Belangrijk: De EU AI Act is geen papieren tijger. Met een compleet nieuw toezichtstelsel dat de komende jaren operationeel wordt, is het cruciaal dat organisaties begrijpen met welke agencies en autoriteiten ze te maken krijgen en wat hun specifieke bevoegdheden zijn.
De EU AI Act wordt de komende jaren stap voor stap van kracht en brengt een compleet nieuw toezichtstelsel met zich mee. Voor aanbieders en gebruikers van AI rijst dan ook een praktische vraag: wie gaat straks daadwerkelijk handhaven, met wie krijg je te maken en welk loket hoort bij welk type AI toepassing?
In deze blog neem ik je mee langs de belangrijkste agencies en autoriteiten rond de EU AI Act. Niet vanuit juridisch detail per artikel, maar vanuit de vraag: wie doet wat, en wat betekent dat voor jouw organisatie.
1. Het Europese AI Office: het nieuwe zenuwcentrum
Centraal in het stelsel staat het European AI Office, een nieuwe dienst binnen de Europese Commissie. Het AI Office wordt neergezet als het kenniscentrum voor AI in Europa en als basis voor een uniform governance systeem in alle lidstaten.
Kerntaken van het AI Office
Het European AI Office fungeert als het centrale coördinatiepunt voor AI-governance in Europa. Met specifieke focus op general-purpose AI modellen (GPAI) en systemische risico's, speelt het kantoor een cruciale rol bij het waarborgen van uniforme naleving van de AI Act across alle 27 lidstaten.
Waar houdt dit kantoor zich concreet mee bezig?
Toezicht op GPAI-modellen
Monitoring van general-purpose AI modellen, inclusief grote foundation models zoals GPT, Claude en Gemini
AI Veiligheid & Systemische Risico's
Europese aanpak voor AI-veiligheid, inclusief monitoring van systemische risico's die fundamentele rechten kunnen bedreigen
Coördinatie & Compliance
Coördinatie van nationale autoriteiten, verzamelen van meldingen, incidenten en rapportages
Richtsnoeren & Uitvoering
Ondersteuning bij het opstellen van richtsnoeren, modelcodes en uitvoeringshandelingen onder de AI Act
Het AI Office is intern opgedeeld in een aantal thematische units, zoals Regulation and Compliance, AI Safety, Excellence in AI and Robotics en AI for Societal Good. Dat laat zien dat het niet alleen juridisch toezicht is, maar ook beleid, innovatie en technische expertise.
Wat betekent dit voor bedrijven?
Het AI Office speelt een hoofdrol bij GPAI-modellen en de bijbehorende Code of Practice. In juli 2025 is een vrijwillige code voor general-purpose AI gepresenteerd, die als opstap dient naar volledige naleving van de AI Act.
Praktische implicatie: Als jouw organisatie zelf een groot model ontwikkelt of integreert, zal de lijn naar Brussel in toenemende mate via dit AI Office lopen, bijvoorbeeld bij meldingen over systemische risico's, deelname aan sandboxes, en toepassing van technische standaarden.
2. De AI Board, Advisory Forum en Scientific Panel: de "bestuurlijke driehoek"
Naast het AI Office introduceert de AI Act een set Europese coördinatieorganen: de AI Board, het Advisory Forum en het Scientific Panel of Independent Experts. Samen vormen zij de bestuurlijke driehoek rond het AI Office.
| Orgaan | Samenstelling | Primaire Rol |
|---|---|---|
| AI Board | Vertegenwoordigers van lidstaten | Coördinatie handhaving & interpretatie |
| Advisory Forum | Bedrijven, MKB, sociale partners, NGO's | Stakeholder input & praktijkfeedback |
| Scientific Panel | Tot 60 onafhankelijke AI-experts | Technische expertise & risicobeoordeling |
AI Board: Coördinatie tussen lidstaten
De AI Board is een college met vertegenwoordigers van de lidstaten dat:
- De uitvoering van de AI Act tussen lidstaten afstemt
- Handhavingsstrategieën en prioriteiten bespreekt
- De Commissie en het AI Office adviseert over interpretatie van de verordening
Waarom de AI Board belangrijk is
In de praktijk wordt de Board het platform waar nationale toezichthouders hun ervaringen met handhaving delen. Verwacht dat veel "soft law" zoals richtsnoeren, best practices en gezamenlijke interpretaties hier wordt voorbereid, voordat het via het AI Office of de Commissie officieel het licht ziet.
Advisory Forum: De stem van de praktijk
Het Advisory Forum bestaat uit vertegenwoordigers van bedrijven, MKB, sociale partners, standaardisatie-instellingen en maatschappelijke organisaties. Dit forum geeft input op beleid en uitvoeringsmaatregelen.
Scientific Panel: Technische expertise
Het Scientific Panel of Independent Experts is misschien wel het meest technisch ingestelde orgaan in het stelsel. Hun taken focussen sterk op general-purpose AI:
- Ontwikkelen van beoordelingsmethoden en tools
- Adviseren over classificatie van modellen en systemische risico's
- Formuleren van waarschuwingen bij opkomende risico's
- Ondersteuning van nationale autoriteiten bij technisch complexe zaken
Cruciaal voor GPAI-aanbieders: De manier waarop risico's worden gemeten, getest en gekwalificeerd zal voor een groot deel via dit netwerk van experts worden ingericht. Dit panel bepaalt mee hoe "systemisch risico" in de praktijk wordt geoperationaliseerd.
3. Nationale markttoezichthouders en andere bevoegde autoriteiten
De AI Act is Europese regelgeving, maar de dagelijkse handhaving vindt grotendeels op nationaal niveau plaats. Elke lidstaat moet minimaal twee typen nationale instanties aanwijzen:
Market Surveillance Authorities (MSA)
Bewaakt naleving wanneer AI-systemen op de markt worden gebracht of in gebruik zijn
Notifying Authorities
Wijst notified bodies aan en houdt toezicht op conformiteitsbeoordelingen
Market Surveillance Authority: De handhaver
Bevoegdheden van Market Surveillance Authorities
- ✓Onderzoeken bij klachten of signalen over non-compliance
- ✓Opvragen van technische documentatie en conformiteitsverklaringen
- ✓Uitvoeren van inspecties, audits en tests op AI-systemen
- ✓Opleggen van maatregelen of boetes tot €35 miljoen of 7% wereldwijde omzet
In veel lidstaten zal zo'n rol worden vervuld door bestaande instanties, bijvoorbeeld een consumentenautoriteit, mededingingsautoriteit of technische inspectiedienst. In sectoren met zwaar gereguleerde AI toepassingen, zoals financiële dienstverlening of medische hulpmiddelen, ligt het voor de hand dat bestaande sectorale toezichthouders een rol spelen naast of in combinatie met de MSA.
Notifying Authority: De certificeerder
Daarnaast moet elke lidstaat een notifying authority aanwijzen. Die autoriteit is verantwoordelijk voor:
- Het aanwijzen en toezicht houden op notified bodies
- Het doorgeven van informatie over die notified bodies aan de Commissie en andere lidstaten
Voor organisaties betekent dit: je hebt niet alleen met Brussel te maken, maar vooral ook met een nationaal aanspreekpunt dat jouw AI systemen kan opvragen, beoordelen en, in het uiterste geval, van de markt kan laten halen.
4. Notified bodies en conformity assessment: de keuringsinstellingen
Voor bepaalde categorieën high-risk AI systemen volstaat zelfbeoordeling. Voor andere is een externe conformity assessment verplicht. Daar komen notified bodies in beeld.
Wat doen Notified Bodies?
Notified bodies zijn onafhankelijke instellingen die door de notifying authority zijn aangewezen om conformiteitsbeoordelingen uit te voeren. Ze functioneren als "keuringsinstellingen" voor high-risk AI systemen waar de EU een externe blik noodzakelijk vindt.
Taken van Notified Bodies
Kwaliteitssystemen
Toetsen of het kwaliteitsmanagementsysteem van de aanbieder voldoet aan de AI Act
Documentatie
Beoordelen van technische documentatie en risicobeheersmaatregelen
Audits & Tests
Kunnen audits en tests uitvoeren op het AI systeem in productieomgevingen
Certificering
Verstrekken van certificaten of rapporten die nodig zijn om het product op de markt te brengen
Deze structuur kennen we al uit andere productregelgeving, zoals medische hulpmiddelen of machineveiligheid. De AI Act sluit daarop aan: notified bodies worden de "keuringsinstellingen" voor die high-risk AI systemen waar de EU een externe blik noodzakelijk vindt.
Praktische implicatie voor aanbieders: Naast intern compliancewerk moet je rekening houden met een extern assessment traject, met bijbehorende kosten (vaak €10.000-€100.000+), doorlooptijden (3-12 maanden) en mogelijke bevindingen die aanpassingen vereisen.
5. Gegevensbeschermingsautoriteiten en de EDPB: GDPR en AI Act lopen in elkaar over
Omdat veel AI systemen persoonsgegevens verwerken, is de rol van de gegevensbeschermingsautoriteiten niet weg te denken. De AI Act bevestigt expliciet dat de GDPR volledig van toepassing blijft op AI systemen die persoonsgegevens verwerken.
EDPB Statement juli 2024
De European Data Protection Board heeft in juli 2024 een belangrijk statement aangenomen over de rol van DPAs binnen het AI Act kader. Kernpunt: DPAs zouden moeten worden aangewezen als market surveillance authority voor high-risk AI systemen in rechtshandhaving, grensbewaking, rechtspraak en democratische processen.
Waarom DPAs cruciaal zijn voor AI-toezicht
| Aspect | GDPR | AI Act | Toezichthouder |
|---|---|---|---|
| Rechtmatigheid verwerking | ✓ | - | DPA |
| Transparantie & informatieplicht | ✓ | ✓ | DPA + MSA |
| Risicobeheer AI-systeem | - | ✓ | MSA |
| Geautomatiseerde besluitvorming | ✓ | ✓ | DPA + MSA |
| Bias & discriminatie | ✓ (indirect) | ✓ | DPA + MSA |
Met andere woorden: voor veel AI toepassingen die persoonsgegevens verwerken is de kans groot dat jouw bekende privacytoezichthouder (zoals de Autoriteit Persoonsgegevens in Nederland) ook onder de AI Act een rol krijgt.
EDPB Coördinatie: De EDPB zelf neemt een coördinerende positie in. Het bestaan van EDPB taskforces rond grote AI aanbieders laat nu al zien hoe privacytoezicht en AI toezicht elkaar vinden, bijvoorbeeld in gezamenlijke onderzoeken naar transparantie en datagebruik van populaire chatbots.
6. Hoe ziet dit er uit voor jouw organisatie in de praktijk?
Al deze namen en organen kunnen abstract blijven zolang je niet vertaalt naar concrete situaties. Enkele typische scenario's:
Scenario 1: Een HR screening tool op basis van AI
1 HR Screening Tool
Context: Een leverancier van een AI systeem voor sollicitantenselectie
Relevante toezichthouders:
- → Nationale MSA: beoordeelt als high-risk AI (impact op toegang tot werk)
- → Nationale DPA: toetst grondslag, transparantie, rechten betrokkenen en bias
- → AI Office: indirect via guidance op onderliggend GPAI-model
Voor werkgevers: arbeidsrecht + privacyrecht + AI Act-verplichtingen komen samen
Scenario 2: Een industriële producent met predictive maintenance AI
2 Predictive Maintenance AI
Context: Een fabrikant die AI inzet om machines te monitoren en storingen te voorspellen
Relevante toezichthouders:
- → Notified body: voor conformiteitsbeoordeling bij externe assessment-verplichting
- → Technische markttoezichthouder: productveiligheid
- → Sectorale toezichthouders: bij inzet in kritieke infrastructuur
Nadruk op veiligheid, betrouwbaarheid en robuustheid van AI
Scenario 3: Een publieke organisatie met burgergerichte AI diensten
3 Publieke AI Diensten
Context: Een gemeente die AI inzet voor besluitvorming over uitkeringen of vergunningen
Relevante toezichthouders:
- → Nationale AI markttoezichthouder: high-risk AI regels
- → Nationale DPA: profiling, geautomatiseerde besluitvorming, transparantie
- → Sectorale toezichthouders: afhankelijk van domein (bijv. sociale zekerheid)
Juist hier wordt duidelijk waarom AI Board en AI Office cruciaal zijn voor consistentie
7. Waar kun je nu al op voorsorteren?
Hoewel veel bepalingen pas in 2026 en daarna volledig van kracht worden, kun je als organisatie nu al een paar stappen zetten om je voor te bereiden op dit toezichtlandschap:
Stap 1: Breng toezichthouders in kaart
Identificeer welke autoriteiten relevant zijn voor jouw AI toepassingen: privacy, productveiligheid, sectoraal en straks de nationale AI autoriteit.
Stap 2: Volg het AI Office
Monitor publicaties over GPAI, codes of practice en sandboxes. Daar komen de eerste concrete invullingen vandaan.
Stap 3: Monitor nationale wetgeving
Let op aanwijzingen van market surveillance authority en notifying authority. Dat bepaalt wie straks aan jouw deur klopt.
Stap 4: Multidisciplinaire samenwerking
Zorg dat DPO, CISO en legal/compliance samenwerken. AI-toezicht is multidisciplinair, geen exclusief privacydossier.
Stap 5: Bereid je voor op audits
Reserveer capaciteit voor audits, informatieverzoeken en conformiteitsbeoordelingen door notified bodies.
Proactief voorbereiden loont
Organisaties die nu beginnen met het in kaart brengen van relevante toezichthouders en het opbouwen van relaties, ervaren minder stress wanneer handhaving daadwerkelijk start. Bovendien kunnen ze in early-stage consultaties (zoals de GPAI Code of Practice) hun praktijkervaringen inbrengen en zo mee vorm geven aan werkbare compliance-kaders.
Conclusie
De EU AI Act introduceert een gelaagde, Europese governance architectuur. Het Europese AI Office, de AI Board en het Scientific Panel vormen de bovenste laag. Nationale autoriteiten, notified bodies en gegevensbeschermingsautoriteiten zorgen voor uitvoering en handhaving dicht bij de praktijk.
De kern: Hoe beter je dit speelveld begrijpt, hoe makkelijker het wordt om AI projecten zo in te richten dat je niet alleen voldoet aan de letter van de wet, maar ook voorbereid bent op vragen van de verschillende toezichthouders.
De boodschap is duidelijk: wie nu begrijpt welke agencies en autoriteiten straks aan de knoppen zitten, kan proactief bouwen aan compliance en vertrouwen. En dat is waar het uiteindelijk om draait: AI die mensen kunnen vertrouwen, ondersteund door toezicht dat werkt.
Test je kennis: EU AI Act Toezicht & Agencies
Toets je begrip van de verschillende toezichthouders, hun bevoegdheden en wat dit betekent voor jouw organisatie
Bronnen
- European AI Office | Shaping Europe's digital future
- The AI Office: What is it, and how does it work?
- EU Opens AI Office to Support Implementation of the AI Act
- EU unveils AI code of practice to help businesses comply with bloc's rules
- Article 68: Scientific Panel of Independent Experts
- EU AI Act: Regulatory Directory
- Market Surveillance Authorities under the AI Act
- Statement 3/2024 on data protection authorities' role in the artificial intelligence area
- DeepSeek may face further regulatory actions, EU privacy watchdog says
🏛️ Meer over AI Governance: Bekijk de AI Governance & Compliance Gids voor structuur, audit-gereedheid en toezicht.