Alle berichten

De toezichthouder komt. Ben jij er al klaar voor?

Gepubliceerd op
April 2, 2026

Stel je een middelgroot Nederlands bedrijf voor. Honderdvijftig medewerkers. Ambitieuze groeiplannen. De organisatie omarmt AI enthousiast: marketing gebruikt een tool voor het schrijven van campagneteksten, HR heeft een chatbot die sollicitanten te woord staat, de salesafdeling werkt met een systeem dat leads scoort op potentieel, en development integreert stilletjes AI-functies in het product. Niemand heeft dat centraal gecoördineerd. Er is geen beleid. Er is geen overzicht.

Als ik vraag hoeveel AI-tools er in gebruik zijn, krijg ik een schatting. Als ik vraag of die tools voldoen aan de nieuwe Europese AI-wetgeving, krijg ik stilte. Dit is geen uitzonderlijk bedrijf. Dit is de norm.

De wet is er al een tijdje

De EU AI Act is de nieuwe Europese wet over kunstmatige intelligentie. Die wet is in augustus 2024 ingegaan. En sinds februari 2025 zijn sommige toepassingen van AI gewoon verboden.

Wat mag niet meer? Een paar voorbeelden. AI die mensen beoordeelt op hun gedrag in de samenleving, ook wel social scoring genoemd. AI die mensen manipuleert zonder dat ze het doorhebben. AI die op de werkvloer emoties herkent. En bepaalde vormen van AI die voorspelt of iemand een misdaad gaat plegen.

De komende jaren wordt de wet strenger. Sinds augustus 2025 moeten bedrijven die grote AI-modellen bouwen -de systemen waar veel andere toepassingen op draaien- aan extra regels voldoen. Dat zijn de zogenaamde foundation models, zoals de technologie achter ChatGPT.

Dit jaar, in augustus 2026, worden de eisen het zwaarst. Dan gaat het om AI in situaties waar veel op het spel staat: sollicitaties beoordelen, leningen toekennen, medische beslissingen ondersteunen of leerlingen beoordelen op school. Voor dit soort AI moet je straks precies kunnen uitleggen hoe het systeem tot een beslissing komt, bewijzen dat het geen groepen mensen benadeelt, en alles goed documenteren.

Wie daar niet op tijd klaar voor is, heeft een probleem

De wet is gefaseerd. Maar de illusie dat er nog ruim de tijd is, klopt niet meer.

Nederland scoort 56% en overschat zichzelf

Een studie van de Hogeschool van Amsterdam laat zien dat Nederlandse bedrijven gemiddeld 56 procent scoren op naleving van de nieuwe AI-regels. Ruim onder het benodigde niveau. Wat me nog meer zorgen baart: mkb-bedrijven lopen het meest achter én overschatten hun eigen compliance het sterkst. Ze denken dat het wel meevalt. Dat is precies de combinatie die tot problemen leidt.

Wat gaat er concreet mis? Veel organisaties weten niet welke AI-tools er in omloop zijn - zeker niet de tools die medewerkers zelf hebben aangeschaft of geactiveerd buiten IT om. Dat is shadow AI. En als je niet weet wat je gebruikt, kun je ook niet voldoen aan de transparantieverplichtingen, de documentatieplicht of de eisen rondom bias-bewaking die de AI Act stelt.

Juridische en adviespartijen als KPMG signaleren dat organisaties nu pas beginnen met inventarisaties terwijl de eerste deadlines al achter ons liggen. Chatbots op websites die niet als AI herkenbaar zijn. Recruitmentsystemen die als ‘niet-high-risk’ worden geclassificeerd om onder strengere eisen uit te komen. AI-beleidsdocumenten die generiek zijn gekopieerd van templates en nooit zijn doorvertaald naar processen of verantwoordelijkheden. Het zijn geen incidenten. Het is structureel.

We lopen achter. En we onderschatten hoe erg

Ik hoor regelmatig het argument dat handhaving ‘nog wel even duurt’. De Autoriteit Persoonsgegevens wordt de centrale AI-toezichthouder, maar heeft zelf aangegeven dat het beschikbare budget ontoereikend is voor de omvang van de taak. Dat geeft bedrijven een vals gevoel van veiligheid.

Wie de invoering van de AVG in 2018 heeft meegemaakt, herkent het patroon. Eerst relativering. Dan de eerste boetes. Dan dure inhaaloperaties. De boetes onder de AI Act kunnen oplopen tot 35 miljoen euro of 7 procent van de wereldwijde jaaromzet vergelijkbaar met de zwaarste GDPR-sancties. Het is niet de vraag óf er gehandhaafd wordt. Het is de vraag wanneer en wie er dan met lege handen staat.

Er is nog een pijnlijk detail dat ik niet ongenoemd wil laten: de overheid loopt zelf ook achter. In 2025 pleitte de Autoriteit Persoonsgegevens voor verplichte algoritmeregisters voor overheidsorganisaties omdat de publieke sector zelf nog geen volledig overzicht heeft van haar eigen AI-systemen. Een toezichthouder die bedrijven moet aanspreken op naleving, terwijl de overheid dezelfde tekortkomingen vertoont. Dat zegt iets over de breedte van het probleem.

Ondertussen merk ik in de praktijk dat organisaties niet alleen weten wat er verandert, maar ook hulp nodig hebben bij wat ze nu moeten doen. Dat zie ik terug in twee concrete vragen die ik steeds vaker krijg.

De eerste: hoe zorg ik dat mijn medewerkers weten wat wel en niet mag met AI? Ik train teams en medewerkers in wat ik AI-geletterdheid noem -begrijpen hoe AI werkt, wat de grenzen zijn, en hoe je er verantwoord mee omgaat in je dagelijkse werk. Niet met een droog juridisch verhaal, maar met herkenbare voorbeelden uit de eigen organisatie.

De tweede vraag gaat een stap verder: voldoen wij eigenlijk al aan de EU AI Act? En zo niet, waar zitten de risico’s? Steeds meer organisaties vragen me om samen te kijken naar hun AI-toepassingen, te beoordelen in welke categorie die vallen, en te helpen nadenken over governance - dus wie er binnen de organisatie verantwoordelijk is voor AI, hoe beslissingen worden genomen, en hoe je dat vastlegt.

Wat betekent dit voor jou?

De oplossing hoeft niet ingewikkeld te zijn. Drie dingen zijn urgenter dan al het andere:

Maak een inventarisatie. Vraag je teams welke AI-tools ze gebruiken, waarvoor, en met welke data. Niet als eenmalige exercitie maar als doorlopend proces. Je kunt niet naleven wat je niet kunt zien. Een simpel register: tool, gebruik, data, risicocategorie, eigenaar. Geen uitgebreid systeem nodig, een gedeeld spreadsheet is een begin.

Maak je AI-beleid concreet. Niet een generiek document dat in een la verdwijnt. Vertaal het naar processen, verantwoordelijkheden en tooling. Wie mag welke AI-tools aanschaffen? Wie is verantwoordelijk als er iets misgaat? Wat zijn de grenzen van gebruik met klantdata? Die vragen moeten beantwoord zijn voordat de toezichthouder ze stelt.

Investeer in AI-geletterdheid - als verplichting, niet als nice-to-have. De AI Act introduceert een expliciete verplichting om medewerkers AI-geletterd te maken. Niet een eenmalige training over prompts, maar structurele kennis over risico’s, rechten van betrokkenen en wat de wet van hen vraagt. Dat is een harde eis, geen soft topic meer.

De AI Act is niet het probleem voor organisaties die AI verantwoord gebruiken. Het is een probleem voor organisaties die doen alsof de regels niet voor hen gelden. Op basis van de onderzoekscijfers zijn dat er in Nederland nog veel te veel.

De wet is er. De klok tikt. En de meeste organisaties hebben nog een flinke weg te gaan.

Bekijk nog meer artikelen

Alle kennis
June 29, 2026

De toezichthouder komt. Ben jij er al klaar voor?

De EU AI Act geldt nu, maar de meeste organisaties hebben geen idee welke AI-tools ze gebruiken.
Claude Cowork: 12 lessen die ik liever eerder had geweten
June 29, 2026

Claude Cowork: 12 lessen die ik liever eerder had geweten

Twaalf praktische lessen om met Claude Cowork te starten, zonder de uren die ik zelf verspilde.
June 29, 2026

Één man. Nul medewerkers. 1,8 miljard omzet. Claude deed de klantenservice.

Hoe één man met AI-agents een miljardenbedrijf bouwde, en wat dat voor jouw organisatie betekent.
Alle berichten