Responsible AI Platform

Toezicht op de AI Act in Nederland: wie controleert wat en wie legt boetes op

··10 min leestijd

Stel: uw organisatie gebruikt een AI-systeem voor klantacceptatie en er komt een brief binnen over de naleving van de AI Act. Van wie komt die brief? Van de Autoriteit Persoonsgegevens, van een sectorale toezichthouder die u al kent, of rechtstreeks uit Brussel? Voor bestuurders en compliance-verantwoordelijken is dit geen academische vraag. Wie het toezichtslandschap kent, weet welke verwachtingen er gelden en waar de prioriteiten liggen.

Het directe antwoord: in Nederland wordt het toezicht op de AI Act belegd bij de Autoriteit Persoonsgegevens (AP) als coördinerend algoritme- en AI-toezichthouder en de Rijksinspectie Digitale Infrastructuur (RDI) voor de technische kant, terwijl bestaande sectorale toezichthouders zoals AFM, DNB, IGJ en de Inspectie van het Onderwijs het toezicht in hun eigen sector houden. Voor aanbieders van AI-modellen voor algemene doeleinden (GPAI) is niet Nederland maar de Europese Commissie via het AI Office de toezichthouder. De formele aanwijzing van de Nederlandse toezichthouders loopt via de Uitvoeringswet AI-verordening, waarvan het kabinet het voorstel in april 2026 in consultatie heeft gebracht. Dat betekent: de hoofdlijnen zijn duidelijk, maar de wettelijke basis voor nationale boetes is per juli 2026 nog niet afgerond.

Het toezichtslandschap in een oogopslag

Voor wie snel wil weten waar hij aan toe is:

  • Autoriteit Persoonsgegevens (AP): coördinerend algoritme- en AI-toezicht, beoogd toezichthouder voor onder meer de verboden praktijken en voor domeinen zonder duidelijke sectorale toezichthouder.
  • Rijksinspectie Digitale Infrastructuur (RDI): beoogd coördinator voor de technische kant, markttoezicht op productgebonden AI en een centrale rol richting conformiteitsbeoordelingsinstanties.
  • Sectorale toezichthouders (AFM, DNB, IGJ, Inspectie van het Onderwijs en andere): toezicht op AI binnen hun bestaande sectorale mandaat.
  • Europese Commissie / AI Office: exclusief toezicht op aanbieders van GPAI-modellen, met boetebevoegdheid tot 3 procent van de wereldwijde jaaromzet of 15 miljoen euro.

Hieronder loop ik elke speler langs, inclusief wat al vastligt en wat nog moet.

De Autoriteit Persoonsgegevens: coördinerend algoritmetoezichthouder

De AP is sinds januari 2023 ook coördinerend algoritmetoezichthouder. Binnen de AP doet de Directie Coördinatie Algoritmes (DCA) dit werk: zij brengt algoritmerisico's in Nederland in kaart, publiceert periodiek de Rapportage AI- en Algoritmerisico's Nederland en stemt af met andere toezichthouders. Die coördinerende rol bestond dus al voordat de AI Act van toepassing werd en staat los van de formele aanwijzing onder de verordening.

In het beoogde stelsel onder de AI Act krijgt de AP daar een handhavende rol bij. Het kabinet wil de AP aanwijzen als toezichthouder voor de verboden AI-praktijken van artikel 5, die al sinds 2 februari 2025 van kracht zijn, en als vangnet-toezichthouder voor toepassingsgebieden waar geen duidelijke sectorale toezichthouder bestaat. Denk aan AI in werving en selectie bij organisaties die niet onder een sectorale toezichthouder vallen. Voor bestuurders is de praktische vertaling: als uw AI-gebruik raakt aan persoonsgegevens, profilering of besluitvorming over mensen, is de kans groot dat de AP uw eerste aanspreekpunt wordt. De AP handhaaft bovendien nu al via de AVG waar AI-systemen persoonsgegevens onrechtmatig verwerken; die route staat volledig los van de AI Act en werkt vandaag al.

De RDI: de technische pijler

De Rijksinspectie Digitale Infrastructuur is de tweede spil. De RDI houdt van oudsher markttoezicht op digitale en radioapparatuur en kent de wereld van CE-markering, technische normen en conformiteitsbeoordeling van binnenuit. Precies die wereld wordt onder de AI Act relevant: hoog-risico AI-systemen moeten straks door een conformiteitsbeoordeling, en Nederland moet instanties aanwijzen en notificeren die zulke beoordelingen mogen uitvoeren.

In het beoogde stelsel wordt de RDI coördinator voor de technische aspecten van het AI-toezicht en de centrale autoriteit rond de aanmelding van conformiteitsbeoordelingsinstanties. Samen met de AP startte de RDI in 2026 bovendien een AI regulatory sandbox, waarin organisaties AI-systemen kunnen toetsen en begeleiding krijgen van de toezichthouders. Voor aanbieders van hoog-risico systemen die richting 2 december 2027 (de verschoven datum voor zelfstandige hoog-risico systemen uit Annex III) toewerken, is de RDI dus de toezichthouder om in de gaten te houden.

Sectorale toezichthouders houden hun eigen terrein

Nederland kiest nadrukkelijk niet voor een geheel nieuwe AI-toezichthouder. Het uitgangspunt is dat toezicht op AI zoveel mogelijk aansluit bij bestaand sectoraal toezicht. Dat is voor de praktijk goed nieuws: de toezichthouder die uw sector al kent, blijft het gezicht.

Financiële sector: AFM en DNB

Voor banken, verzekeraars, pensioenuitvoerders en beleggingsondernemingen blijven de AFM en DNB de logische toezichthouders, ook voor AI-gebruik. Zij kijken nu al naar algoritmes in kredietacceptatie, risicomodellen en klantprocessen, en doen dat in samenhang met bestaande kaders zoals DORA, dat sinds 17 januari 2025 van toepassing is op digitale weerbaarheid. Kredietwaardigheidsbeoordeling van natuurlijke personen en risicobeoordeling bij levens- en zorgverzekeringen staan bovendien als hoog-risico toepassingen in Annex III van de AI Act.

Zorg: IGJ

De Inspectie Gezondheidszorg en Jeugd houdt toezicht op medische hulpmiddelen onder de MDR. AI die als medisch hulpmiddel of als veiligheidscomponent daarvan kwalificeert en waarvoor een conformiteitsbeoordeling door een aangemelde instantie nodig is, valt onder het Annex I-regime van de AI Act, dat per 2 augustus 2028 gaat gelden voor die ingebedde systemen. De IGJ is en blijft daar de sectorale toezichthouder.

Onderwijs: Inspectie van het Onderwijs

AI voor toelating, toetsing en het volgen van studenten staat in Annex III als hoog-risico. De Inspectie van het Onderwijs is de voor de hand liggende toezichthouder voor onderwijsinstellingen en blijft dat in het beoogde stelsel.

Brussel houdt GPAI zelf: de Europese Commissie en het AI Office

Voor een belangrijke categorie loopt het toezicht niet via Den Haag maar via Brussel. Aanbieders van AI-modellen voor algemene doeleinden, zoals de grote taalmodellen, vallen onder exclusief toezicht van de Europese Commissie, uitgevoerd door het AI Office. Die verplichtingen gelden sinds 2 augustus 2025; vanaf 2 augustus 2026 kan de Commissie ook daadwerkelijk boetes opleggen aan modelaanbieders, tot 3 procent van de wereldwijde jaaromzet of 15 miljoen euro (artikel 101). Voor modellen die al voor 2 augustus 2025 op de markt waren, geldt een overgangstermijn tot 2 augustus 2027.

Voor de meeste Nederlandse organisaties is dit indirect relevant: wie GPAI-modellen alleen gebruikt of inbouwt, krijgt niet het AI Office op bezoek, maar heeft er wel belang bij dat leveranciers hun modelverplichtingen naleven. Neem dat mee in inkoop en contractering.

De Uitvoeringswet AI-verordening: wat ligt vast en wat nog niet

De AI Act verplicht lidstaten om nationale bevoegde autoriteiten aan te wijzen (artikel 70) en sanctieregels vast te stellen (artikel 99). Nederland doet dat via de Uitvoeringswet AI-verordening. Het kabinet bracht het wetsvoorstel op 20 april 2026 in consultatie; daarin krijgen AP en RDI de coördinerende rollen die hierboven staan, en wordt de AP met een speciale AI-functionaris toezichthouder voor domeinen zonder duidelijke sectorale toezichthouder.

Wees hier precies over, want dit onderscheid bepaalt van wie de brief kan komen:

  • Wat al vastligt: de Europese verplichtingen zelf. Verboden praktijken gelden sinds 2 februari 2025, de AI-geletterdheidsverplichting van artikel 4 eveneens, GPAI-verplichtingen sinds 2 augustus 2025, en de transparantieverplichtingen van artikel 50 worden op 2 augustus 2026 van kracht. Ook de boetekaders staan in de verordening: tot 35 miljoen euro of 7 procent van de wereldwijde jaaromzet voor verboden praktijken, tot 15 miljoen euro of 3 procent voor de meeste andere verplichtingen. En het AI Office kan vanaf 2 augustus 2026 handhaven richting GPAI-aanbieders, geheel los van Nederlandse wetgeving.
  • Wat nog via de uitvoeringswet moet: de formele aanwijzing van de Nederlandse toezichthouders en hun nationale boetebevoegdheid. Zolang de uitvoeringswet niet is aangenomen, kan een Nederlandse toezichthouder nog geen boete onder de AI Act opleggen. Dat is uitstel van de brief, geen afstel van de plicht: de verplichtingen gelden gewoon, en de AP kan via de AVG nu al optreden waar persoonsgegevens in het geding zijn.

Wat dit betekent voor bestuurders

De vraag "van wie komt de brief" heeft dus een gelaagd antwoord: van uw eigen sectorale toezichthouder als die er is, anders van de AP, van de RDI waar het om technische conformiteit gaat, en van de Europese Commissie als u zelf GPAI-modellen aanbiedt. De verstandige volgorde voor nu: breng eerst uw AI-systemen in kaart (zie de praktijkgids over het AI-register en de inventarisatieplicht), bepaal per systeem de risicoklasse via de AI Act Explorer, en richt uw governance zo in dat u richting elke toezichthouder hetzelfde verhaal kunt vertellen. De scherpste deadline is daarbij niet het toezichtstelsel zelf maar artikel 50: transparantieverplichtingen voor onder meer chatbots en AI-gegenereerde content worden op 2 augustus 2026 van kracht. Wie daarbij hulp wil bij het vertalen van dit toezichtslandschap naar een concrete governance-aanpak kan terecht bij Embed AI.

Veelgestelde vragen over toezicht op de AI Act in Nederland

Bronnen

EUR-Lex: Verordening (EU) 2024/1689 (AI-verordening) (geraadpleegd juli 2026)
Europese Commissie: AI Act Service Desk: application timeline (geraadpleegd juli 2026)
Rijksoverheid: Kabinet zet stap met toezicht op Europese AI-regels (geraadpleegd juli 2026)
Autoriteit Persoonsgegevens: Toezicht op AI wordt concreet: sleutelrol voor de AP en de RDI (geraadpleegd juli 2026)
Rijksinspectie Digitale Infrastructuur: Toezicht op AI: balans tussen veiligheid en innovatie (geraadpleegd juli 2026)