Het is dinsdagochtend en in de mailbox van de functionaris gegevensbescherming ligt een brief van de Autoriteit Persoonsgegevens. De AP doet onderzoek naar het gebruik van algoritmes bij de beoordeling van aanvragen en verzoekt de organisatie binnen vier weken een overzicht te verstrekken van de ingezette AI-systemen, de gemaakte risicoafwegingen en de getroffen waarborgen. Wie op dat moment moet beginnen met inventariseren, is te laat. Wie een dossier heeft klaarliggen, beantwoordt de brief in een week.
Het directe antwoord op de vraag welke documenten je moet kunnen laten zien: een actuele AI-inventarisatie, per systeem een risicoclassificatie onder de AI Act met onderbouwing, de bijbehorende DPIA's (en vanaf december 2027 waar van toepassing FRIA's), documentatie van transparantiemaatregelen onder artikel 50, bewijs van AI-geletterdheidsmaatregelen onder artikel 4, leveranciersdossiers met contractuele afspraken en conformiteitsinformatie, en de governance-besluiten waaruit blijkt wie wanneer welke afweging heeft gemaakt. Dat is geen papieren exercitie: het is precies de vragenlijst die toezichthouders in de praktijk hanteren.
Waarom de AP dit vraagt en wat er al gebeurt
De AP is in Nederland het coördinerend toezichthouder op algoritmes en AI en publiceert sinds enkele jaren periodiek de Rapportage AI- en Algoritmerisico's Nederland. Daarnaast doet de AP concrete onderzoeken naar algoritmegebruik bij overheden en bedrijven, van fraudesignalering tot geautomatiseerde beoordeling van klanten. Het kabinet diende in april 2026 het uitvoeringswetsvoorstel voor de AI Act in, dat het toezicht belegt bij onder meer de AP en de Rijksinspectie Digitale Infrastructuur (RDI). De definitieve aanwijzing loopt via die wet, maar de AP wacht daar in de praktijk niet op: uitvragen over algoritmes gebeuren nu al, vaak op grondslag van de AVG.
Dat laatste is een belangrijk punt voor iedere FG. Een uitvraag hoeft niet het etiket "AI Act-inspectie" te dragen. Een AVG-onderzoek naar geautomatiseerde besluitvorming, een klacht van een betrokkene of een sectoraal onderzoek kan dezelfde documenten raken. Het dossier dat je opbouwt voor de AI Act is grotendeels hetzelfde dossier dat je nodig hebt onder de AVG. Bouw het dus één keer, goed.
Het dossier in zeven onderdelen
1. De AI-inventarisatie
Alles begint met een volledig en actueel overzicht van de AI-systemen en algoritmes die de organisatie gebruikt, inclusief schaduwgebruik zoals losse ChatGPT-accounts en AI-functies die in bestaande software zijn bijgeschakeld. Per systeem leg je vast: doel, gebruikersgroep, leverancier, datastromen, en of het systeem beslissingen over mensen beïnvloedt. Zonder inventarisatie is elke andere vraag van de toezichthouder onbeantwoordbaar. Hoe je die inventarisatie opzet en actueel houdt, staat uitgewerkt in onze gids over het AI-register en de inventarisatieplicht.
2. Risicoclassificatie met onderbouwing
Per systeem uit de inventarisatie hoort een classificatie onder de AI Act: verboden praktijk, hoog risico, transparantierisico onder artikel 50, of minimaal risico. Cruciaal is de onderbouwing. "Wij hebben geoordeeld dat dit geen hoog risico is" overtuigt geen toezichthouder; een gedocumenteerde toets aan de Annex III-categorieën met datum, beoordelaar en argumentatie wel. Let op de actuele timeline: de verplichtingen voor zelfstandige hoog-risicosystemen onder Annex III gelden per 2 december 2027, voor AI ingebed in gereguleerde producten onder Annex I per 2 augustus 2028. De verboden praktijken zijn al sinds 2 februari 2025 handhaafbaar, met boetes via de toezichthouder tot 35 miljoen euro of 7 procent van de wereldwijde omzet. De volledige tijdlijn en risicoladder staan in onze AI Act Explorer.
3. DPIA's en straks FRIA's
Verwerkt een AI-systeem persoonsgegevens met waarschijnlijk hoog risico voor betrokkenen, dan is een DPIA onder artikel 35 AVG nu al verplicht. Dit is in de praktijk het eerste document dat de AP opvraagt, en het meest voorkomende gat. De fundamentele-rechten-effectbeoordeling (FRIA) uit artikel 27 AI Act volgt de hoog-risico-timeline en wordt relevant per 2 december 2027 voor onder meer overheidsorganen en aanbieders van essentiële diensten. Slim is om DPIA en FRIA-elementen nu al in één beoordelingsformat te combineren: de overlap is groot en je voorkomt dubbel werk.
4. Artikel 50: transparantiemaatregelen, de scherpste deadline
Artikel 50 wordt van kracht op 2 augustus 2026 en is niet uitgesteld. Vanaf die datum moet je kunnen aantonen dat gebruikers weten dat ze met AI interacteren (chatbots), dat synthetische content machineleesbaar gemarkeerd wordt, en dat deepfakes en AI-gegenereerde teksten over publieke aangelegenheden zichtbaar gelabeld zijn. Voor systemen die vóór 2 augustus 2026 al op de markt waren geldt voor de watermarking een overgangsperiode tot 2 december 2026. Documenteer per relevant systeem welke maatregel je hebt getroffen, met screenshots en configuratiebewijs. Dit is het onderdeel waar een uitvraag in het najaar van 2026 vrijwel zeker naar zal vragen.
5. Artikel 4: bewijs van AI-geletterdheid
Artikel 4 geldt sinds 2 februari 2025 en vraagt dat medewerkers die AI inzetten over voldoende AI-geletterdheid beschikken. Zie dit niet als een sanctierisico met een eigen boete, maar als een bouwsteen van aantoonbaar menselijk toezicht (artikel 14) en als concrete risicoreductie: getrainde medewerkers herkennen foute output en escaleren op tijd. Voor het dossier betekent dit: een trainingsplan afgestemd op rollen en systemen, deelnameregistratie en idealiter toetsresultaten. Platforms zoals LearnWize zijn precies hierop gebouwd: training plus bewijsdossier in één.
6. Leveranciersdossiers
De meeste organisaties zijn gebruiksverantwoordelijke, geen aanbieder. Dan draait het dossier om wat je van je leveranciers hebt vastgelegd: contractuele afspraken over beoogd gebruik, gebruiksinstructies, verwerkersovereenkomsten, en (voor toekomstige hoog-risicosystemen) de conformiteitsinformatie van de aanbieder. Een toezichthouder wil zien dat je niet blind op de leverancier vaart maar de claims hebt getoetst. Wie certificering als bewijsanker wil gebruiken, leest hoe ISO 42001 en de AI Act zich verhouden in ISO 42001 versus de EU AI Act.
7. Governance-besluiten en verantwoordingsspoor
Het sluitstuk is het besluitvormingsspoor: wie is eigenaar van AI-governance, welk beleid is vastgesteld en wanneer, welke systemen zijn goedgekeurd of juist afgewezen, en hoe worden incidenten gemeld en opgevolgd. Notulen, besluitenlijsten en een vastgesteld AI-beleid laten zien dat compliance geen eenmalige actie was maar een lopend proces. Juist dit onderdeel bepaalt de toon van een onderzoek: een organisatie die aantoonbaar stuurt, wordt anders bejegend dan een organisatie die ad hoc reageert.
Wat als het dossier er nog niet ligt
Begin dan bij de volgorde die de toezichthouder zelf hanteert: eerst de inventarisatie, dan de classificatie, dan de beoordelingen en maatregelen per systeem. Reken op enkele weken doorlooptijd voor een eerste werkbare versie bij een middelgrote organisatie. Houd de Digital Omnibus in de gaten: het politieke akkoord van mei 2026 is door het Europees Parlement geëndorseerd maar staat nog niet in het Publicatieblad, dus behandel de verschoven data als de werkhypothese en de al geldende verplichtingen (verboden praktijken, artikel 4, en per 2 augustus 2026 artikel 50 en de GPAI-handhaving) als hard. Organisaties die dit gestructureerd willen aanpakken, van inventarisatie tot inspectieklaar dossier, kunnen terecht bij Embed AI voor een begeleide aanpak met vaste doorlooptijd.
De brief van de AP komt misschien nooit. Maar het dossier dat je ervoor bouwt, is exact het dossier waarmee je intern grip krijgt op je AI-landschap. Dat is de eigenlijke winst.