De Europese Unie rolt de AI-verordening verder uit in 2025 en 2026. In Nederland bereiden ministeries, toezichthouders en bedrijven zich voor op nieuwe regels en controles. Het doel is misbruik van algoritmen te beperken en vertrouwen te vergroten. Dit raakt ook systemen als ChatGPT van OpenAI, Google Gemini en Microsoft Copilot in kantoren en scholen.
Europese AI-verordening gevolgen overheid
De AI-verordening (AI Act) stelt eisen aan het ontwerp, het gebruik en het toezicht op algoritmen in de EU. Op het moment van schrijven gelden de verboden voor onaanvaardbaar risico, zoals sociale scoring door overheden. Regels voor generatieve modellen en voor hoog-risico-toepassingen treden gefaseerd in werking tot en met 2026. Nederlandse overheden moeten hun digitale dienstverlening en inkoop hierop aanpassen.
De wet werkt risicogestuurd. Toepassingen met hoog risico, zoals systemen voor selectie bij banen, kredietbeoordeling of essentiële publieke diensten, krijgen zwaardere plichten. Minder risicovolle toepassingen vallen onder lichtere transparantie-eisen. Dat biedt ruimte voor innovatie, maar vraagt duidelijke dossiervorming.
De verordening komt boven op bestaande Europese regels, zoals de AVG. Dat betekent dat dataminimalisatie, grondslag en beveiliging al verplicht zijn. De AI Act voegt daar productachtige eisen aan toe, zoals testen, documentatie en menselijk toezicht. Organisaties moeten die werelden samenbrengen in hun governance.
De AI-verordening kent vier risiconiveaus: onaanvaardbaar (verboden), hoog, beperkt en minimaal. Generatieve ‘general purpose’-modellen vallen onder aparte regels.
Nederland regelt toezicht nationaal
Lidstaten wijzen eigen toezichthouders aan voor de AI Act. In Nederland bouwt de Autoriteit Persoonsgegevens, op het moment van schrijven, haar rol uit rond algoritmen en privacytoezicht. Sectorinspecties, zoals in zorg en vervoer, zullen meekijken bij hoog-risico-toepassingen in hun domein. De Europese Commissie richt daarnaast het AI Office in voor coördinatie en handhaving bij grote modellen.
Voor organisaties betekent dit meer meldpunten en mogelijk audits. Marktbewaking voor AI in producten sluit aan op bestaande CE-controles. Voor software in publieke diensten komt er nadruk op uitlegbaarheid en menselijk ingrijpen. Gemeenten, uitvoeringsorganisaties en scholen moeten hun processen daarop inrichten.
Toezicht schuift ook naar de keten. Niet alleen de eindgebruiker, maar ook leveranciers van data, modelbouwers en integrators hebben plichten. Contracten en service-afspraken moeten daarom specificeren welke partij welke AI-eis afdekt. Dat voorkomt gaten in verantwoordelijkheid bij incidenten.
Zware eisen voor hoog risico
Hoog-risico-systemen moeten een volledig risicobeheer tonen. Dat omvat datakwaliteit, bias-tests, nauwkeurigheid, logging en menselijk toezicht. Leveranciers stellen technische documentatie op en voeren conformiteitsbeoordelingen uit, vaak met CE-markering. Gebruikers in organisaties houden een gebruiksdossier bij en trainen personeel.
Voor overheden in Nederland is dit direct relevant. Denk aan systemen die burgers toegang geven tot uitkeringen, toeslagen of onderwijs. Daar horen impactanalyses bij, vergelijkbaar met een DPIA onder de AVG. Ook moeten burgers weten wanneer een algoritme meebeslist, en hoe zij bezwaar kunnen maken.
Transparantie wordt concreet. Interfaces moeten duidelijk maken dat een AI betrokken is en wat de grenzen zijn. Logbestanden en evaluatierapporten moeten aantoonbaar zijn bij intern en extern toezicht. Dit vraagt nieuwe tooling en duidelijke rollen binnen compliance en IT.
Druk op generieke modellen
General-purpose AI (GPAI), zoals GPT-4o van OpenAI, Google Gemini, Meta Llama en modellen van Mistral, krijgt aparte verplichtingen. Leveranciers publiceren veiligheidsinformatie, voeren red-teaming uit en respecteren het Europese auteursrecht. Ook moeten zij een voldoende gedetailleerde samenvatting van de trainingsdata geven. Voor zogeheten zeer-capabele modellen gelden extra risicobeperkende maatregelen.
Organisaties die GPAI integreren blijven medeverantwoordelijk. Zij moeten nagaan of de gekozen API of on-premise variant aan de Europese eisen voldoet. In contracten kunnen zij verklaringen eisen over modelkaarten, herkomst van data en beveiliging. Zo voorkomen zij dat een app boven op een niet-conform model alsnog onder de AI Act valt.
Publieke sector en onderwijs moeten extra alert zijn. Een chatbot voor loketvragen of een tutor-app kan onder transparantie-eisen vallen. Heldere labeling van AI-gegenereerde content en onderwijsbeleid rond examenwerk zijn nodig. Dit sluit aan bij richtlijnen van SURF en Kennisnet in Nederland.
Privacy en data blijven leidend
De AVG blijft de basis voor elke datastroom achter een model. Dataminimalisatie, versleuteling en doelbinding gelden onverminderd. Een Data Protection Impact Assessment (DPIA) is nodig bij hoog risico voor rechten en vrijheden. Voor biometrie en gevoelige gegevens is de lat extra hoog.
Training op persoonsgegevens vraagt een duidelijke grondslag of anonimisering. Datasets moeten representatief zijn om discriminatie te beperken. Organisaties documenteren herkomst en schoonmaakstappen van data, inclusief filters tegen schadelijke inhoud. Dit is tegelijk een AI Act- en AVG-vereiste.
Ook bij generatieve content speelt privacy. Automatische samenvattingen van klantdossiers of patiëntnotities vereisen strikte toegangscontrole. Pseudonimisering en lokale verwerking kunnen de risico’s beperken. Testen met synthetische data helpt, maar vervangt geen echte beveiliging.
Wat organisaties nu moeten doen
Begin met een register van alle AI-toepassingen in de organisatie. Classificeer per toepassing het risico, de gebruikte data en de leverancier. Leg verantwoordelijkheden vast tussen inkopers, juristen, data scientists en functionarissen gegevensbescherming. Koppel dit aan interne audits en een verantwoordingskalender.
Herzie inkoop en leveranciersbeheer. Vraag om modelkaarten, evaluatie-rapporten en conformiteitsverklaringen voor hoog-risico-systemen. Voor GPAI: check samenvattingen van trainingsdata, content-filters en auteursrechtmechanismen. Leg prestatie- en fallback-eisen vast voor als het model faalt.
Maak beleid voor transparantie richting gebruikers. Label AI-ondersteunde besluitvorming, bied een menselijk alternatief en regel bezwaar. Train medewerkers in veilig prompten, gegevensbescherming en het herkennen van deepfakes. Zo zijn organisaties klaar voor de volgende fases van de AI-verordening in 2026.