De AI Act is de eerste Europese wet die zich specifiek richt op het reguleren van kunstmatige intelligentie (AI). De wet stelt juridische kaders op voor de ontwikkeling, het gebruik en het toezicht op AI-systemen binnen de Europese Unie. Het doel is om AI veilig, transparant en mensgericht te houden, zonder innovatie onnodig te belemmeren.

De wet gebruikt een risicogebaseerde aanpak, waarbij de verplichtingen afhangen van het type AI-systeem en het risico voor fundamentele rechten, veiligheid of maatschappelijke schade. AI-toepassingen worden onderverdeeld in categorieën: van verboden systemen tot systemen met hoge, beperkte of minimale risico’s.

De AI Act is van toepassing op zowel publieke als private organisaties, ongeacht of zij ontwikkelaar, leverancier of gebruiker van AI zijn. Ook organisaties buiten de EU vallen onder de wet zodra hun AI-systemen gebruikt worden binnen Europa.

De AI Act geldt naast bestaande wetgeving zoals de AVG (privacy) en NIS2 (cybersecurity), en versterkt bestaande normen op het gebied van transparantie, controleerbaarheid en risicobeheersing bij het gebruik van AI.

Waar komt de AI Act vandaan?

De AI Act komt voort uit een breed gedragen behoefte binnen de Europese Unie om kunstmatige intelligentie wettelijk te reguleren. Niet langer mag AI zich ongecontroleerd ontwikkelen zonder waarborgen voor veiligheid, transparantie en fundamentele rechten. De wet is ontworpen als kaderverordening: bindend voor alle lidstaten en rechtstreeks van toepassing zonder dat nationale omzetting nodig is.

De formele goedkeuring vond plaats in 2024. De wet trad op 1 augustus 2024 in werking, maar de meeste verplichtingen gelden pas later. Deze gefaseerde invoering geeft organisaties tijd om processen, systemen en verantwoordelijkheden aan te passen.

Gefaseerde verplichtingen

De AI Act kent verschillende ingangsdata, afhankelijk van het soort AI-toepassing:

• Verboden toepassingen zijn al verboden sinds begin 2025.
• Verplichtingen voor algemene AI-modellen gelden vanaf zomer 2025.
• Hoog risico AI-systemen moeten uiterlijk in 2026 voldoen aan uitgebreide eisen.
• Voor bepaalde sectoren geldt uitstel tot uiterlijk 2027.

De verplichtingen gelden dus niet op één moment voor iedereen, maar lopen uiteen afhankelijk van het risicoprofiel van het systeem. De verantwoordelijkheid ligt bij organisaties om dit tijdig te beoordelen en in te richten.

Reikwijdte en toepasselijkheid

De AI Act is van toepassing op zowel ontwikkelaars als gebruikers van AI-systemen. Dat geldt voor publieke én private organisaties, binnen en buiten de EU. Ook partijen die geen vestiging in Europa hebben, vallen onder de wet zodra hun systemen gericht zijn op de Europese markt.

De wet maakt onderscheid tussen rollen:

• Ontwikkelaars of leveranciers van AI-systemen
• Importeurs en distributeurs
• Gebruikers van AI-toepassingen binnen de bedrijfsvoering

Iedere rol kent eigen verplichtingen. Dit betekent dat niet alleen wie een AI-systeem maakt verantwoordelijk is, maar ook wie het inzet of doorlevert. Organisaties kunnen zich dus niet beroepen op onbekendheid of doorschuiven van verantwoordelijkheid naar externe partijen.

Toezicht en handhaving

Toezicht wordt op verschillende niveaus georganiseerd. Op Europees niveau is een centraal AI Office opgericht dat richtlijnen uitwerkt, toezicht coördineert en sancties bewaakt. Nationale toezichthouders, zoals de Autoriteit Persoonsgegevens of Agentschap Telecom, zijn verantwoordelijk voor handhaving binnen hun eigen land.

Zij controleren op naleving, kunnen audits uitvoeren en maatregelen opleggen. In ernstige gevallen kunnen hoge boetes volgen, vergelijkbaar met de aanpak onder de AVG. Het toezicht is risicogestuurd: prioriteit ligt bij toepassingen die mogelijk grote impact hebben op mensenrechten, veiligheid of privacy.

Het uitgangspunt is dat organisaties aantoonbaar compliant moeten zijn. Dat betekent niet alleen naleving, maar ook verantwoording. Bij controle moet een organisatie kunnen laten zien hoe risico’s zijn ingeschat, maatregelen zijn genomen en toezicht is ingericht.

Waarom nu handelen nodig is

Hoewel veel verplichtingen pas in de komende jaren van kracht worden, is afwachten niet zonder risico. Organisaties die te laat beginnen, lopen kans op tekortkomingen in documentatie, technische voorbereiding of interne governance. De AI Act vereist afstemming tussen compliance, IT, juridisch en governance-structuren. Dat is geen proces dat in enkele weken geregeld is.

De ervaring leert dat organisaties die reactief handelen, bijvoorbeeld pas na een incident of onderzoek, vaak duurder uit zijn en onder verhoogd toezicht komen te staan. Een proactieve aanpak biedt daarentegen grip, controle en vertrouwen. AI-compliance moet niet worden gezien als tijdelijke last, maar als structureel onderdeel van risicobeheersing.

Wie vallen onder de AI Act?

Bij de toepassing van de AI Act is het belangrijk om te begrijpen welke partijen precies onder de wet vallen. Deze verantwoordelijkheid strekt zich uit over de volledige keten: van ontwerp en productie tot implementatie en gebruik. Alleen wie tijdig vaststelt wat de eigen rol is, kan proactief voldoen aan de verplichtingen.

Rollen en verantwoordelijkheden

De wet identificeert verschillende actoren met elk hun eigen verplichtingen:

• Ontwikkelaar / aanbieder: degene die het AI-systeem ontwerpt, vrijgeeft of op de markt brengt.
• Importeur / distributeur: partijen die een AI-systeem beschikbaar stellen in een lidstaat zonder zelf de leverancier te zijn.
• Gebruiker van AI: organisaties die een AI-systeem inzetten binnen hun bedrijfsprocessen of dienstverlening.

Elke rol kent specifieke eisen omtrent controle, monitoring en transparantie. Een organisatie die slechts gebruiker is, hoeft niet aan alle verplichtingen van een ontwikkelaar te voldoen, maar moet wel toezicht houden op correcte inzet, naleving en waarschijnlijk interoperabiliteit.

Extraterritoriale reikwijdte

De AI Act beperkt zich niet tot Europese aanbieders. Buitenlandse bedrijven kunnen ook onder de wet vallen als hun AI-systemen gericht zijn op de Europese markt—bijvoorbeeld als de resultaten van hun AI beschikbaar zijn voor EU-gebruikers of als zij producten leveren die in de EU toegepast worden. Dat betekent dat zelfs internationale aanbieders zich moeten voorbereiden op naleving van AI-regels wanneer hun systemen in de EU opereren.

Criteria voor toepasselijkheid

Niet iedere toepassing met AI valt automatisch onder de zwaarste regime’s van de wet. De toepasselijkheid hangt af van:

• Het risiconiveau van de AI-toepassing (bijv. hoog, beperkt, verboden).
• De mate van autonomie en maatschappelijke impact van het systeem.
• De rol van de organisatie: ontwikkelaar, gebruiker of distributeur.

Organisaties moeten daarom analyseren welke van hun AI-projecten vallen binnen welke categorie, en op basis daarvan de juiste maatregelen treffen.

Handhaving op lokaal niveau

De naleving van de AI Act wordt gecontroleerd door nationale toezichthouders. Deze instanties voeren audits uit, reageren op meldingen en kunnen sancties opleggen bij overtredingen. Handhavers houden daarbij extra toezicht op systemen met hoog risiconiveau of toepassingen die integriteit, veiligheid of fundamentele rechten raken.

Voor toezicht geldt:

• Systems auditing: inzet van inspecties om technische documentatie en logfiles te controleren.
• Beoordeling van governanceprocessen: kijkt naar rolverdeling, risicobeheer en compliance-structuren.
• Sancties: variëren van corrigerende maatregelen tot boetes of indiening van systemen uit de markt.

Omdat dienstverleners en gebruikers in de praktijk vaak samenwerken, kunnen meerdere actoren tegelijk onder toezicht vallen. Bij een audit kan de rolverdeling tussen leverancier, gebruiker en distributeur scrutinie krijgen.

Consequenties voor samenwerking

Voor organisaties die samenwerken met externe partijen, bijvoorbeeld AI-leveranciers of softwarehuizen, heeft dit gevolgen:

• Contractuele waarborgen zijn noodzakelijk: afspraken over verantwoordelijkheden, audits en verantwoording moeten juridisch verankerd zijn.
• Transparantie in de keten wordt een randvoorwaarde: afhankelijkheden, subcomponenten en wijzigingen moeten inzichtelijk zijn.
• Samenwerkingsafspraken moeten anticiperen op de mogelijkheid van tussenkomst door handhavers, inclusief toegang tot documentatie en logbestanden.

Duidelijk vooraf

Als een organisatie pas tijdens een audit ontdekt dat een extern module of leverancier onder de wet valt, wordt het lastiger om alsnog te restructureren. Dure aanpassingen, het herschrijven van overeenkomsten of zelfs het intrekken van systemen kunnen dan noodzakelijk zijn.
Daarom is vaststellen van de rol, reikwijdte en toepasselijkheid nu een strategische stap. Alleen zo wordt voorkomen dat compliance later van achteraf wordt ingehaald door incidenten of inspecties.

Risico’s van AI-toepassingen

AI-systemen brengen een reeks nieuwe risico’s met zich mee die niet vanzelf worden afgedekt door traditionele IT-beveiliging of privacybeleid. Deze risico’s ontstaan niet alleen door fouten in techniek, maar ook door de manier waarop AI wordt getraind, ingezet en gebruikt. De AI Act dwingt organisaties om deze risico’s expliciet te onderkennen en te beheersen, ook als ze nog niet tot incidenten hebben geleid.

Discriminatie door foutieve data

AI-systemen leren op basis van data, en die data zijn zelden neutraal. Als de trainingsdata historische vooroordelen bevatten, of niet representatief zijn voor de werkelijkheid, kan het model discriminerende beslissingen nemen. Dit risico geldt onder andere bij:

• Selectieprocedures (zoals werving of toelating).
• Kredietbeoordeling of risico-inschatting.
• Geautomatiseerde klantinteractie of dienstverlening.

Zelfs wanneer de onderliggende data rechtmatig zijn verkregen, kan het gebruik ervan leiden tot indirecte benadeling van bepaalde groepen. Het corrigeren van dit gedrag vergt meer dan technische tuning: het vereist kritisch inzicht in de gegevensbron en besluitlogica.

Manipulatie en beïnvloeding

AI-systemen kunnen worden ingezet om gedrag van mensen te sturen. Denk aan aanbevelingsalgoritmes, gepersonaliseerde advertenties of chatbots. De grens tussen beïnvloeden en manipuleren is niet altijd duidelijk, zeker als AI gebaseerd is op ondoorzichtige logica. In sommige gevallen kan dat leiden tot:

• Exploitatie van kwetsbare doelgroepen.
• Verspreiding van desinformatie.
• Onbewuste sturing van keuzes of gedrag.

De AI Act verbiedt sommige vormen van manipulatieve AI expliciet. Maar ook buiten die verboden is waakzaamheid geboden, zeker bij toepassingen met impact op autonomie en keuzevrijheid.

Datalekken en privacyschendingen

AI kan persoonsgegevens verwerken op een schaal en snelheid die veel verder gaat dan traditionele systemen. Daarbij kunnen onbedoeld privacyrisico’s ontstaan, zoals:

• Herleidbare informatie in trainingsdata.
• Combinatie van datasets die leidt tot nieuwe inzichten over individuen.
• Ongecontroleerde toegang tot modellen of output.

Het risico neemt toe als er geen duidelijke grenzen zijn tussen ontwikkel-, test- en productiesystemen, of als gegevens hergebruikt worden zonder nieuwe toetsing.

Cyberdreigingen en systeemkwetsbaarheden

AI-systemen zijn gevoelig voor technische aanvallen die specifiek gericht zijn op hun werking. Voorbeelden hiervan zijn:

• Model poisoning: het voeden van foutieve data tijdens training om gedrag te manipuleren.
• Adversarial input: het invoeren van opzettelijk misleidende informatie die normale werking verstoort.
• Onbedoelde output: bijvoorbeeld AI die op basis van onvolledige input onveilige beslissingen neemt.

Deze risico’s worden vaak onderschat omdat AI geen vaste logica volgt. Daardoor is gedrag moeilijk te voorspellen, en zijn traditionele beveiligingsmaatregelen niet altijd toereikend.

Verboden toepassingen

De AI Act verbiedt specifieke toepassingen vanwege het onaanvaardbare risico dat ze met zich meebrengen. Denk aan:

• AI die mensen rangschikt op basis van gedrag of kenmerken.
• Systemen die gedrag van mensen real-time volgen zonder duidelijke rechtvaardiging.
• Toepassingen die kwetsbare groepen manipuleren via psychologische technieken.

Deze verboden zijn juridisch afdwingbaar. Organisaties die ze toch inzetten — al dan niet bewust — lopen risico op handhaving en zware sancties. In sommige gevallen kan zelfs het gebruik van extern geleverde systemen onder de verboden vallen.

De complexiteit van AI maakt risicoherkenning lastig. Alleen wie AI-systemen actief volgt, toetst en begrenst, kan grip houden op de gevolgen.

Wat betekent de AI Act voor privacy?

De AI Act legt een nieuw perspectief op privacy binnen organisaties. Waar de AVG zich richt op het verwerken van persoonsgegevens, kijkt de AI Act nadrukkelijk naar hoe AI-systemen omgaan met gevoelige informatie, hoe beslissingen tot stand komen en welke gevolgen dit heeft voor betrokkenen. De overlap met de AVG is beperkt: beide wetten vullen elkaar aan en versterken elkaar op het gebied van risicobeheersing en verantwoordelijk gebruik van data.

Aanvulling op bestaande privacyregels

De AI Act verplicht organisaties om verder te kijken dan alleen databeveiliging. De wet vraagt om structurele beoordeling van algoritmische risico’s zoals:

• Ongelijke behandeling van personen door verkeerde datapatronen.
• Ondoorzichtige besluitvorming zonder menselijke toetsing.
• Onbedoelde gevolgen van geautomatiseerde beoordelingen.

De wet introduceert daarmee aanvullende verplichtingen die buiten het bereik van de AVG vallen, zoals uitlegverplichting, modeltransparantie en continu toezicht op AI-prestaties.

Verwerken van persoonsgegevens binnen AI

AI-systemen zijn vaak afhankelijk van grote hoeveelheden persoonsgegevens voor training, kalibratie en besluitvorming. De AI Act eist dat deze data:

• Representatief, actueel en vrij van vooroordelen zijn.
• Niet leiden tot hergebruik dat in strijd is met de oorspronkelijke doelen.
• Alleen verwerkt worden binnen de grenzen van wat noodzakelijk en gerechtvaardigd is.

Organisaties die AI inzetten op basis van persoonsgegevens moeten deze uitgangspunten direct meenemen in hun ontwerp, risicoanalyses en governance.

Gevolgen voor functionarissen en verantwoordelijkheden

De komst van de AI Act betekent dat privacy niet langer los staat van technologische keuzes. Functionarissen zoals de Functionaris Gegevensbescherming en de CISO moeten structureel samenwerken met AI-ontwikkelaars, juristen en bestuur. Hun taak wordt niet alleen het borgen van naleving, maar ook het herkennen van bredere ethische en organisatorische risico’s.

De AI Act en informatiebeveiliging

De AI Act verandert niet alleen hoe organisaties omgaan met technologie, maar ook hoe zij informatiebeveiliging moeten inrichten. Waar traditionele beveiliging gericht is op infrastructuur, dataverlies en toegang, stelt de AI Act eisen aan de werking en controleerbaarheid van algoritmes. AI-systemen brengen nieuwe soorten risico’s met zich mee die niet vanzelf afgevangen worden binnen bestaande beveiligingsstructuren. Daarom is het nodig dat AI wordt geïntegreerd in het bestaande informatiebeveiligingsbeleid.

AI introduceert nieuwe kwetsbaarheden

Informatiebeveiliging richt zich op de beschikbaarheid, integriteit en vertrouwelijkheid van informatie. AI-toepassingen voegen daar nieuwe dimensies aan toe:

• AI-systemen kunnen ongewenst gedrag vertonen als inputdata gemanipuleerd wordt.
• Trainingsdata kan gevoelige informatie bevatten die onbedoeld herleidbaar is.
• De uitkomst van een AI-model kan beïnvloed worden door technische aanvallen zoals model poisoning of adversarial inputs.
• Logging en monitoring zijn complexer, omdat AI-besluitvorming moeilijker te reconstrueren is dan traditionele logica.

Als deze risico’s niet worden onderkend, ontstaan beveiligingslekken die buiten het zicht van reguliere maatregelen vallen.

Behoefte aan uitbreiding van het ISMS

Organisaties die werken met een Information Security Management System (ISMS), zoals gebaseerd op ISO 27001 of NEN 7510, moeten het toepassingsgebied uitbreiden zodra AI wordt ingezet. Dat betekent:

• Nieuwe risicoanalyses gericht op modelgedrag en algoritmische fouten.
• Aanvullende controlemaatregelen voor trainingsdata, systeeminput en outputvalidatie.
• Periodieke toetsing op betrouwbaarheid, robuustheid en kwetsbaarheden van AI-systemen.

Zonder deze aanpassingen sluit het ISMS niet meer aan bij de werkelijke risico’s binnen de organisatie.

Verantwoordelijkheid bij de CISO

De CISO speelt hierin een centrale rol. De AI Act vereist dat AI-systemen onder toezicht staan en aantoonbaar veilig functioneren. Dat raakt direct aan de verantwoordelijkheden van de CISO:

• Opnemen van AI-risico’s in het informatiebeveiligingsbeleid.
• Coördineren van interne audits op AI-systemen.
• Opzetten van samenwerking met compliance, juridische en technische teams.
• Toezicht houden op de consistentie tussen AI-controles en bredere securitymaatregelen.

De CISO moet AI niet als losse technologie beschouwen, maar als structureel onderdeel van het beveiligingsdomein.

Voorkomen van blinde vlekken

Wanneer AI buiten de bestaande beveiligingsstructuur valt, ontstaan blinde vlekken:

• Incidenten worden mogelijk niet als zodanig herkend.
• Aanvallen op AI-systemen worden niet gemonitord of gemeld.
• Beheersmaatregelen missen aansluiting bij technologische realiteit.

In combinatie met de meldplicht van incidenten onder zowel de AI Act als NIS2 kan dit leiden tot reputatieschade, sancties of verlies van vertrouwen bij klanten en toezichthouders.

Integratie als structurele stap

De AI Act verplicht organisaties niet tot het opzetten van een nieuw securityraamwerk, maar vraagt om uitbreiding van het bestaande beleid. Dat maakt het mogelijk om binnen bestaande structuren zoals ISO 27001 effectief om te gaan met AI-risico’s, mits tijdig onderkend en geïmplementeerd.

Voor organisaties die AI al inzetten, is dit hét moment om de samenhang tussen AI-systemen en informatiebeveiliging structureel te borgen.

Verplichtingen voor organisaties onder de AI Act

De AI Act brengt duidelijke verplichtingen met zich mee voor organisaties die AI ontwikkelen, leveren of toepassen. Deze verplichtingen zijn afgestemd op de rol die een organisatie speelt in de levenscyclus van een AI-systeem. Ontwikkelaars, distributeurs en gebruikers krijgen elk een specifiek takenpakket. De wet eist niet alleen naleving, maar ook aantoonbaarheid van de genomen maatregelen.

Verplichtingen voor ontwikkelaars en aanbieders

Organisaties die AI-systemen ontwikkelen of op de markt brengen, moeten voorafgaand aan ingebruikname voldoen aan meerdere eisen:

• Uitvoeren van een risicobeoordeling op het AI-systeem.
• Opstellen van technische documentatie waarin ontwerpkeuzes, werking en beperkingen inzichtelijk zijn.
• Zorgen voor data van voldoende kwaliteit, zonder systematische vertekening.
• Beoordelen van robuustheid, veiligheid en prestaties van het systeem.
• Doorlopen van een conformiteitsbeoordeling; voor sommige systemen is een CE-markering verplicht.
• Opnemen van gebruiksinstructies, beperkingen en voorzorgsmaatregelen in begeleidende documentatie.

Deze verplichtingen gelden in het bijzonder voor hoog-risico AI-systemen, maar ook lichtere AI-toepassingen moeten voldoen aan basisvereisten zoals transparantie over het gebruik van AI.

Verplichtingen voor gebruikers

Gebruikers van AI-systemen zijn verplicht om:

• Het systeem te gebruiken volgens de instructies van de aanbieder.
• De inputgegevens die aan het systeem worden aangeboden te controleren op geschiktheid en representativiteit.
• Toezicht te organiseren waarbij menselijke interventie mogelijk blijft.
• Bij het constateren van incidenten of afwijkingen dit te melden aan de leverancier en eventueel aan de toezichthouder.
• De impact van het AI-systeem op betrokkenen en processen periodiek te evalueren.

Organisaties blijven verantwoordelijk voor de manier waarop AI wordt ingezet, ook als het systeem extern is ingekocht.

Technische en organisatorische maatregelen

Voor hoog-risico AI-toepassingen zijn aanvullende eisen van toepassing:

• Implementatie van datagovernance rond trainings- en testdata.
• Logging van systeemactiviteiten om besluitvorming te kunnen reconstrueren.
• Documentatie van interne procedures, inclusief escalatiemechanismen bij storingen.
• Vastleggen van rollen en verantwoordelijkheden in governance-structuren.
• Voldoen aan transparantieplichten, zoals het informeren van betrokkenen dat AI wordt ingezet.

Deze maatregelen moeten niet alleen bestaan, maar ook aantoonbaar actief worden toegepast.

Controle en toetsing

Toezichthouders kunnen controleren of organisaties aan de verplichtingen voldoen. Bij inspectie of audit moet direct toegang kunnen worden gegeven tot:

• Technische documentatie en risicobeoordelingen.
• Logs en systeemverslagen.
• Registraties van incidenten en opvolging.
• Beleid en procedures die het gebruik van AI reguleren.

Zonder deze documentatie wordt verondersteld dat aan de verplichtingen niet is voldaan.

De AI Act maakt het voor organisaties noodzakelijk om hun AI-processen structureel te documenteren, te evalueren en te beheren binnen de bestaande bedrijfsvoering.

Integratie van AI-compliance in bestaand beleid

De AI Act vraagt van organisaties geen compleet nieuwe governance-structuur, maar wel een herinrichting van bestaande processen. Wie al werkt met kaders zoals ISO 27001, NIS2 of interne complianceprogramma’s, kan AI-verplichtingen integreren in die bestaande aanpak. Daarmee wordt AI onderdeel van risicobeheer, informatiebeveiliging en governance, in plaats van een losstaand technologisch vraagstuk.

AI opnemen in risicobeheer en governance

AI-systemen moeten worden behandeld als risicodragende systemen. Dat betekent dat zij een vaste plaats krijgen binnen:

• Het risicoregister van de organisatie.
• Beoordelingen op impact, waarschijnlijkheid en beheersmaatregelen.
• Interne controle- en rapportagelijnen.

AI hoort thuis in overlegstructuren waar ook beslissingen over informatiebeveiliging, dataverwerking en kwaliteitsmanagement genomen worden. Dat voorkomt dat AI zich ontwikkelt buiten zicht van verantwoordelijke functionarissen.

Aansluiting bij ISO 27001 en NEN 7510

Organisaties met een ISMS kunnen AI eenvoudig onderbrengen binnen bestaande domeinen. Bijvoorbeeld:

• Beleid: uitbreiden van toepassingsgebied naar AI-processen.
• Risicobeoordeling: opnemen van algoritmische fouten, uitlegbaarheid, datamanipulatie.
• Beheersmaatregelen: logregistratie, toegangscontrole, validatiestappen.
• Evaluatie: periodieke toetsing van AI-prestaties en impact.

Voor organisaties in de zorg kan dit worden uitgebreid binnen NEN 7510, met extra aandacht voor AI in patiëntgerichte toepassingen.

Relatie met NIS2-verplichtingen

Voor organisaties die onder NIS2 vallen, is AI een extra risicobron binnen de keten. Dit betekent:

• AI-systemen moeten worden meegenomen in dreigingsanalyses.
• Incidenten door AI-fouten of aanvallen vallen onder meldplicht.
• Leveranciers van AI moeten voldoen aan ketenborgingseisen.

Door AI onderdeel te maken van NIS2-compliance, ontstaat een totaalbeeld van digitale weerbaarheid.

Rollen en verantwoordelijkheden

De AI Act maakt het nodig om bestaande rollen aan te scherpen of uit te breiden:

• De CISO krijgt een centrale rol in toezicht op AI-integriteit en -veiligheid.
• De FG/DPO blijft verantwoordelijk voor toetsing op privacyaspecten.
• Bestuurders moeten zorgen voor voldoende kennis en toezicht op AI binnen governance.

Bij grotere organisaties kan dit leiden tot de aanstelling van een AI-compliance functionaris of het uitbreiden van taken van bestaande teams.

Integratie in beleid en uitvoering

AI-controles moeten structureel worden ingebed. Dat betekent onder andere:

• Beleidsdocumenten uitbreiden met AI-richtlijnen en acceptatiecriteria.
• AI opnemen in audits, interne controle en rapportages.
• Procedures instellen voor ingebruikname, wijziging en buitengebruikstelling van AI-toepassingen.
• Bewustwording en training over AI verplicht stellen voor relevante functies.

Op deze manier wordt AI-compliance niet iets dat ernaast bestaat, maar iets wat door alle lagen van de organisatie verweven is. Dat sluit aan bij de eisen van de AI Act én bij de verwachtingen van toezichthouders.