Welke toezichthouder controleert jouw AI-tool? Het nieuwe Nederlandse AI-toezicht uitgelegd
AI Act, Compliance
Je hoort iemand zeggen dat de AI Act er aankomt en dat je "iets moet regelen." Maar bij wie moet je dan aankloppen als er een probleem is? Wie controleert straks of jij de regels volgt? Het antwoord is niet zo eenvoudig als je zou willen: in Nederland zijn tien toezichthouders bevoegd op het gebied van de AI Act, elk met hun eigen domein.
Dat klinkt ingewikkeld, maar het valt mee zodra je weet in welk hokje jouw organisatie valt. De meeste bedrijven hoeven maar met een of twee toezichthouders rekening te houden. En voor de meeste mkb-bedrijven is dat een sectorale autoriteit die ze al kennen, aangevuld met de Autoriteit Persoonsgegevens.
In dit artikel vind je een beslisboom om te achterhalen welke toezichthouder voor jou relevant is, en drie concrete stappen die je voor augustus 2026 moet zetten.
Waarom tien toezichthouders?
De EU koos er bewust voor om geen nieuwe centrale AI-autoriteit op te richten. In plaats daarvan worden bestaande sectorale toezichthouders uitgebreid met AI-bevoegdheden. De redenering: een autoriteit die de financiele sector al kent, begrijpt ook de risico's van kredietbeoordelingsalgoritmen beter dan een generieke AI-instantie dat ooit zou kunnen.
Nederland heeft die aanpak omarmd en tien autoriteiten aangewezen. De Rijksinspectie Digitale Infrastructuur (RDI) fungeert als centraal contactpunt voor de AI Act en coordineert de nationale handhaving. Maar de RDI gaat niet zelf bedrijven beboeten voor AI in de gezondheidszorg of financiele dienstverlening. Dat doen de sectorale toezichthouders die daar al jaren actief zijn.
Het systeem is beheersbaar zodra je jouw sector hebt bepaald. Dat is de sleutel.
De AP: verboden AI en hoog-risicosystemen
De Autoriteit Persoonsgegevens heeft onder de AI Act twee afzonderlijke rollen, en het is belangrijk die uit elkaar te houden.
De eerste rol is het handhaven van de verboden AI-praktijken onder Artikel 5 van de AI Act. Dat zijn de toepassingen die simpelweg niet mogen: biometrische categorisatie op basis van gevoelige kenmerken, sociale scoring door overheden en bedrijven, manipulatieve AI die mensen benadert via hun kwetsbaarheden, en realtime gezichtsherkenning in openbare ruimtes. Deze verboden zijn al van kracht sinds 2 februari 2025 en de AP is bevoegd om te handhaven, ongeacht de sector.
De tweede rol betreft hoog-risico AI-systemen die persoonsgegevens verwerken. Stelt een AI-systeem beslissingen voor over individuele mensen op basis van persoonsgegevens, dan is de AP altijd aanvullend bevoegd naast de sectorale toezichthouder. Een recruitmenttool die persoonsprofelen analyseert valt dus zowel onder de NLA als onder de AP.
Dit dubbele toezicht betekent in de praktijk dat de AP voor vrijwel elke organisatie relevant is. De meeste AI-toepassingen in een bedrijfsomgeving verwerken immers persoonsgegevens van medewerkers of klanten.
Sectorale toezichthouders per branche
De AFM en DNB zijn bevoegd voor de financiele sector. Denk aan kredietbeoordelingsmodellen, algoritmische handelsstrategieen en fraudedetectiesystemen bij banken, verzekeraars en andere financiele instellingen. Als jouw organisatie onder het toezicht van AFM of DNB valt, dan gelden die autoriteiten ook voor jouw AI-toepassingen.
De Inspectie Gezondheidszorg en Jeugd (IGJ) is verantwoordelijk voor medische AI. Dat omvat diagnostische hulpmiddelen, AI-ondersteunde behandeladviezen en systemen die bepalen welke zorg een patient krijgt. Dit is een domein waar de risico's van verkeerde beslissingen direct levensbedreigend kunnen zijn, en de regels zijn dienovereenkomstig streng.
De Nederlandse Arbeidsinspectie (NLA) houdt toezicht op AI in de arbeidsmarkt. Dit is het domein dat veel mkb-bedrijven onderschatten. Een recruitmentplatform dat cv's rankt, een HR-tool die functioneringsgesprekken analyseert, een roosterapplicatie die medewerkers beoordeelt: al deze systemen vallen onder de NLA. Als jouw bedrijf AI inzet bij het aannemen, beoordelen of ontslaan van medewerkers, is de NLA jouw primaire toezichthouder op dat vlak. Veel organisaties denken dat ze "alleen maar een SaaS-tool van een leverancier gebruiken," maar de AI Act legt ook verplichtingen op aan de gebruiker, niet alleen aan de softwarebouwer.
De Autoriteit Consument en Markt (ACM) is bevoegd voor AI in het consumentendomein. Denk aan aanbevelingsalgoritmen die consumentengedrag sturen, AI in prijsstellingsystemen, en geautomatiseerde beslissingen die invloed hebben op consumentenrechten.
De Nederlandse Voedsel- en Warenautoriteit (NVWA) is verantwoordelijk voor AI in de voedselketen en productieprocessen. De Inspectie Leefomgeving en Transport (ILT) houdt toezicht op AI in transport, logistiek en infrastructuur.
Welke toezichthouder geldt voor mij? (beslisboom)
Je kunt je situatie bepalen door vier vragen in volgorde te beantwoorden.
Vraag 1: Betreft het een verboden AI-praktijk? Denk aan sociale scoring, realtime biometrische identificatie in openbare ruimtes, of AI die kwetsbare groepen manipuleert. Als het antwoord ja is, dan is de AP bevoegd. Stop hier.
Vraag 2: In welke sector opereert de AI-toepassing? Gebruik de sectormapping hierboven om de bevoegde sectorale toezichthouder te identificeren. Financiele diensten wijzen naar AFM/DNB, zorg naar IGJ, HR en arbeidsmarkt naar NLA, consumentenmarkt naar ACM, voedsel naar NVWA, transport naar ILT.
Vraag 3: Verwerkt het systeem ook persoonsgegevens? Als het antwoord ja is, dan is de AP aanvullend bevoegd naast de sectorale toezichthouder. In de meeste praktijksituaties is dit het geval.
Vraag 4: Past jouw toepassing in geen van de bovenstaande categorieen? Dan is de RDI het aangewezen contactpunt.
Voor de meeste mkb-bedrijven leidt deze beslisboom tot een combinatie van de NLA of ACM (voor HR- of consumenten-AI) plus de AP (omdat er vrijwel altijd persoonsgegevens in het spel zijn). Die combinatie is beheersbaar. Je hebt met twee autoriteiten te maken in plaats van tien.
Wat moet je voor augustus 2026 regelen?
De volledige handhaving van de verplichtingen voor hoog-risico AI-systemen begint op 2 augustus 2026. Dat is de harde deadline. De verboden AI-praktijken worden al gehandhaafd, maar voor hoog-risico toepassingen is augustus het keerpunt.
Begin met het inventariseren van al je AI-tools. Dat klinkt eenvoudig, maar veel organisaties onderschatten hoeveel AI er al actief is in hun systemen. AI-features zijn soms ingebakken in standaardsoftware: je CRM, je HR-platform, je boekhoudsoftware. Loop alle softwaretools na en vraag bij elke leverancier na of er AI-functionaliteit in zit. Meer over hoe je dat aanpakt, lees je via onze AI Act compliance software voor mkb.
Daarna bepaal je de risicoklasse per systeem aan de hand van de AI Act-criteria. Hoog-risico systemen vragen om documentatie, menselijk toezicht en in sommige gevallen registratie in de EU-database. Beperkt-risico systemen vragen om transparantie richting gebruikers. Minimaal-risico systemen hoeven alleen in je inventaris te staan. Gebruik hiervoor de AI Act risicoklasse beslisboom die we eerder publiceerden.
Tot slot stel je vast welke toezichthouder bevoegd is per toepassing, op basis van de beslisboom in dit artikel. Dat bepaalt aan welke eisen je precies moet voldoen en bij wie je terecht kunt met vragen. Voor organisaties die ook persoonsgegevens verwerken, is een link met je GDPR-documentatie zinvol. De GDPR features in ComplianceHive zijn zo opgezet dat je AI Act en AVG-compliance in dezelfde omgeving bijhoudt.
Wil je je AI-tools systematisch documenteren? In ComplianceHive houd je je AI-systeem register bij op een centrale plek, met automatische risicoklasse-toekenning en leveranciersgegevens erbij. Zo weet je bij elke toepassing precies welke toezichthouder bevoegd is en wat er nog geregeld moet worden voor augustus 2026.