De vraag komt in vrijwel elke bestuursvergadering over AI op tafel, meestal aan het einde, als de dia's over risico's en deadlines geweest zijn: wie pakt dit eigenlijk op? De blikken gaan naar de functionaris gegevensbescherming, die aangeeft dat de AI Act breder is dan privacy. Dan naar de CISO, die zegt dat dit meer is dan security. Iemand oppert een AI-officer aan te stellen, want dat zou toch verplicht zijn. En daar begint het misverstand.
Het directe antwoord: de EU AI Act wijst geen enkele verplichte functionaris aan. Er bestaat geen wettelijke AI-officer-plicht, geen verplichte AI-compliance-functie en geen AI-equivalent van de functionaris gegevensbescherming uit de AVG. De verplichtingen uit de verordening rusten op de organisatie als aanbieder of gebruiksverantwoordelijke van AI-systemen. En wie de organisatie is, is uiteindelijk het bestuur: dat draagt de eindverantwoordelijkheid voor naleving, precies zoals bij elke andere wettelijke verplichting die op de rechtspersoon rust. De praktische vraag is dus niet wie er wettelijk moet worden aangesteld, maar hoe je de verantwoordelijkheid intern zo belegt dat er daadwerkelijk iets gebeurt.
Wat de wet wel en niet regelt
De AI Act werkt met rollen op organisatieniveau. Een organisatie is aanbieder als zij een AI-systeem ontwikkelt of onder eigen naam op de markt brengt, en gebruiksverantwoordelijke als zij een AI-systeem onder eigen verantwoordelijkheid inzet. Aan die rollen hangen verplichtingen: van het staken van verboden praktijken (sinds februari 2025 handhaafbaar) tot transparantieverplichtingen voor onder meer chatbots en AI-gegenereerde content die op 2 augustus 2026 van kracht worden, en de zwaardere eisen voor hoog-risicosystemen die via de Digital Omnibus zijn verschoven naar december 2027.
Wat in al die bepalingen ontbreekt: een aanwijzingsplicht voor een specifieke functionaris. De AVG kent die constructie wel, met de verplichte functionaris gegevensbescherming voor bepaalde organisaties. De AI Act heeft daar bewust niet voor gekozen. De wetgever legt de nalevingsplicht bij de entiteit en laat de interne inrichting vrij.
Dat is geen vrijbrief om het onderwerp onbelegd te laten. Wie bij een incident of een vraag van de toezichthouder niet kan laten zien hoe naleving is georganiseerd, heeft een probleem dat direct op het bordje van het bestuur landt. De boetes zijn niet symbolisch: tot 35 miljoen euro of 7 procent van de wereldwijde jaaromzet voor verboden praktijken, en tot 15 miljoen euro of 3 procent voor de meeste andere verplichtingen, via de toezichthouder. In Nederland wordt dat toezicht belegd bij de Autoriteit Persoonsgegevens als coördinerend algoritmetoezichthouder en de Rijksinspectie Digitale Infrastructuur; het kabinet diende in april 2026 het uitvoeringswetsvoorstel in dat die aanwijzing formeel regelt.
Waarom het bestuur niet kan delegeren wat het niet kan delegeren
Bestuurders delegeren de uitvoering van compliance voortdurend, en terecht. Maar de eindverantwoordelijkheid voor naleving van wetgeving die op de rechtspersoon rust, blijft bij het bestuur. Dat betekent concreet drie dingen.
Ten eerste: het bestuur moet weten welke AI-systemen de organisatie gebruikt en in welke risicocategorie die vallen. Zonder een actuele AI-inventarisatie is elke governance-discussie een discussie over een lege kaart.
Ten tweede: het bestuur moet de rolverdeling vaststellen en van middelen voorzien. Een compliance-structuur zonder mandaat en budget is een organogram, geen governance.
Ten derde: het bestuur moet periodiek rapportage ontvangen en daarop sturen. AI Act compliance is geen project met een einddatum maar een doorlopende verplichting, zeker nu de deadlines gefaseerd binnenkomen: transparantie in augustus 2026, GPAI-handhaving vanaf datzelfde moment, hoog-risico eind 2027.
Een werkbare rolverdeling
Omdat de wet de inrichting vrijlaat, mag je aansluiten bij de structuur die er al staat. In de praktijk werkt een verdeling langs deze lijnen, geformuleerd als een RACI in gewone taal.
Het bestuur is eindverantwoordelijk (accountable). Het stelt het AI-beleid vast, keurt de rolverdeling goed, ontvangt rapportage en beslist over systemen met een hoog risicoprofiel. Bij een organisatie met een raad van commissarissen of raad van toezicht hoort AI-governance ook daar periodiek op de agenda.
De proceseigenaar per AI-systeem is uitvoerend verantwoordelijk (responsible). Dit is de eigenaar van het bedrijfsproces waarin het systeem draait: de HR-directeur voor het recruitment-systeem, de operationeel manager voor de planningstool. De proceseigenaar kent het gebruik, ziet afwijkingen als eerste en is de logische plek voor het menselijk toezicht dat artikel 14 voor hoog-risicosystemen vereist. Verantwoordelijkheid beleggen bij wie het systeem daadwerkelijk gebruikt, voorkomt dat compliance een papieren werkelijkheid wordt naast de operationele.
De functionaris gegevensbescherming wordt geraadpleegd (consulted) op het privacy-raakvlak. Vrijwel elk AI-systeem dat over mensen beslist, verwerkt persoonsgegevens. De FG beoordeelt de AVG-kant, adviseert over DPIA's en bewaakt de samenhang tussen beide kaders. Maar de FG is niet automatisch de AI-officer: de AI Act omvat productveiligheid, technische documentatie, logging en toezichtseisen die buiten het profiel en vaak buiten het mandaat van de FG vallen. De FG belasten met de volledige AI Act is de snelste manier om beide taken te laten mislukken.
De CISO is uitvoerend verantwoordelijk voor de security-dimensie. Robuustheid, toegangsbeheer, logging en de weerbaarheid van AI-systemen tegen manipulatie sluiten direct aan op het bestaande security-domein. Voor financiële instellingen komt daar de samenloop met DORA bij, dat sinds januari 2025 van toepassing is.
Compliance en legal zetten de kaders (consulted, deels responsible). Zij vertalen de verordening naar intern beleid, beoordelen contracten met AI-leveranciers, volgen de ontwikkelingen rond de Digital Omnibus en de uitvoeringswet, en toetsen of de praktijk aan het beleid voldoet.
Iedereen die met AI-systemen werkt, wordt geïnformeerd en getraind (informed). AI-geletterdheid onder artikel 4 is sinds februari 2025 van kracht. Zie het niet als een sanctierisico op zichzelf, maar als de voorwaarde waaronder al het bovenstaande werkt: menselijk toezicht is alleen reëel als de mensen die toezicht houden begrijpen waar ze naar kijken.
Waarom een coördinerende AI-governance-rol wel loont
Geen verplichting dus. Maar wie de rolverdeling hierboven leest, ziet het risico meteen: vijf functies met elk een deel van de puzzel, en niemand die het geheel bewaakt. Dat is precies waarom een coördinerende rol in de praktijk loont, ook zonder wettelijke plicht.
Die rol, noem het AI-governance-coördinator of AI-officer als dat intern beter landt, houdt de AI-inventarisatie actueel, bewaakt de deadlines, agendeert nieuwe systemen voor risicoclassificatie, organiseert de rapportage aan het bestuur en is het interne loket voor vragen. Bij kleinere organisaties is dit een taak van een bestaande functie, vaak compliance of legal, van enkele uren per week. Bij grotere organisaties met veel AI-systemen groeit het naar een volwaardige functie, soms ingebed in een AI-governance-board waarin de genoemde disciplines samenkomen.
Wie dit koppelt aan een managementsysteem, bijvoorbeeld langs de lijnen van ISO 42001, geeft de coördinerende rol bovendien een structuur die auditeerbaar is. Hoe die norm zich tot de AI Act verhoudt, staat in een eerdere analyse op dit platform.
Hoe je dit deze maand regelt
Voor een bestuurder die dit wil beleggen, is de volgorde overzichtelijk:
- Stel vast dat het bestuur eindverantwoordelijk is en leg dat vast in een kort AI-beleid of bestuursbesluit.
- Laat een AI-inventarisatie maken of actualiseren, met per systeem de rol van de organisatie en de voorlopige risicocategorie. Het overzicht van verplichtingen per categorie staat in de AI Act Explorer.
- Wijs per systeem een proceseigenaar aan en benoem één coördinator met mandaat en tijd.
- Betrek FG, CISO en legal formeel in de structuur, met heldere raakvlakken in plaats van gedeelde vaagheid.
- Plan de rapportagecyclus, met 2 augustus 2026 (transparantieverplichtingen en start van de GPAI-handhaving) als eerstvolgende ijkpunt.
Wie hierbij een externe blik wil, bijvoorbeeld om de rolverdeling te toetsen of de eerste inventarisatie en risicoclassificatie te begeleiden, kan terecht bij Embed AI.
De kern blijft eenvoudig. De wet vraagt niet om een titel op een visitekaartje. De wet vraagt om een organisatie die kan laten zien dat zij haar AI-systemen kent, de risico's beheerst en de verantwoordelijkheid belegd heeft. Wie dat op orde heeft, heeft de vraag uit de bestuursvergadering beantwoord, ongeacht hoe de functie heet.