AI is in korte tijd, gepland of ongepland, een vast onderdeel geworden van organisaties. Wie de rapporten van McKinsey leest, zou denken dat AI al de absolute standaard is: daar meldt 65% van de (grote) bedrijven dat ze generatieve AI structureel inzetten [1]. Kijkend naar de realiteit in Nederland via het CBS, dan zien we een genuanceerder beeld. Gemiddeld gebruikt 23% van de bedrijven AI [2]. De echte adoptie zit bij de reuzen: van de organisaties met meer dan 500 werknemers is al 59% om, terwijl het kleinere mkb nog afwacht.
Waar het lange tijd vooral draaide om innovatie en experimenteren zonder consequenties, verandert dat nu. Met de Europese AI-verordening is er een duidelijk juridisch kader. Hoewel de markt zich eerder opmaakte voor een brede deadline in augustus 2026, heeft het Europees Parlement zojuist (juni 2026) ingestemd met een belangrijk versoepelingspakket [3]. Om rechtsonzekerheid en administratieve rompslomp te voorkomen, is de handhaving op ‘hoog-risico AI-systemen’ officieel uitgesteld:
- 2 december 2027 (eerst 2 augustus 2026): Start handhaving voor losstaande hoog-risico AI-systemen (zoals HR- en selectietools).
- 2 augustus 2028: Start handhaving voor AI ingebouwd als veiligheidscomponent in machines en producten.
- 2 december 2026: Deadline voor de verplichte watermerking van AI-gegenereerde content en de ban op schadelijke ‘nudifier’-apps. Dit zijn applicaties die op basis van een afbeelding van een aangekleed persoon een gemanipuleerde versie genereren waarin diezelfde persoon naakt wordt afgebeeld.
Hoewel de algemene basisregels van de Europese AI-verordening nog steeds op 2 augustus 2026 van kracht worden, krijgen organisaties voor de zwaarste verplichtingen dus aanzienlijk langer de tijd. Dat neemt de urgentie echter niet weg; het bouwen van een organisatie die compliant is kost tijd.
Van innovatie naar compliance
De Europese AI-verordening deelt AI-systemen in op basis van risico. Bepaalde toepassingen zijn streng verboden, en voor systemen die in direct contact staan met mensen geldt een strikte transparantieplicht.
De grootste administratieve en organisatorische impact zit in de categorie ‘hoog-risico AI’. Dit raakt toepassingen die ingrijpende beslissingen nemen over mensenlevens of loopbanen. Denk hierbij aan:
- Het automatisch beoordelen en filteren van cv’s bij werving en selectie.
- AI-gedreven systemen voor kredietbeoordeling bij banken.
- Algoritmen die worden ingezet voor risicobeoordelingen binnen de rechtspraak of bij wetshandhaving.
De rode draad is dat je als organisatie exact moet kunnen uitleggen wat je AI doet, hoe het tot beslissingen komt en welke risico’s daarbij horen. Dit vraagt nú om actie op het gebied van risicomanagement, datakwaliteit, het voorkomen van bias (vooroordelen in de data) en formele AI-governance.
Meer weten over specifieke toepassingen? Bekijk ook onze eerdere blog rondom AI-agents en de Europese AI-verordening [3].
Handhaving en boetes
In Nederland is het toezicht efficiënt ingericht onder gezamenlijke regie van de Rijksinspectie Digitale Infrastructuur (RDI) en de Autoriteit Persoonsgegevens (AP). Hoewel het actieve toezicht op de hoog-risico systemen door het recente besluit van het Europees Parlement is verschoven naar december 2027, is de Nederlandse controlestructuur achter de schermen al operationeel. Inspecties zoals de IGJ (zorg) en de AFM/DNB (financiële sector) schuiven de plannen niet voor zich uit, maar gebruiken de extra tijd juist om strengere controlekaders op te zetten.
- Boetes tot €35 miljoen of 7% van de wereldwijde omzet bij verboden toepassingen.
- Boetes tot €15 miljoen of 3% van de omzet bij overtredingen binnen hoog-risico AI.
Wel is bekend bij wie deze verantwoordelijkheid komt te liggen. De handhaving van deze regelgeving is in Nederland belegd bij een netwerk van bestaande toezichthouders, onder gezamenlijke regie van de Rijksinspectie Digitale Infrastructuur (RDI) en de Autoriteit Persoonsgegevens (AP). Om de regeldruk te beperken, sluit het toezicht aan bij de voor organisaties bekende kanalen. Zo controleert de Inspectie Gezondheidszorg en Jeugd (IGJ) de zorgsector, terwijl de AFM en DNB toezien op de financiële markt. De controlestructuur is inmiddels operationeel en vanaf augustus 2026 start het actieve toezicht op hoog-risico AI-systemen.
Waarom nú actie nodig is
Compliance ontstaat niet vanzelf en vraagt om nieuwe competenties en scherpe keuzes. Denk aan keuzes over hard eigenaarschap (CIO, CDO, directie of nog iets anders), maar ook het verbreden van vaardigheden op de werkvloer. Bestaande rollen moeten AI-vaardig worden gemaakt; zo zullen traditionele data-stewards bijgeschoold moeten worden tot AI-stewards om de datakwaliteit en compliance van algoritmen te bewaken. Wachten tot de inspectie aanklopt, is simpelweg te laat.
Bij Bvolve helpen we organisaties om de Europese AI-verordening praktisch toepasbaar te maken:
- AI-landschap inzichtelijk te maken
- Risico’s te classificeren en prioriteren
- Medewerkers te trainen in AI-gebruik en compliance (bijvoorbeeld door het Bvolve AI-kwartetspel)
- AI-beleid en governance in te richten én te implementeren
- Concrete maatregelen door te voeren in processen en systemen
Geen theoretische exercitie, maar een pragmatische aanpak die direct waarde levert aan de organisatie.
De Europese AI-verordening is meer dan een verplichting. Organisaties die nú stappen zetten, bouwen aan betrouwbare en toekomstbestendige gebruik en inzet van AI. Begin nú en voorkom risico’s/boetes en laat Bvolve je helpen om jouw organisatie AI-ready te maken. Kom met ons in gesprek en wij denken graag met je mee
Akshay Biere
Bronnen:
