Praktische voorbereiding op AI regulatory sandboxes onder de EU AI Act
Consultatie loopt: Op 2 december 2025 heeft de Europese Commissie een consultatie geopend over een draft implementing act voor AI regulatory sandboxes. Feedback is mogelijk tot 13 januari 2026. Lidstaten moeten uiterlijk 2 augustus 2026 minimaal één nationale sandbox hebben ingericht.
Wat de EU met sandboxes precies probeert te bereiken
De AI Act koppelt sandboxes expliciet aan innovatie in de ontwikkel- en pre-market fase, maar met een duidelijke rand: testen moet bijdragen aan naleving van de AI Act en ander relevant recht. In de overwegingen wordt dit gepositioneerd als een gecontroleerde testomgeving die innovatie ondersteunt en tegelijk naleving dichterbij brengt.
Dat "gecontroleerd" is in de wet geen loos woord. Artikel 57 beschrijft sandboxes als een kader waarin bevoegde autoriteiten niet alleen toezicht houden, maar ook begeleiding en support bieden, met specifieke aandacht voor risico's, inclusief grondrechten, gezondheid en veiligheid.
Waarom deze implementing act ertoe doet
Veel organisaties die pilots doen, herkennen het patroon: een PoC start snel, data en proceskeuzes worden pragmatisch gemaakt, en pas later ontstaat discussie over verantwoordingsdocumentatie, rolverdeling, betrokken toezichthouders en stopcriteria. Een sandbox is bedoeld om dat om te draaien: vooraf afspraken maken over scope, safeguards en bewijsvoering, en tijdens de test itereren onder een afgesproken regime.
Common rules voor heel de EU
De Commissie kondigt expliciet aan dat zij een implementing act gaat aannemen om common rules vast te stellen voor de establishment en operation van sandboxes. Daarmee wordt de vraag minder: "bestaat er straks een sandbox?" en meer: "welke procedure en welke minimale set afspraken gelden waarschijnlijk overal?"
Wat Artikel 57 al vastlegt, en wat je dus nu al kunt voorbereiden
Ook zonder de implementing act kun je je voorbereiding baseren op Artikel 57 zelf, omdat daar de kernmechanismen al in staan.
1. Een specifiek sandbox plan als toegangsticket
De wet gaat uit van een specifiek plan en voorwaarden voor deelname. Dat plan is niet optioneel, maar de basis voor begeleiding en toezicht. In praktische termen is dit een dossier dat je in staat stelt om vooraf uit te leggen: wat je test, waarom, met welke data, met welke mitigaties, en wanneer je stopt.
2. Output die je later mag gebruiken
Artikel 57 noemt twee deliverables die vaak onderschat worden:
Written proof
Schriftelijk bewijs van succesvol uitgevoerde activiteiten, op verzoek te verstrekken.
Exit report
Rapport met activiteiten, resultaten en leeruitkomsten aan het einde van de sandbox.
De wet zegt dat deze documenten "positively" moeten worden meegewogen door markttoezichtautoriteiten en notified bodies, met het doel conformiteitsprocedures tot op zekere hoogte te versnellen.
Strategisch voordeel: De sandbox is niet alleen een testomgeving, maar ook een manier om bewijs te structureren dat later bruikbaar is voor conformiteitsprocedures.
3. Bescherming tegen administratieve boetes, maar niet tegen alles
Als de (prospective) provider het sandbox plan volgt en te goeder trouw de guidance van de autoriteit opvolgt, mogen autoriteiten geen administratieve boetes opleggen voor inbreuken op de AI Act binnen die sandbox-context.
Let op: Aansprakelijkheid voor schade aan derden blijft bestaan. Artikel 57 maakt expliciet dat deelname je niet vrijwaart van aansprakelijkheid onder toepasselijk aansprakelijkheidsrecht. Sandbox-deelname is geen "juridisch vangnet", maar een regime waarin je ruimte krijgt om onder toezicht te leren en te verbeteren.
4. Reëel toezicht, inclusief stopknoppen
De wet geeft autoriteiten de bevoegdheid om testen of deelname tijdelijk of permanent te schorsen als effectieve mitigatie niet mogelijk is, en om het AI Office hierover te informeren. Dit betekent dat jouw testopzet expliciet moet maken hoe je risico's monitort en welke ingrepen je kunt doen als iets misgaat.
5. Betrokkenheid van privacytoezicht waar persoonsgegevens in beeld komen
Artikel 57 koppelt sandbox-toezicht aan de betrokkenheid van andere relevante autoriteiten, waaronder data protection authorities, wanneer persoonsgegevens worden verwerkt. Als je sandbox-casus persoonsgegevens gebruikt, hoort de privacycomponent niet als bijlage achteraf, maar als integraal onderdeel van het plan.
Een realistische casus: schulddienstverlening en vroegsignalering
Stel: een organisatie ontwikkelt een AI-systeem dat gemeenten helpt om vroegsignalen van problematische schulden te herkennen op basis van meerdere databronnen. Het doel is preventie: sneller contact, minder escalatie, meer maatwerk.
Zonder sandbox ontstaat al snel frictie. De ontwikkelaar kan niet goed testen zonder context en data, de gemeente wil geen experiment dat leidt tot oncontroleerbare bias, onnavolgbare signalen of een workflow die medewerkers blind maakt voor nuance. Bovendien spelen persoonsgegevens en mogelijke grondrechtelijke effecten direct mee.
Een sandbox-plan dwingt dan tot keuzes die je anders pas laat maakt:
Beperkte scope
Welke wijken, welke doelgroep, welke periode?
Rolverdeling
Wie is verantwoordelijk voor wat in de keten?
Menselijk beslismoment
Waar beslist de medewerker, waar adviseert het systeem?
Meetpunten
Foutmarges, fairness metrics, stopcriteria.
In zo'n opzet is de "sandbox" niet alleen een etiket, maar een set afspraken over gecontroleerde real-world testing, toezicht en aantoonbaarheid.
Wat je in 2025 al kunt neerzetten om in 2026 "sandbox ready" te zijn
De grootste winst zit vaak niet in het wachten op nationale loketten, maar in het voorbereiden van je eigen dossier en werkwijze.
Werk met één centrale beschrijving van de test
Een goed sandbox plan is leesbaar voor juristen, productteams en toezichthouders. Het bevat ten minste:
- Doel en beoogde effecten
- Scope en beperkingen
- Context van gebruik
- Data-inzet
- Model- en systeemcomponenten
- Menselijke rol in de keten
- De manier waarop outputs worden gebruikt
Een plan dat alleen uit technische notities bestaat, gaat in de praktijk wringen. Artikel 57 vraagt om een specifieke planbasis en begeleiding.
Maak mitigaties meetbaar
Toezicht en begeleiding hebben weinig aan intenties. Als je bias wilt mitigeren, beschrijf je tests (bijvoorbeeld per subgroep), acceptatiecriteria en hoe je aanpassingen doorvoert. Als je uitlegbaarheid wilt verbeteren, beschrijf je welke uitleg je geeft aan welke gebruiker, en hoe je controleert of die uitleg in de praktijk begrepen wordt.
Leg de stopknoppen vast voordat je begint
Omdat autoriteiten kunnen schorsen als mitigatie niet effectief blijkt, wil je intern al een "stoplogica" hebben:
- Welke signalen triggeren escalation?
- Wie besluit tot pauze?
- Hoe rol je terug?
- Hoe borg je dat de omgeving niet ongemerkt doorloopt?
Dit is ook belangrijk voor partners: een gemeente, ziekenhuis of school die deelneemt wil weten dat er een rem is die echt werkt.
Integreer privacytoezicht en DPIA-werk in het sandbox plan
Wanneer persoonsgegevens worden verwerkt, hoort de privacycomponent niet los te lopen van sandbox governance. In de praktijk helpt het om je datastromen, bewaartermijnen, minimisatiekeuzes, toegangsbeheer en rechtenafhandeling al in je plan te verankeren.
Ontwerp je documentatie alsof je later een exit report moet opleveren
Het exit report is geen theoretisch document. Het moet activiteiten, resultaten en leeruitkomsten beschrijven. Als je in je dagelijkse werk al een consistent logboek bijhoudt van aannames, tests, incidenten, wijzigingen, en beslissingen, wordt het exit report een samenvatting in plaats van een reconstructie.
Tijdlijn en volgende stappen
| Datum | Mijlpaal |
|---|---|
| 2 december 2025 | Consultatie geopend over draft implementing act |
| 13 januari 2026 | Deadline feedback consultatie |
| 2 augustus 2026 | Deadline nationale sandboxes operationeel |
Praktische routekaart: Kies één pilot die zich leent voor gecontroleerd testen, bouw een plan dat zowel techniek, governance als data omvat, definieer meetbare mitigaties en stopcriteria, en richt je documentatie zo in dat je zonder stress een exit report kunt opleveren. Daarmee ben je niet afhankelijk van de laatste details van de implementing act, maar sluit je wel aan op de kern van Artikel 57.
📚 Verdiep je kennis: Bekijk de Complete EU AI Act Gids voor een volledig overzicht van alle aspecten van de AI-wetgeving, inclusief meer over AI regulatory sandboxes.