Nederlandse organisaties krijgen te maken met strengere regels voor kunstmatige intelligentie. De Europese AIāverordening gaat gefaseerd in vanaf 2025 en raakt zowel bedrijven als overheid. De kernboodschap: AIācompliance moet in de dagelijkse praktijk landen, niet alleen in beleid. Dat is nodig om risicoās te beperken en om te voldoen aan de AVG en de Europese AIāverordening, met directe gevolgen voor de overheid.
AI-compliance vraagt praktijkkennis
AIācompliance betekent werken aan veilige en uitlegbare algoritmen in alle stappen van de levenscyclus. Dat begint bij het ontwerp en loopt door tot beheer, updates en uitfasering. Standaarden zoals ISO/IEC 42001 (AIāmanagementsysteem) en ISO/IEC 23894 (AIārisicobeheer) helpen om dit in processen te borgen.
Multidisciplinaire teams zijn nodig om techniek en regels te koppelen. Denk aan een product owner, data steward, security officer en jurist die samen besluiten nemen. Zo ontstaat grip op datakwaliteit, prestaties, beveiliging en juridische grondslagen.
Menselijk toezicht is een vaste eis bij gevoelige toepassingen. Dit betekent dat getrainde medewerkers het systeem begrijpen en kunnen ingrijpen. Organisaties moeten daarom procedures, logging en escalatieroutes klaar hebben staan.
Gevolgen AI-verordening overheid
De AIāverordening deelt systemen in risicoklassen in. Verboden praktijken gelden eerder, terwijl eisen voor hoogārisico systemen later ingaan; op het moment van schrijven is de volledige naleving voor veel verplichtingen in 2026 aan de beurt. Overheden die AI gebruiken in bijvoorbeeld werk, onderwijs, rechtshandhaving of vitale infrastructuur vallen vaak in of nabij de hoogārisico categorie.
Voor hoogārisico systemen gelden vaste verplichtingen: risicobeheer, datagovernance, technische documentatie, logging, transparantie en menselijk toezicht. Ook zijn nauwkeurigheid, robuustheid en cyberveiligheid vereist. Na ingebruikname blijft monitoring verplicht en moeten incidenten worden gemeld.
Regels voor generalāpurpose AI (GPAI) raken aanbieders van modellen zoals OpenAIās GPTā4o, Google Gemini, Meta Llama 3 en Mistral Large. Integratoren in de overheid blijven zelf verantwoordelijk voor passend gebruik, inclusief aanvullende testen en duidelijke instructies aan medewerkers. Wie een GPAIāmodel inzet in een hoogārisico context, moet alsnog aan de hoogārisico eisen voldoen.
De AIāverordening vraagt aantoonbare veiligheid: van traceerbare data en uitlegbare modellen tot menselijk toezicht en doorlopend risicobeheer.
Documentatie en datakwaliteit centraal
De verordening verplicht technische documentatie van datasets, modellen en beslislogica. Praktische hulpmiddelen zijn model cards en data sheets: korte fiches die doelen, herkomst van data, prestaties en beperkingen uitleggen. Dit maakt controle door toezichthouders en interne auditors eenvoudiger.
Datagovernance moet ook voldoen aan de AVG. Dat betekent dataminimalisatie, een rechtsgrond, versleuteling en duidelijke bewaartermijnen. Voor veel publieke AIātoepassingen is een Data Protection Impact Assessment (DPIA) verplicht.
Biasātests en kwaliteitsmetingen horen standaard te zijn, zeker bij besluitvorming over burgers. Denk aan evaluaties op verschillende groepen om ongelijke uitkomsten te voorkomen. Organisaties moeten drempelwaarden vastleggen en afwijkingen snel herstellen.
Inkoop en leveranciersrisicoās
Bij inkoop van AIāoplossingen vraagt de overheid voortaan om bewijs van naleving. Voor hoogārisico systemen gaat het om conformiteitsbeoordeling, technische dossiers en CEāmarkering. Leveranciers moeten ook een EUāconformiteitsverklaring tonen en updates en incidenten melden.
Contracten en voorwaarden, zoals GIBIT of ARBIT, horen auditrechten, logātoegang en prestatienormen op te nemen. Ook zijn afspraken nodig over uitlegbaarheid, export van modellen en het delen van trainingsdata. Verwerkersovereenkomsten onder de AVG blijven verplicht.
Cloudkeuzes tellen mee door regels voor dataāexport buiten de EU. Standaardcontractbepalingen (SCCās), pseudonimisering en Europese datalocaties beperken risicoās. Publieke organisaties moeten deze eisen vooraf toetsen en vastleggen.
Toezicht en stappen nu
De Autoriteit Persoonsgegevens houdt toezicht op de AVG; de nationale markttoezichthouder voor de AIāverordening is op het moment van schrijven nog in organisatie. Sectorale toezichthouders kunnen aanvullende eisen stellen, bijvoorbeeld in zorg of financiĆ«n. Publieke organisaties moeten daarom interne governance op orde hebben voordat systemen live gaan.
Boetes onder de AIāverordening kunnen hoog uitvallen: tot 35 miljoen euro of 7% van de wereldwijde omzet voor de zwaarste overtredingen, op het moment van schrijven. Daarnaast dreigen juridische procedures en reputatieschade. Een publiek algoritmeregister, zoals al gebruikt door diverse overheden, helpt bij transparantie.
Begin nu met een portfolioāscan: welke algoritmen draaien waar, met welke data en impact. Koppel elk systeem aan een risicoklasse en een verantwoordelijke eigenaar. Richt tot slot een lichtgewicht AIāmanagementsysteem in dat meegroeit met het gebruik.
Wat nu echt werkt
Kies voor kleine, afgebakende useācases met meetbare doelen. Leg beslisregels vast en test samen met eindgebruikers. Publiceer korte, begrijpelijke beschrijvingen en resultaten in het intranet en, waar mogelijk, publiek.
Investeer in vaardigheden: train ontwikkelaars in ISOānormen en privacy by design, en beleidsmakers in datakwaliteit en uitlegbaarheid. Maak van menselijk toezicht een rol met bevoegdheden, niet alleen een vinkje in een document. Zo wordt naleving onderdeel van het werk.
Werk met vaste checklists bij wijziging of nieuwe data. Automatiseer waar mogelijk: van datavalidatie tot logging dashboards. Zo blijft AIācompliance geen papieren tijger, maar een onderdeel van betrouwbare dienstverlening.