele vorm.

De vraag die je je nu moet stellen is simpel. Welke AI-toepassingen draaien er überhaupt in jouw bedrijf? En welke daarvan vallen in de hoog-risico-lijst van bijlage III bij de AI Act? Tot je dat in kaart hebt, weet je niet eens welk loket je belt als er iets misgaat.

De sandbox als zachte landing

Niet alleen handhaving. De Uitvoeringswet introduceert ook een Nederlandse regulatory sandbox. Een gecontroleerde omgeving waar je een innovatief AI-systeem kunt testen onder toezicht, zonder direct het volle pak compliance op je nek. RDI en AP gaan deze sandbox samen runnen.

De sandbox is niet bedoeld als ontsnappingsroute. Hij is bedoeld voor partijen die echt iets nieuws bouwen en daarbij interactie willen met de toezichthouder zodat ze niet straks na livegang horen dat het mis is. Voor het Nederlandse mkb dat eigen agentic toepassingen ontwikkelt, en dat zijn er steeds meer, is dit het juiste kanaal om risico vooraan te checken.

Hoe en wanneer je je kunt aanmelden, staat nog niet vast. Het sandbox-mechanisme is door de AI Act verplicht gesteld voor elke lidstaat per 2 augustus 2026, dus de Nederlandse uitvoering moet er voor die datum staan. Houd RDI in de gaten.

Wat doe je deze week, en wat in juli

Drie dingen die je deze week op je todo-lijst zet, ongeacht je sector.

Een, maak een AI-inventarisatie. Welke tools draaien er, in welke processen, met welke data? Reken niet alleen ChatGPT-Enterprise of Microsoft Copilot mee. Tel ook alles wat je dev-team via API-keys aanroept, en wat marketing in losse SaaS-tools heeft zitten. Je zult zien dat het meer is dan je dacht. Een vergelijkbare inventaris-actie zagen we onlangs bij NEC, dat dertigduizend medewerkers op Claude zette en daarvoor eerst een Center of Excellence inrichtte. Voor mkb is een spreadsheet genoeg, maar de oefening is dezelfde.

Twee, classificeer. Loop bijlage III van de AI Act door en kruis aan welke van jouw toepassingen onder hoog-risico vallen. Cv-screening, kredietbeoordeling, examens automatisch nakijken, biometrische identificatie, dat soort werk. Voor de rest gelden lichtere verplichtingen, maar je moet wel weten waar je staat.

Drie, lees je leverancier door. Vraag OpenAI, Anthropic of Google om hun documentatie over de AI Act-compliance van hun model. Niet hun marketing-pdf. De technische bijlages. Je hebt ze nodig voor je eigen FRIA. Een voorbeeld van zo'n leverancier-stap zagen we deze maand bij OpenAI's open-source privacy-filter dat lokaal namen uit prompts haalt. Dat soort tooling is precies wat je in een FRIA nodig hebt om te onderbouwen dat je dataminimalisatie serieus neemt.

In juni en juli houd je je consultatiereactie-deadline scherp (1 juni) en stel je je interne GPAI-leveranciersmatrix samen. In augustus, als de wet leeft, weet je dan waar je staat en wie er bij wie hoort.

"AI biedt enorme kansen voor onze economie en het dagelijks leven. We kunnen die alleen benutten als mensen erop vertrouwen dat AI veilig en verantwoord wordt ingezet."
Staatssecretaris Willemijn Aerdts in haar Kamerbrief van 20 april 2026

De Nederlandse keuze, in het licht van de Europese discussie

Tien toezichthouders is een typisch Nederlandse oplossing. Bestaande domeinen blijven, met een coördinatielaag erbovenop. Andere lidstaten kiezen anders. Spanje heeft een centraal AESIA opgericht, een AI-toezichthouder die alles doet. Frankrijk neigt naar een hybride model met de CNIL als spil maar sectorale gespecialiseerde toezichthouders eromheen. Duitsland zit nog te puzzelen.

De keuze van Nederland is pragmatisch. Het bouwt voort op wat er is, voorkomt dat een nieuwe waakhond eerst een paar jaar zichzelf moet uitvinden, en houdt sectorkennis intact. De keerzijde: voor multi-sector AI-toepassingen ben je straks bij meerdere loketten tegelijk in gesprek. En als zij verschillende interpretaties geven van dezelfde AI Act-paragraaf, moet de coördinatie van AP en RDI dat uitfilteren voordat het bij jou op het bordje belandt.

Dat past binnen een bredere Europese discussie waarin landen zoeken naar de balans tussen innovatie en handhaving. Niet ver van dit dossier ligt het verhaal van Siemens dat een miljard aan AI-investeringen weghaalt uit Europa en het verschuift naar de VS en Azië. De Nederlandse uitvoeringswet zal mede afgemeten worden aan hoe goed hij innovators in eigen land houdt.

Wat er nog niet in staat

De internetconsultatie loopt nog. Wat in de huidige tekst nog ontbreekt of vaag blijft:

  • Wie betaalt voor het uitgebreide takenpakket van de AP, AFM, IGJ enzovoort. Toezicht kost mensen, en de begrotingsdiscussie loopt parallel.
  • Hoe streng de aanmeldingsdrempel voor de regulatory sandbox wordt. Als die zo hoog ligt dat alleen multinationals erin passen, is het mkb opgesloten.
  • Wanneer er praktische guidance komt voor de FRIA. De AVG kreeg een DPIA-template van de AP, maar de FRIA is breder en die handleiding bestaat nog niet.
  • Hoe de AI-bestuurder bij de AP gaat samenwerken met de bestaande algoritmewaakhond binnen de AP. Twee functies onder hetzelfde dak met overlappende mandaten kan rommelig worden.

De consultatie tot 1 juni is de plek om hier wat van te vinden. Brief van een mkb-branchevereniging, interne juridische reactie of gewoon een persoonlijke inbreng, alles wordt openbaar gepubliceerd op internetconsultatie.nl en gaat mee in de Memorie van Toelichting. Wie nu zwijgt, kan straks lastig klagen.

Op je agenda voor de zomer

Zet drie data nu in je agenda. 1 juni 2026: laatste dag om op de Uitvoeringswet AI-verordening te reageren via internetconsultatie.nl. 2 augustus 2026: AI Act volledig van kracht, FRIA-plicht, registratieplicht voor hoog-risico-AI in de Europese database. En ergens in juli of begin augustus, afhankelijk van het tempo van de Tweede Kamer: de dag dat de Uitvoeringswet wordt aangenomen en jouw eerste echte loket gemarkeerd is.

Wat tot die tijd geldt, geldt al. AI-geletterdheid voor je medewerkers (vanaf februari 2025), de verboden AI-praktijken (idem), en alles wat onder de AVG al verplicht is. De Uitvoeringswet voegt vooral de handhavers toe. Maar handhavers zonder voorbereiding voelen ineens heel concreet.

Vraag je collega op de juridische afdeling of bij IT vandaag of er al een AI-inventarisatie ligt. Als het antwoord nee is, weet je waar je begint.

AI Act AI-toezicht AI-verordening Autoriteit Persoonsgegevens compliance EU AI RDI
Michael Groeneweg
Geschreven door Michael Groeneweg AI-consultant bij Digital Impact en oprichter van UnicornAI.nl

Michael is AI-consultant bij Digital Impact in Rotterdam en oprichter van UnicornAI.nl, waar hij AI-oplossingen en SaaS-integraties bouwt voor bedrijven. Al tien jaar ondernemer, en sinds een paar jaar weigert hij iets te doen waar geen AI in verweven zit, zakelijk noch privé, tot mild ongenoegen van zijn omgeving. Zijn reizen door de wereld zijn inmiddels een serie experimenten in wat AI wel en niet kan vanaf een terrasje in Lissabon of een treinstation in Tokio. Hij test obsessief nieuwe tools, bouwt oplossingen voor klanten, en vindt dat niemand de hype moet geloven, maar ook niemand meer kan doen alsof AI niet alles verandert. Houdt van goede koffie, lange vluchten en mensen die met AI bouwen in plaats van er alleen over praten.

Gemaakt door een mens, met AI als assistent bij research en redactie. Meer over onze werkwijze in de AI-disclosure en het redactiestatuut.

Misschien vind je dit ook leuk

Ethiek & Beleid

Kabinet legt AI-toezicht neer bij tien instanties
Ethiek & Beleid

Nederland heeft vier maanden voor de AI Act
Ethiek & Beleid

NEC zet dertigduizend op Claude, jij kunt het bouwplan kopiëren