Op 2 februari 2025 werd voor veel organisaties een verplichting van kracht die nauwelijks aandacht kreeg in vergelijking met de verboden op onacceptabele AI: de AI-geletterdheidsplicht van artikel 4 van de EU AI Act. Terwijl compliance-teams druk waren met het inventariseren van hoog-risico systemen, liep de eerste concrete verplichting voor alle organisaties die AI inzetten al stil door. Artikel 4 vereist dat aanbieders en gebruikers van AI-systemen passende maatregelen nemen om ervoor te zorgen dat hun personeel voldoende AI-kennis bezit, rekening houdend met hun technische achtergrond, ervaring en opleiding, en met de context waarin de AI-systemen worden ingezet.
Dat klinkt vaag, en dat is het ook bewust. De wetgever heeft geen universeel certifcaat bedacht, geen minimumcurriculum voorgeschreven, geen examen vereist. In plaats daarvan legt artikel 4 een proportionaliteitseis op: de kennis moet passen bij de rol. Dat geeft organisaties ruimte, maar ook een aanzienlijke verantwoordelijkheid om zelf te definiëren wat "voldoende" betekent voor iedere functie die in contact staat met AI.
Wat de wet werkelijk vraagt
De definitie van AI-geletterdheid die de EU AI Act hanteert, staat in artikel 3, lid 56, en omvat "vaardigheden, kennis en begrip waarmee aanbieders, gebruikers en getroffen personen, rekening houdend met hun respectievelijke rechten en verplichtingen in het kader van deze verordening, op de hoogte zijn van AI-systemen en hun risico's, de kansen die zij bieden en de schade die zij kunnen veroorzaken, alsook de specifieke rechten en verplichtingen die hieruit voortvloeien." Dat is een brede omschrijving die vier elementen combineert: kennis van wat AI-systemen zijn en hoe ze werken, bewustzijn van risico's en kansen, kennis van rechtsgevolgen voor de eigen organisatie, en inzicht in de rechten van mensen die door AI worden geraakt.
De verplichting geldt expliciet voor zowel providers, de partijen die een AI-systeem ontwikkelen of op de markt brengen, als deployers, de partijen die een systeem gebruiken in een specifieke context. Een bank die een extern kredietscoringsmodel inkoopt en toepast op klantaanvragen is deployer en moet zorgen dat haar medewerkers die dit systeem gebruiken of toezicht houden op de uitkomsten, voldoende weten wat het systeem doet, wanneer het mis kan gaan en hoe ze moeten ingrijpen.
Het proportionaliteitsbeginsel in de praktijk
Het woord "passende maatregelen" in artikel 4 is de sleutel tot de praktische uitvoering. Een datamodellenteam dat neurale netwerken bouwt voor fraudedetectie, heeft fundamenteel andere kennisbehoeften dan een klantenservicemedewerker die werkt met een chatbot, of een HR-manager die een AI-ondersteund systeem gebruikt voor cv-screening. De wet vraagt niet dat iedereen hetzelfde weet; het vraagt dat iedereen voldoende weet voor hun specifieke positie in de keten.
Dit vertaalt zich in de praktijk naar drie niveaus. Op operationeel niveau, waarbij medewerkers direct met AI-systemen werken of de uitkomsten ervan gebruiken bij beslissingen, gaat het om basiskennis: wat doet het systeem, welke input gebruikt het, welke fouten kan het maken, wanneer is menselijk ingrijpen nodig en hoe geef je dat correct aan? Een verpleegkundige die werkt met een AI-systeem dat sepsis-risico's beoordeelt, hoeft geen modelarchitectuur te kennen, maar moet wel begrijpen dat het systeem geen diagnose stelt en dat een lage risicoscore geen reden is om klinische waarnemingen terzijde te schuiven.
Op tactisch niveau, voor teamleiders, product owners en compliance-officers die verantwoordelijk zijn voor AI-implementatie, gaat het dieper. Zij moeten de risico-indeling van de EU AI Act kennen, begrijpen welke verplichtingen gelden voor de systemen waarvoor ze verantwoordelijk zijn, en in staat zijn om menselijk toezicht te organiseren en te documenteren. Ze moeten weten wanneer een systeem als hoog-risico kwalificeert en wat dat betekent voor documentatie, tests en monitoring.
Op strategisch niveau, voor bestuurders en senior management, draait het om governance: hoe sluit AI-gebruik aan bij fundamentele waarden, welke risico's neemt de organisatie op organisatieniveau, en hoe is toezicht geborgd? De EU AI Act verwacht dat ook directieniveau begrijpt wat de reikwijdte van artikel 5 (verboden AI-praktijken) en annex III (hoog-risico) betekent voor de organisatie.
Sectorspecifieke implicaties
De concrete invulling van AI-geletterdheid verschilt significant per sector. In de zorg betekent het dat artsen en verpleegkundigen die werken met diagnostische AI-systemen, klinische beslissingsondersteuning of AI-geleide triage begrijpen hoe het systeem zijn uitkomsten produceert, wat de validatiedata was en welke patiëntgroepen ondervertegenwoordigd waren in de training. Blindvaren op een algoritme dat zegt dat een scan schoon is terwijl klinische signalen anders wijzen, is precies het soort automation bias dat artikel 14 van de EU AI Act wil voorkomen.
In de financiële sector hebben medewerkers die kredietbesluiten nemen of ondersteunen via AI-modellen, basiskennis nodig over hoe scoring-modellen werken, wat proxydiscriminatie is (waarbij een neutrale variabele als postcode fungeert als proxy voor etniciteit), en hoe ze een aanvrager kunnen uitleggen waarom een aanvraag is afgewezen. Dit laatste is ook relevant vanuit de GDPR: artikel 22 geeft individuen rechten bij volledig geautomatiseerde beslissingen met rechtsgevolg.
In de publieke sector, bij gemeenten en uitvoeringsorganisaties die gebruikmaken van AI voor fraudedetectie, uitkeringstoekenning of vergunningverlening, is AI-geletterdheid niet alleen een compliance-kwestie maar ook een kwestie van behoorlijk bestuur. De rechter verwacht dat een ambtenaar die een AI-aanbeveling omzet in een besluit, dat besluit zelfstandig kan motiveren en de onderliggende algoritmische logica kritisch heeft beoordeeld.
Waarom de meeste organisaties nu al achterlopen
Onderzoek van de Europese Commissie uit 2024 toonde aan dat minder dan een derde van de Europese bedrijven die AI inzetten, een gestructureerd AI-trainingsprogramma had voor niet-technisch personeel. De kloof is het grootst bij middelgrote organisaties: te groot voor een informele "doe het maar even" aanpak, te klein voor een eigen AI-ethiekteam. In de praktijk betekent dit dat de meeste deployers van AI in 2025 technisch gezien niet voldoen aan artikel 4, ook al is de handhaving voorlopig nog beperkt.
Nationale toezichthouders worden pas actief na augustus 2025, wanneer ook de governance-bepalingen van de AI Act in werking treden. Maar dat geeft geen vrijbrief: als er een incident plaatsvindt, een discriminerende beslissing, een datalek via een AI-systeem, een burger die bezwaar maakt, dan is het gebrek aan aantoonbare AI-geletterdheidsmaatregelen een verzwarende factor bij beoordeling door toezichthouders en rechters.
Van verplichting naar structureel programma
Een effectief AI-geletterdheidsaanpak begint met een skills-mapping: wie in de organisatie heeft contact met AI-systemen (direct of indirect), en wat is hun huidige kennisniveau? Dit hoeft geen uitgebreide enquête te zijn; vaak volstaat een combinatie van een korte online assessment en gesprekken met teamleiders. Uit die mapping volgt een gap-analyse die laat zien waar de risico's het grootst zijn en waar training prioriteit heeft.
Vervolgens is een gelaagd trainingsprogramma effectiever dan een generiek e-learning voor iedereen. Basismodules over AI-concepten, risico's en rechten zijn geschikt voor alle medewerkers die AI-gerelateerde taken uitvoeren. Verdiepende modules over risicoclassificatie, menselijk toezicht en incidentrapportage zijn voor projectleiders en compliance-officers. Specialistische training over technische documentatie, conformiteitsbeoordeling en FRIA is voor teams die AI-systemen ontwikkelen of inkopen.
Documentatie is hierbij niet bijzaak maar kernvereiste. Als een toezichthouder vraagt naar bewijs van AI-geletterdheidsmaatregelen, moet de organisatie kunnen laten zien welke training wanneer is gevolgd, wat de uitkomsten waren en hoe de kennis up-to-date wordt gehouden. Training is immers geen eenmalige activiteit: AI-systemen evolueren, wetgeving wordt bijgesteld (de AI Act geeft de Europese Commissie ruime bevoegdheden om gedelegeerde handelingen uit te vaardigen die de annex met hoog-risico toepassingen kunnen uitbreiden), en nieuwe kwetsbaarheden worden ontdekt.
Interne kennisopbouw versus externe expertise
Veel organisaties kiezen voor een combinatie: een intern AI-governance kader opgebouwd door eigen medewerkers die gespecialiseerde training volgen, aangevuld met externe expertise voor specifieke vraagstukken zoals conformiteitsbeoordelingen, FRIA-uitvoeringen en technische audits. Die aanpak is realistisch en efficient: het is niet nodig dat elke medewerker een AI-expert wordt, maar het is wel nodig dat er binnen de organisatie voldoende expertise aanwezig is om externe leveranciers kritisch te beoordelen en de governance te bewaken.
Voor kleine en middelgrote organisaties bieden sectororganisaties en brancheverenigingen steeds vaker gedeelde AI-geletterdheidstools: gezamenlijke trainingen, benchmarks en templates voor skillsmapping. Op Europees niveau werkt het AI Office aan standaarden voor AI-geletterdheid die als referentiekader kunnen dienen. Ook de AI-sandbox die Nederland in 2026 operationeel moet hebben (artikel 57 AI Act), biedt mogelijkheden voor organisaties om in een gecontroleerde omgeving te leren.
Praktisch: waar beginnen?
Het meest urgente is een inventarisatie van welke AI-systemen uw organisatie gebruikt, inkoopt of ontwikkelt, gecombineerd met een eerste beoordeling van welke medewerkers daarmee in aanraking komen. Dat hoeft geen formeel project te zijn: een gesprek met IT, inkoop en afdelingshoofden levert snel een beeld op. Koppel daar de vraag aan: als dit systeem morgen een fout maakt, begrijpen wij dan wat er is misgegaan en kunnen we ingrijpen? Als het antwoord nee is, is dat precies het gat dat artikel 4 adresseert.
Gebruik de FRIA-generator als startpunt voor hoog-risico toepassingen; het invulproces zelf dwingt uw team om de vragen te beantwoorden die AI-geletterdheid vereist. En laat training niet eindigen na de eerste module: bouw kwartaalse refreshers in, koppel nieuwe AI-implementaties altijd aan een korte geletterdheidscheck, en zorg dat incidenten (ook bijna-incidenten) worden gebruikt als leermomenten voor bredere kennisopbouw.
AI-geletterdheid is geen bureaucratische verplichting die je afvinkt. Het is de voorwaarde waaronder AI verantwoord kan functioneren in uw organisatie. Artikel 4 van de EU AI Act heeft dat wettelijk verankerd. De vraag is niet of u eraan moet voldoen, maar hoe snel u kunt laten zien dat u het serieus neemt.
Wat AI-geletterdheid in de praktijk oplevert
Naast de juridische verplichting heeft een serieus AI-geletterdheidsaanpak tastbare organisatorische voordelen. Medewerkers die begrijpen hoe AI-systemen tot hun uitkomsten komen, herkennen eerder wanneer een aanbeveling buiten het domein valt waarvoor het systeem is gevalideerd. Een medewerker bij een verzekeraar die begrijpt dat het creditscoremodel is getraind op data van 2018-2022 en niet op post-COVID gedragspatronen, is beter in staat om een aanvraag die afwijkt van het profiel kritisch te beoordelen. Die alertheid is precies wat artikel 14 van de AI Act beoogt: effectief menselijk toezicht.
Organisaties die vroeg investeren in AI-geletterdheid rapporteren ook lagere incidentfrequenties rondom AI-systemen. Niet omdat de systemen minder fouten maken, maar omdat medewerkers die problemen eerder signaleren en escaleren voordat ze consequenties hebben voor klanten of burgers. In termen van compliance is dat een directe bijdrage aan de post-market surveillance verplichting van artikel 72, die providers en deployers verplicht actief de werking van hoog-risico systemen te monitoren.
Sectorspecifieke invulling: drie concrete voorbeelden
In de rechtspraak betekent AI-geletterdheid dat rechters en griffiers die werken met AI-ondersteunde jurisprudentieopzoeking begrijpen dat dergelijke systemen patronen herkennen in historische uitspraken maar geen juridische redenering produceren in de zin van artikel 6 EVRM. Een AI-systeem dat relevante precedenten suggereert is nuttig; een rechter die een uitspraak motiveert met "het systeem achtte dit de meest waarschijnlijke uitkomst" voldoet niet aan de eis van onafhankelijke rechterlijke beoordeling.
In de financiële sector gaat het bij AI-geletterdheid voor kredietbeoordelaars verder dan weten dat een model bestaat. Ze moeten kunnen beoordelen wanneer een individuele aanvraag kenmerken heeft die afwijken van de populatie waarop het model is getraind, wat de bekende foutmarges zijn voor specifieke klantprofielen, en hoe zij een afwijkende beoordeling correct kunnen documenteren. Artikel 22 van de AVG geeft individuen rechten bij volledig geautomatiseerde besluiten met rechtsgevolg; de medewerker die uitvoering geeft aan dat recht moet kunnen uitleggen welke factoren hebben meegewogen.
In de publieke dienstverlening, bij gemeenten en uitvoeringsorganisaties, raakt AI-geletterdheid aan de rechtsstatelijke kern van behoorlijk bestuur. Een ambtenaar die een bijstandsbeoordeling doet op basis van een AI-aanbeveling moet die aanbeveling zelfstandig kunnen beoordelen en het besluit zelfstandig kunnen motiveren. De Raad van State heeft al in 2024 in meerdere uitspraken benadrukt dat verwijzing naar een algoritme als motivering van een besluit onvoldoende is; de ambtenaar moet de onderliggende logica begrijpen en toetsen.
De relatie met incidentmelding en verbetering
Artikel 73 van de AI Act verplicht providers van hoog-risico systemen om ernstige incidenten en storingen te melden aan de nationale toezichthouder. Voor deployers geldt een soortgelijke plicht richting de provider. Maar een incident dat gemeld moet worden, moet eerst worden herkend als incident. Dat is precies waar AI-geletterdheid het verschil maakt.
Een medewerker die niet weet dat een AI-systeem bij specifieke inputcombinaties systematisch afwijkende output produceert, zal dat niet rapporteren. Een medewerker die begrijpt wat de validatiegrenzen van het systeem zijn, zal een patroon van afwijkende outputs herkennen als potentieel incident en escaleren. Die capaciteit, te herkennen wanneer een systeem buiten zijn domein opereert, is precies de AI-geletterdheid die artikel 4 vereist voor medewerkers die toezicht houden op AI-systemen.
Bouw daarom in het geletterdheidsaanpak ook een component over incidentherkenning en rapportage in. Wie melden, wanneer melden, hoe documenteren. Dat is niet alleen compliance met artikel 73; het is ook de manier waarop organisaties leren van AI-fouten voordat ze escaleren tot publieke schandalen.