U wilt de mogelijkheden van AI benutten en tegelijk aantoonbaar verantwoord werken. De Europese AI Act biedt daarvoor het kader. Wij helpen u om AI helder te organiseren, van inventarisatie tot training en van beleid tot continue borging. Realistisch, pragmatisch en passend bij uw organisatie.
AI governance is het geheel van afspraken, processen en documentatie waarmee uw organisatie AI verantwoord en aantoonbaar inzet. Wij helpen met inventarisatie, risicoclassificatie, beleid, AI-geletterdheid en, voor hoog-risico systemen, conformiteitsbeoordeling die de EU AI Act voorschrijft.
De Europese AI Act is sinds 1 augustus 2024 van kracht en wordt in fases ingevoerd. Het doel: zorgen dat mensen en organisaties kunnen vertrouwen op AI-systemen die veilig, transparant en onder menselijk toezicht werken. Voor organisaties die AI willen inzetten biedt het kader vooral helderheid, welke regels gelden voor welk type toepassing en hoe maakt u dat aantoonbaar?
De wet werkt risicogebaseerd. De meeste alledaagse AI-toepassingen, zoals tekstassistenten, aanbevelingssystemen en voorraadbeheer, vallen in de lichtste categorie. Voor toepassingen met grotere impact, bijvoorbeeld AI in werving of medische beoordeling, gelden uitgebreidere eisen. Twee verplichtingen gelden voor élke organisatie die met AI werkt: een AI-register bijhouden en aantoonbare AI-geletterdheid bij medewerkers.
Augustus 2026 is het ijkpunt waarop het volledige kader voor hoog-risico systemen afdwingbaar wordt. Geen reden voor paniek, wel voor structuur. Wie nu rustig begint met inventariseren en richtlijnen opstellen, heeft ruim tijd om governance pragmatisch in te richten en bouwt onderweg vertrouwen op bij medewerkers, klanten en toezichthouders.
Aug 2024
AI Act in werking getreden
Feb 2025
AI-geletterdheid voor élke organisatie met AI
Aug 2026
Volledig kader voor hoog-risico systemen
4
Risiconiveaus, gedifferentieerde aanpak per type AI
De AI Act hanteert een risicogebaseerde aanpak. Hoe hoger het risico van een AI-systeem voor mensen of de samenleving, hoe strenger de regels. De classificatie is de eerste stap voor elke organisatie: vóór je een compliance-programma kunt ontwerpen, moet je weten in welke categorie je AI valt.
AI-toepassingen die een directe bedreiging vormen voor fundamentele rechten zijn volledig verboden sinds 2 februari 2025. Denk aan systemen die mensen manipuleren via subliminale technieken, sociale kredietsystemen, of realtime biometrische identificatie in openbare ruimtes (met beperkte uitzonderingen voor terrorismebestrijding).
Binnen reguliere bedrijfsprocessen komen deze toepassingen vrijwel niet voor; het toezicht is hier het strengst.
De kern van de AI Act. Hoog-risico systemen hebben significante gevolgen voor gezondheid, veiligheid of grondrechten. Voorbeelden: AI voor werving en selectie, kredietbeoordeling, medische diagnoses, kritieke infrastructuur, migratie en rechtshandhaving.
Risicomanagement, data governance, technische documentatie, conformiteitsbeoordeling, CE-markering, EU-database registratie, menselijk toezicht en transparantie.
AI-systemen die interageren met mensen (chatbots, deepfake-generatoren, emotieherkenning) moeten transparant zijn. Gebruikers moeten weten dat ze met AI communiceren.
Vanaf augustus 2026 gelden specifieke labeling-verplichtingen voor AI-gegenereerde content.
De overgrote meerderheid van AI-toepassingen, spamfilters, aanbevelingssystemen, voorraadbeheerstools, valt in deze categorie. Geen verplichte eisen, maar de AI Act moedigt vrijwillige gedragscodes en AI-geletterdheid aan.
Let op: de verplichting tot AI-geletterdheid (Artikel 4) geldt voor álle organisaties die AI gebruiken, ongeacht risiconiveau.
Breng alle AI-systemen in kaart die je organisatie gebruikt of ontwikkelt. Bepaal per systeem de risicoklasse, het doel, de leverancier, en welke data het verwerkt. Zonder dit overzicht is compliance onmogelijk.
Artikel 4 verplicht elke organisatie die AI gebruikt om adequate AI-geletterdheid te waarborgen bij alle betrokkenen. Dat geldt voor interne medewerkers, externe consultants, en zelfs klanten die AI op jouw platform gebruiken.
Stel een duidelijke governance-structuur in: wie is verantwoordelijk voor AI-beslissingen? Wie houdt toezicht? AI-governance raakt directie, HR, compliance, operations en juridische zaken.
Voor hoog-risico systemen: implementeer een risicomanagementsysteem met continue monitoring. Stel technische documentatie op die aantoont dat het systeem aan de AI Act voldoet. Zorg voor data governance met aantoonbaar bias-vrije, representatieve datasets.
Hoog-risico systemen moeten een conformiteitsbeoordeling doorlopen vóór ze op de markt worden gebracht. Via interne controle of via een externe beoordeling door een notified body. Daarna volgt CE-markering en registratie in de EU-database.
Compliance is geen eenmalig project. Na augustus 2026 moeten organisaties continu regelgevende updates monitoren, incidenten melden, en compliance-processen bijwerken.
Wij bouwen zelf AI-systemen en kennen daardoor zowel de techniek als de organisatorische kant. Onze aanpak is gedoseerd, werkbaar en past zich aan bij uw startpositie.
We brengen alle AI-systemen binnen je organisatie in kaart: wat gebruik je, waar komt het vandaan, welke data verwerkt het, en voor welk doel? Elk systeem wordt geclassificeerd volgens de risicoklassen van de AI Act. Resultaat: een AI-register met risicoklassificatie per systeem.
We toetsen je huidige situatie aan de eisen van de AI Act en AVG. Waar sta je, waar moet je zijn, en wat is de snelste route? We stellen een concrete roadmap op met prioriteiten, verantwoordelijkheden en tijdlijnen.
We ontwikkelen praktische AI-richtlijnen die passen bij jouw organisatie: geen generiek beleidsdocument, maar werkbare afspraken over hoe medewerkers AI verantwoord inzetten. Inclusief governance-structuur, RACI-matrix en escalatieprocedures.
We trainen je medewerkers in AI-geletterdheid: niet alleen omdat het moet (Artikel 4), maar omdat het werkt. Teams die AI begrijpen, zetten het effectiever in en herkennen risico's sneller. Van directie tot werkvloer, afgestemd op rol en kennisniveau.
Voor organisaties met hoog-risico AI-systemen: we begeleiden de conformiteitsbeoordeling, stellen technische documentatie op, en zorgen dat je klaar bent voor CE-markering en registratie. We ondersteunen zowel interne als externe beoordelingstrajecten.
AI-compliance is geen eindpunt. We helpen je bij het inrichten van continue monitoring, het bijhouden van regelgevende ontwikkelingen, en het periodiek herzien van je AI-register en beleid. Zo blijf je ook na augustus 2026 in control.
De conformiteitsbeoordeling is het bewijs dat een hoog-risico AI-systeem voldoet aan de eisen van de AI Act. Het is verplicht vóórdat het systeem op de Europese markt wordt gebracht of in gebruik wordt genomen. Er zijn twee routes.
De aanbieder voert zelf een beoordeling uit. Dit omvat verificatie van het kwaliteitsmanagementsysteem (Artikel 17) en beoordeling van de technische documentatie. Geschikt voor de meeste hoog-risico systemen, mits geharmoniseerde standaarden zijn gevolgd.
Een aangemelde instantie (notified body) beoordeelt zowel het kwaliteitsmanagementsysteem als de technische documentatie. Verplicht voor biometrische identificatiesystemen en wanneer geharmoniseerde standaarden niet of slechts gedeeltelijk zijn gevolgd. Bij goedkeuring volgt een EU-certificaat voor technische documentatie.
Na succesvolle beoordeling stelt de aanbieder een EU-conformiteitsverklaring op en brengt CE-markering aan. Het systeem wordt geregistreerd in de EU-database voor hoog-risico AI-systemen. Bij significante wijzigingen of wijziging van het beoogde doel is een nieuwe conformiteitsbeoordeling vereist.
1 augustus 2024
AI Act in werking getreden
2 februari 2025
Verbod op onaanvaardbare AI + verplichting AI-geletterdheid
2 augustus 2025
Regels voor general-purpose AI-modellen (GPAI) + governance
2 augustus 2026
Volledige regels hoog-risico AI, transparantieverplichtingen, conformiteitsbeoordelingen, CE-markering, EU-database registratie
2 augustus 2027
Regels voor hoog-risico AI in gereguleerde producten (Annex I/II)
31 december 2030
Deadline voor grote IT-systemen (grensbewaking etc.)
Noot: het Digital Omnibus-voorstel (november 2025) stelt voor sommige deadlines te verschuiven. Tot publicatie in het Publicatieblad gelden juridisch de oorspronkelijke deadlines.
Voor organisaties die met AI werken is het prettig dat het toezicht in Nederland duidelijk is verdeeld. Eén coördinerende lijn, met sectorspecifieke kennis daar waar dat past, dat geeft houvast bij vragen, meldingen en het gesprek met je toezichthouder.
De Autoriteit Persoonsgegevens (AP) en de Rijksinspectie Digitale Infrastructuur (RDI) zijn aangewezen als coördinerende toezichthouders. De AP opereert feitelijk al in deze rol via de Directie Coördinatie Algoritmes en richt zich op de bredere governance-aspecten van AI.
Daar waar AI wordt ingezet binnen specifieke sectoren werken bestaande toezichthouders mee: de AFM en DNB voor financiële dienstverlening, de IGJ voor de zorg en de ACM voor markttoezicht. Dat sluit aan bij de kennis die er al ligt.
De AP heeft vijf prioriteiten benoemd voor 2026: systeemtoezicht, transparantie en uitlegbaarheid, kaders en normen, bias- en fairnesstesten, en AI-geletterdheid. Die thema's vormen een goede spiegel voor uw eigen governance-programma. Wie hier nu aandacht aan besteedt, sluit naadloos aan op het toezichtsperspectief.
Artikel 4 van de AI Act stelt dat élke organisatie die AI gebruikt of ontwikkelt zorgt voor adequate AI-geletterdheid bij alle betrokkenen. Een verplichting, maar vooral een kans. Teams die AI begrijpen, zetten het effectiever in, herkennen risico's sneller en voeren betere gesprekken over wanneer AI wel en niet helpt.
Medewerkers die met AI werken begrijpen hoe de systemen functioneren, wat de beperkingen zijn, en welke afwegingen daarbij horen.
Het geldt voor interne medewerkers, externe consultants en klanten die AI op uw platform gebruiken.
U houdt eenvoudig bij wie wanneer is getraind, zodat de geletterdheid aantoonbaar groeit met de organisatie mee.
Veel AI Act-verplichtingen overlappen met wat je onder de AVG al moet (of zou moeten) doen. Het verwerkingsregister kun je uitbreiden met een AI-kolom. De DPIA die je uitvoert voor risicovolle gegevensverwerking, dekt vaak ook de risicoanalyse voor AI. Je privacybeleid kun je uitbreiden met een AI-paragraaf.
Maar er zijn ook wezenlijke verschillen. De AVG beschermt persoonsgegevens; de AI Act reguleert het AI-systeem als product. De AI Act vereist conformiteitsbeoordelingen en CE-markering, dat kent de AVG niet. En voor hoog-risico AI bij overheidsinstanties schrijft de AI Act een Fundamental Rights Impact Assessment (FRIA) voor, bovenop de DPIA.
Gaide helpt je om AI Act-compliance als verlengstuk van je bestaande AVG-programma in te richten. Geen apart traject, geen dubbele documentatie.
AI-governance is een bestuursvraagstuk. Wie is verantwoordelijk als een AI-beslissing fout uitpakt? De AI Act vereist dat organisaties verantwoordelijkheden expliciet beleggen. Directieleden moeten AI begrijpen om strategisch te sturen en risico's te beheersen.
De AI Act brengt nieuwe compliance-eisen die aansluiten op bestaande frameworks (AVG, NIS2). Je hebt grip nodig op AI-risico's, rapportage en aantoonbare naleving. De deadline van augustus 2026 vraagt nu om actie.
AI in werving, selectie en beoordeling is hoog-risico onder de AI Act. Daarnaast is AI-geletterdheid een HR-verantwoordelijkheid: je moet kunnen aantonen dat medewerkers zijn getraind. Dit is een strategisch thema voor L&D en employer branding.
De technische documentatie-eisen van de AI Act zijn substantieel. Je moet ontwerp-beslissingen, data-herkomst, bias-testen en testmethodologieën documenteren. Agile teams die gewend zijn aan minimale documentatie moeten hun werkwijze aanpassen.
Overal waar AI wordt ingezet in bedrijfsprocessen, van klantenservice tot logistiek, moet menselijk toezicht worden geborgd. De AI Act eist dat gebruikers de output van AI kunnen interpreteren en zo nodig kunnen ingrijpen.
Wij zijn een AI-consultancy die zelf AI-systemen bouwt en implementeert. Dat betekent dat wij governance niet benaderen als een papieren exercitie, maar als een integraal en pragmatisch onderdeel van hoe u AI in de praktijk inzet, samen met juridische en sectorale partners waar dat meerwaarde geeft.
We begrijpen zowel de technische eisen (documentatie, bias-testing, monitoring) als de organisatorische kant (governance, training, cultuurverandering).
Onze richtlijnen zijn werkbaar. Medewerkers snappen ze, managers kunnen ze handhaven, en toezichthouders accepteren ze.
We schrijven niet alleen het beleid, we helpen bij de implementatie, de training en de continue borging.
Of je nu een scale-up bent met je eerste AI-tool of een organisatie met tientallen AI-systemen: we schalen onze aanpak mee.
Ja, gedeeltelijk. Het verbod op onaanvaardbare AI-praktijken en de verplichting tot AI-geletterdheid gelden al sinds 2 februari 2025. De volledige regels voor hoog-risico systemen worden afdwingbaar op 2 augustus 2026.
Ja. De verplichting tot AI-geletterdheid (Artikel 4) geldt voor alle organisaties die AI gebruiken, ongeacht de complexiteit. Daarnaast kunnen specifieke toepassingen, bijvoorbeeld als u ChatGPT inzet voor HR-screening, onder hogere risicoklassen vallen.
De wet kent een gedifferentieerd sanctiekader, vergelijkbaar met de AVG. Voor de meeste organisaties is dat niet de eerste zorg: belangrijker zijn de operationele en reputationele aspecten. Steeds meer opdrachtgevers vragen om aantoonbare AI-governance bij aanbestedingen, en medewerkers en klanten waarderen organisaties die transparant zijn over hoe zij AI inzetten. Vroeg beginnen geeft rust en ruimte om dit goed in te richten.
Dat hangt af van je uitgangspositie en het aantal hoog-risico systemen. Een basisniveau (AI-register, beleid, training) kan in 4-8 weken staan. Volledige conformiteit voor hoog-risico systemen vraagt doorgaans 3-6 maanden.
Ze vullen elkaar aan. De AVG beschermt persoonsgegevens; de AI Act reguleert het AI-systeem als product. Veel verplichtingen overlappen, dus slim combineren bespaart dubbel werk. Gaide helpt je dit geïntegreerd aan te pakken.
Niet altijd. De meeste hoog-risico systemen kunnen via interne controle worden beoordeeld, mits geharmoniseerde standaarden zijn gevolgd. Externe beoordeling door een notified body is verplicht voor biometrische identificatiesystemen en in specifieke andere gevallen.
Ja. De wet is extraterritoriaal: ze geldt voor elke organisatie die AI-systemen op de EU-markt brengt of inzet, ongeacht waar het bedrijf gevestigd is.
Of u nu net begint met AI-governance of een lopend traject wilt aanscherpen, wij denken graag mee. In een vrijblijvende kennismaking van een halfuur bespreken we waar uw organisatie staat en hoe een passend traject eruit kan zien.