Ga naar inhoud

Gids · Bestuur & Governance · AI-governance

AI-risico's in de Verklaring Omtrent Risicobeheersing: wat je bestuur nu moet kunnen onderbouwen

De Verklaring Omtrent Risicobeheersing (VOR) verplicht het bestuur van een beursvennootschap om in het bestuursverslag te verklaren welk niveau van zekerheid de interne risicobeheersings- en controlesystemen geven dat operationele en compliancerisico's effectief worden beheerst. AI-gebruik valt daar rechtstreeks onder. Vanaf boekjaar 2025 is dat geen theoretische vraag meer, maar een verklaring met je handtekening eronder.

Laatst bijgewerkt: 12 juli 2026 · Door Marc Diks

TL;DR

  • De VOR staat sinds maart 2025 in de Nederlandse Corporate Governance Code (best practice 1.4.3) en is op 2 februari 2026 via een AMvB wettelijk verankerd (Staatsblad 2026, 15). Beursvennootschappen rapporteren voor het eerst in 2026 over boekjaar 2025.
  • Nieuw is dat het bestuur moet aangeven welk niveau van zekerheid de systemen geven dat operationele en compliancerisico's effectief worden beheerst. Dat is een uitspraak over resultaat, niet langer alleen over inspanning.
  • AI zit in vrijwel elk van die twee categorieën: shadow AI (operationeel), AI Act-verplichtingen (compliance), datalekken via AI-tools (beide), en onbeheerste AI-kosten (financieel en operationeel).
  • Beleggersorganisatie Eumedion onderzocht de eerste 28 jaarverslagen over 2025 en zag vooral juridische, "dubbelnegatief" geformuleerde verklaringen. Vaag formuleren is de norm, niet de uitzondering.
  • De VOR geldt formeel alleen voor beursvennootschappen. Toch werkt hij door naar niet-beursgenoteerde organisaties via ketenvragen, financiers, verzekeraars en toezichthouders.
  • Wat je nodig hebt is geen extra beleidsdocument, maar een bewijsdossier: aantoonbare beheersing van AI-gebruik dat een auditcommissie kan navragen.

Wat de VOR is en waarom AI erin thuishoort

De VOR is een schriftelijke verklaring van het bestuur over de opzet, werking en effectiviteit van het interne risicobeheersings- en controlesysteem. Hij staat in het bestuursverslag en is bedoeld om de transparantie over de beheersing van operationele, compliance- en verslaggevingsrisico's te vergroten.

De weg ernaartoe was lang. In 2023 bereikte een werkgroep onder leiding van Jaap van Manen overeenstemming tussen de schragende partijen (VNO-NCW, FNV, CNV, VEB, Eumedion, Euronext, VEUO en de NBA). In maart 2025 nam de Monitoring Commissie de VOR integraal op in de geactualiseerde Code. Op 2 februari 2026 werd die Code via een algemene maatregel van bestuur wettelijk aangewezen als gedragscode voor beursvennootschappen, gepubliceerd in Staatsblad 2026, 15.

Bewust is niet gekozen voor de term in control statement, zoals die in de Verenigde Staten onder SOx bestaat. Nederland stapt een station eerder uit: je verklaart niet dat je volledig in control bent, je verklaart welk inzicht en welke mate van zekerheid je hebt.

Tijdlijn van de VOR

MomentWat er gebeurde
December 2023Werkgroep Van Manen bereikt akkoord over de VOR met alle schragende partijen
Maart 2025Monitoring Commissie neemt de VOR op in Corporate Governance Code 2025 (bp 1.4.3)
Boekjaren vanaf 1 januari 2025De aangepaste verslagleggingsplicht geldt
2 februari 2026Wettelijke verankering via AMvB, Staatsblad 2026, 15
Voorjaar 2026Eerste VOR's verschijnen in de jaarverslagen over boekjaar 2025

Bron: Stibbe over de Code 2025 (opent in nieuw venster), NBA over de wettelijke verankering (opent in nieuw venster)

Waarom raakt dit AI? Omdat AI in de meeste organisaties geen apart risicodomein is, maar dwars door de bestaande domeinen heen loopt. Een medewerker die klantdata in een chatbot plakt is een operationeel en een privacyrisico. Een model dat verkeerde output produceert in een klantproces is een operationeel en een verslaggevingsrisico. Een AI-systeem dat onder de AI Act als hoog risico kwalificeert is een compliancerisico. De VOR dwingt je om over precies die twee categorieën, operationeel en compliance, een uitspraak te doen.

Mijn lens Ik zie in de praktijk twee soorten organisaties. De ene heeft een AI-beleid van vier kantjes en denkt daarmee klaar te zijn. De andere kan laten zien welke AI-tools er draaien, wie ze gebruikt, welke data eruit gaat en wat er misging. Alleen de tweede kan de VOR onderbouwen. Een beleidsstuk is geen bewijs.

Waar AI-risico's precies landen in bepaling 1.4.3

Best practice bepaling 1.4.3 vraagt het bestuur om met een duidelijke onderbouwing zes dingen te verklaren. In de Code 2022 waren dat er nog vier. De relevante uitbreiding zit in de vierde en vijfde:

  1. Dat het verslag voldoende inzicht geeft in tekortkomingen in de werking van de interne risicobeheersings- en controlesystemen.
  2. Dat die systemen een redelijke mate van zekerheid geven dat de financiële verslaggeving geen materiële onjuistheden bevat.
  3. Dat die systemen ten minste een beperkte mate van zekerheid geven dat de duurzaamheidsverslaggeving geen materiële onjuistheden bevat.
  4. Welk niveau van zekerheid die systemen geven dat de operationele en compliancerisico's effectief worden beheerst.
  5. Dat het gerechtvaardigd is de financiële verslaggeving op going concern-basis op te stellen.
  6. Plus de bijbehorende toelichting op materiële onzekerheden.

Bron: PwC over de gevolgen van de VOR (opent in nieuw venster)

Punt vier is de deur waardoor AI binnenkomt. Strategische risico's zijn bewust buiten de VOR gebleven, maar operationele en compliancerisico's staan er expliciet in. En daar zit AI.

Van AI-risico naar VOR-categorie

AI-risico in de praktijkVOR-categorieWat je moet kunnen aantonen
Medewerkers gebruiken niet-goedgekeurde AI-tools (shadow AI)Operationeel en complianceZicht op welke tools draaien, welke data eruit gaat, en welke maatregelen werken
Bedrijfs- of klantdata belandt in externe modellenCompliance (AVG)Verwerkersovereenkomsten, dataclassificatie, technische blokkades, incidentregistratie
Foutieve AI-output in een klant- of adviesprocesOperationeelMenselijke controle, foutregistratie, escalatiepad, meetbare foutmarges
AI-systeem kwalificeert als hoog risico onder de AI ActComplianceInventarisatie, rolbepaling (aanbieder of gebruiksverantwoordelijke), conformiteitsplan
Onbeheerste AI-kosten of vendor lock-inOperationeel en financieelKostenmonitoring, exit-scenario, leveranciersafhankelijkheid
Onvoldoende AI-geletterdheid bij personeelCompliance (AI Act art. 4)Trainingsregistratie, doelgroepbepaling, actualisatie

Elk van die rijen vraagt om bewijs, niet om een intentie. De auditcommissie brengt onder bepaling 1.5.3 (iv) verslag uit aan de raad van commissarissen over de wijze waarop de VOR is onderbouwd. Dat is de vraag die je krijgt: waarop is dit gebaseerd?

De vier AI-risico's die besturen nu niet kunnen onderbouwen

Uit de VOR-vraag "welk niveau van zekerheid geven jullie systemen" volgt een oncomfortabele tegenvraag: over welk AI-gebruik heb je überhaupt zicht? Vier risico's komen structureel terug, en op alle vier is het bewijs meestal dun.

1. Shadow AI

Medewerkers gebruiken AI-tools die niet zijn goedgekeurd, meestal omdat het werk er sneller van gaat. Blokkeren helpt niet, het verplaatst het gebruik alleen naar privételefoons en privé-accounts, waar je helemaal geen zicht meer hebt. Voor de VOR is dat fataal: je kunt geen zekerheidsniveau verklaren over gedrag dat je niet meet. Zie waarom shadow AI blokkeren niet werkt en wat er gebeurt als klantdata naar AI-tools gaat.

2. Onbetrouwbare output

Modellen produceren met volle overtuiging onjuiste antwoorden. In een marketingtekst is dat vervelend, in een schadedossier of een adviesbrief is het een operationeel risico met juridische staart. De vraag is niet of het gebeurt, maar of je registreert wanneer het gebeurt. Zie hoe AI-hallucinaties werken en waarom ze niet verdwijnen.

3. AI Act-compliance

Als je AI inzet voor werving, kredietbeoordeling of fraudedetectie, kom je in het hoog-risicoregime terecht. Dat is geen theorie, dat is bijlage III. Zonder inventarisatie weet je niet eens of je aanbieder of gebruiksverantwoordelijke bent. Zie de hub EU AI Act: praktische gids en geldt de AI Act voor mijn organisatie.

4. Kosten en afhankelijkheid

AI-kosten schalen mee met gebruik, en gebruik groeit sneller dan budgetten. Daarbovenop komt leveranciersafhankelijkheid: als een model verdwijnt, duurder wordt of van beleid verandert, staat je proces stil. Zie grip op AI-kosten en de kill switch tegen vendor lock-in.

De onderbouwingsketen

  1. AI-gebruik in de organisatie

  2. Eerste lijn: proceseigenaren registreren tools, data en incidenten

  3. Tweede lijn: risk en compliance toetsen beheersmaatregelen

  4. Derde lijn: internal audit toetst de werking

  5. Bestuur bepaalt zekerheidsniveau

  6. Auditcommissie toetst de onderbouwing en rapporteert aan de RvC

  7. VOR in het bestuursverslag

  8. Externe accountant: aanwezigheids- en verenigbaarheidstoets

De onderbouwingsketen van de VOR: van AI-gebruik op de werkvloer tot de toets door de externe accountant.

De keten is niet nieuw. Wat nieuw is, is dat AI er nooit expliciet in zat en er nu wel doorheen moet.

Mijn lens De blinde vlek zit zelden bij de techniek. Hij zit bij de vraag wie eigenaar is. Bij AI-risico's wijst IT naar de business, de business naar compliance en compliance naar het bestuur. In de VOR eindigt dat rondje: het bestuur tekent. Zie ook de blinde vlek in de boardroom.

Zekerheidsniveaus: wat verklaar je eigenlijk?

De VOR schrijft geen vast zekerheidsniveau voor operationele en compliancerisico's voor. Je kiest zelf, en je legt uit waarom. Dat is de principle based-kern van de bepaling, en tegelijk het lastigste onderdeel.

De NBA hield in juli 2025 een poll onder professionals uit de eerste, tweede en derde lijn over het niveau dat hun organisatie ambieert. De uitkomst:

Welk zekerheidsniveau ambiëren organisaties?

% van respondenten

Confined certainty
48%
Some certainty
32%
Certainty
16%
Minimal certainty
3%
Certainty per risk
0%
Bron: NBA-poll juli 2025, via accountant.nl.

Bron: NBA-bijeenkomst over de VOR, accountant.nl (opent in nieuw venster)

Certainty per risk koos niemand, waarschijnlijk vanwege de praktische complexiteit. Dat is precies het niveau dat voor AI het meest logisch zou zijn, omdat AI-risico's zich zeer ongelijk over processen verdelen. Het zegt iets dat organisaties dat niveau nog te zwaar vinden.

En hoe pakte het uit in de praktijk? Eumedion onderzocht de eerste 28 jaarverslagen over boekjaar 2025 en constateerde dat een "dubbelnegatief" geformuleerde verklaring over de effectieve beheersing van operationele en compliancerisico's het vaakst voorkwam. Dus geen uitspraak in de trant van "onze systemen geven redelijke zekerheid dat X beheerst is", maar formuleringen die juridisch dichtgetimmerd zijn en inhoudelijk weinig zeggen. Alle onderzochte besturen meldden wel dat hun systemen ten minste beperkte zekerheid bieden over de duurzaamheidsverslaggeving.

Bron: Eumedion over de eerste VOR's, accountant.nl (opent in nieuw venster)

Dat is voor jou strategisch relevant. De lat ligt in het eerste jaar laag. Wie wél iets concreets zegt over AI-beheersing, valt op bij beleggers en toezichthouders. Wie het vaag houdt, valt op zodra er een incident is. Want dan wordt de VOR teruggelezen.

Het aansprakelijkheidsargument

Dit is geen vrijblijvende exercitie. Doordat de Code een toetsbare norm bevat, committeert het bestuur zich publiekelijk aan een kwaliteitsoordeel. Bestuurders kunnen zich niet langer beroepen op een inspanningsverplichting. Bij ontoereikend risicomanagement en gebrekkige verklaringen kan sneller worden geoordeeld dat sprake is van kennelijk onbehoorlijk bestuur, met een persoonlijk ernstig verwijt als grondslag voor civielrechtelijke aansprakelijkheid. Bevat de VOR misleidende verklaringen, dan is hoofdelijke aansprakelijkheid van bestuurders mogelijk.

Bron: PwC (opent in nieuw venster)

Een VOR die stelt dat operationele risico's effectief beheerst worden, terwijl driekwart van je organisatie ongecontroleerd met AI-tools werkt, is dus geen slordigheid. Dat is een verklaring die je niet waar kunt maken.

Het AI Act-raakvlak en de verschoven tijdlijn

De AI Act levert de concrete compliancerisico's waar de VOR een uitspraak over vraagt. Die tijdlijn is in 2026 flink verschoven, en dat verandert wat je dit jaar redelijkerwijs kunt verklaren.

Het Europees Parlement stemde op 16 juni 2026 in met de Digital Omnibus, de Raad gaf op 29 juni 2026 definitief groen licht. De belangrijkste wijzigingen:

VerplichtingNieuwe datumWas
Hoog-risico AI, bijlage III (o.a. werving, kredietscoring, onderwijs, zorg)2 december 20272 augustus 2026
Hoog-risico AI, bijlage I (ingebouwd in gereguleerde producten)2 augustus 20282 augustus 2027
Watermerkverplichting voor aanbieders (art. 50 lid 2)2 december 20262 augustus 2026
Overige transparantieverplichtingen (art. 50)2 augustus 2026, ongewijzigd2 augustus 2026
AI-geletterdheid (art. 4)geldt al sinds 2 februari 2025, niet uitgesteld2 februari 2025
Verboden praktijken (art. 5)gelden al sinds 2 februari 20252 februari 2025

Bronnen: Europa decentraal (opent in nieuw venster), Gibson Dunn (opent in nieuw venster), DLA Piper (opent in nieuw venster)

Het uitstel wordt makkelijk overschat. Het geldt voor het zwaarste regime, niet voor het geheel. De verboden praktijken en de AI-geletterdheidsplicht gelden al ruim een jaar. De transparantieverplichtingen voor gebruiksverantwoordelijken gaan gewoon in op 2 augustus 2026. Wie in zijn VOR schrijft dat AI Act-compliance "onder controle is omdat de deadline is verschoven", verklaart iets onjuists.

Er is nog een adder. Het uitstel voor hoog-risico is niet onvoorwaardelijk in de tijd: de daadwerkelijke toepassingsdatum hangt samen met de gereedheid van geharmoniseerde normen. De eerste daarvan, EN 18286 voor AI-kwaliteitsmanagement, is op 11 juni 2026 goedgekeurd. Naarmate normen sneller komen, kan de druk eerder toenemen dan december 2027 doet vermoeden.

Voor de VOR-onderbouwing betekent dit iets simpels: je kunt niet verklaren dat je compliancerisico's beheerst als je niet weet welke AI-systemen je in huis hebt en in welke rol. Zie ook wat het uitstel van de AI Act echt betekende, de AI-trainingsplicht die al geldt en wie er in Nederland eigenlijk toezicht houdt.

Het bewijsdossier: hoe je de VOR aantoonbaar onderbouwt

De Code vraagt om een duidelijke onderbouwing. De externe accountant voert bij de VOR geen apart assurance-onderzoek uit naar de effectiviteit van je risicobeheersing, maar wel een aanwezigheidstoets, een verenigbaarheidstoets met de jaarrekening, en een toets of de VOR geen materiële onjuistheden bevat in het licht van wat de accountant tijdens de controle heeft gezien.

Bron: NBA over de aanpassing van Handreiking 1109 (opent in nieuw venster)

Dat betekent: je hoeft geen perfect systeem te hebben, maar je verklaring moet wel kloppen met wat er echt gebeurt. En dat vraagt om vastlegging.

Checklist: het AI-deel van je VOR-dossier

Checklist: het AI-deel van je VOR-dossier

  • Inventarisatie. Een actuele lijst van alle AI-systemen en AI-functionaliteit in gebruik, inclusief de AI die verstopt zit in bestaande software van leveranciers.
  • Rolbepaling. Per systeem: ben je aanbieder of gebruiksverantwoordelijke onder de AI Act? Dit bepaalt je hele verplichtingenpakket.
  • Risicoclassificatie. Per systeem: verboden, hoog risico, transparantieplichtig, of minimaal risico.
  • Dataroutes. Welke data gaat naar welk model, onder welke verwerkersovereenkomst, en met welke bewaartermijn.
  • Shadow AI-meting. Een feitelijke meting (niet een aanname) van niet-goedgekeurd AI-gebruik, en wat de trend is.
  • Menselijke controle. Waar in het proces zit een mens, wat controleert die precies, en is dat aantoonbaar.
  • Incidentregistratie. Geregistreerde AI-incidenten over het boekjaar, inclusief opvolging. Nul incidenten is geen goed teken, dat betekent meestal dat je niet meet.
  • Geletterdheid. Wie is getraind, waarop, wanneer, en hoe wordt dat actueel gehouden.
  • Kosten en continuïteit. Kostenontwikkeling per systeem en het exit-scenario per kritieke leverancier.
  • Tekortkomingen. De vastgestelde gebreken en de verbeteracties. De VOR vraagt expliciet om inzicht in tekortkomingen, dus die horen erin.

Dat laatste punt is het contra-intuïtieve. De VOR vraagt niet om een verklaring dat alles goed is. Hij vraagt om voldoende inzicht in wat níet goed werkt. Een AI-paragraaf die alleen successen benoemt, ondermijnt de geloofwaardigheid van de hele verklaring.

Mijn lens Als ik één ding zou schrappen uit een gemiddeld AI-beleid, dan is het de zin dat AI verantwoord wordt ingezet. Die zin is niet toetsbaar en dus waardeloos in een VOR. Vervang hem door: dit zijn de drie processen waar AI beslist, dit is de foutmarge die we meten, en dit is wat er gebeurt als het misgaat. Dan heb je iets waar een commissaris op kan doorvragen.

Zes hardnekkige misverstanden

"De VOR geldt niet voor ons, we staan niet aan de beurs." Formeel klopt dat. De Code richt zich op beursvennootschappen. In de praktijk werkt de verwachting door: financiers, verzekeraars, grote klanten en toezichthouders in gereguleerde sectoren stellen dezelfde vragen. Wie in een keten levert aan een beursfonds, krijgt de vraag alsnog.

"AI is een IT-onderwerp, dat hoort in de IT-paragraaf." AI beslist mee in klantprocessen, personeelsselectie en risicobeoordeling. Dat is bedrijfsvoering, niet infrastructuur. Bepaling 1.4.3 vraagt naar operationele en compliancerisico's, en daar valt het onder.

"De AI Act is uitgesteld, dus dit kan wachten." Het hoog-risicoregime is uitgesteld naar december 2027 en augustus 2028. De verboden praktijken, de geletterdheidsplicht en het merendeel van de transparantieverplichtingen niet. En de VOR zelf is helemaal niet uitgesteld, die geldt al over boekjaar 2025.

"We hebben AI-beleid, dus we zijn in control." Beleid is een intentie. De VOR vraagt naar de werking van systemen. Het verschil tussen die twee is precies wat een auditcommissie gaat toetsen.

"Als we geen AI-incidenten registreren, hebben we ze niet." Nul geregistreerde incidenten betekent bijna altijd dat er geen registratiemechanisme is. Dat is zelf een tekortkoming die in de VOR thuishoort.

"Vaag formuleren is veilig." Vaag formuleren is veilig tot het moment dat er iets misgaat. Dan wordt de VOR erbij gepakt en gelezen tegen de feiten. Een dubbelnegatieve formulering die suggereert dat risico's beheerst zijn terwijl er geen enkele meting onder ligt, is juridisch niet het veilige alternatief dat het lijkt.

Stappenplan: van nul naar onderbouwde AI-paragraaf

Je hoeft geen apart AI-risicoraamwerk te bouwen. Je moet AI aansluiten op het raamwerk dat je al hebt. Dit is de volgorde die werkt.

Stap 1. Inventariseer wat er draait (week 1 tot 3). Vraag niet welke AI-tools zijn goedgekeurd, maar welke worden gebruikt. Combineer een uitvraag met technische signalen: netwerkverkeer, SaaS-uitgaven, browserextensies. Neem AI-functionaliteit mee die is meegeleverd in bestaande software, want dat is de grootste blinde vlek.

Stap 2. Bepaal per systeem je rol en risicoklasse (week 3 tot 5). Aanbieder of gebruiksverantwoordelijke, en welke risicoklasse onder de AI Act. Zonder deze stap kun je geen enkele compliance-uitspraak onderbouwen. De AI-wet impactscanner helpt bij de eerste scoping.

Stap 3. Wijs eigenaarschap toe (week 4 tot 6). Per AI-toepassing één proceseigenaar in de eerste lijn. Geen gedeelde verantwoordelijkheid, want die is er geen. Dit is de stap die het vaakst wordt overgeslagen en die de hele keten blokkeert.

Stap 4. Meet in plaats van te veronderstellen (week 5 tot 10). Zet registratie op voor drie dingen: AI-gebruik, AI-incidenten, en AI-kosten. Met drie maanden data heb je iets te verklaren. Met nul data heb je alleen een mening.

Stap 5. Kies bewust een zekerheidsniveau (week 10 tot 12). Bespreek met de auditcommissie welk niveau je kunt onderbouwen voor het AI-deel. Confined certainty is verdedigbaar als je meet en tekortkomingen benoemt. Certainty is niet verdedigbaar als je shadow AI niet in beeld hebt.

Stap 6. Schrijf de tekortkomingen op (week 12). Benoem twee tot vier concrete gebreken met een verbeteractie en een termijn. Dat maakt de verklaring geloofwaardig en geeft je volgend jaar een meetlat.

Stap 7. Laat de tweede en derde lijn toetsen (doorlopend). Risk, compliance en internal audit toetsen de onderbouwing voordat het bestuur tekent. Dat is niet een formaliteit, dat is het verschil tussen een verklaring en een aanname.

Veelgestelde vragen

Wat is de Verklaring Omtrent Risicobeheersing (VOR)?

De VOR is een verklaring van het bestuur in het bestuursverslag over de opzet, werking en effectiviteit van de interne risicobeheersings- en controlesystemen. Hij staat in best practice bepaling 1.4.3 van de Nederlandse Corporate Governance Code 2025 en geldt voor boekjaren die beginnen op of na 1 januari 2025.

Vanaf wanneer is de VOR verplicht?

Vanaf boekjaar 2025. Beursvennootschappen rapporteren daarover voor het eerst in 2026. De Code is op 2 februari 2026 wettelijk verankerd via een AMvB, gepubliceerd in Staatsblad 2026, 15.

Moeten AI-risico's verplicht in de VOR staan?

De Code noemt AI niet als apart onderwerp. Maar de VOR vraagt om een uitspraak over de beheersing van operationele en compliancerisico's, en AI-gebruik veroorzaakt beide. Als AI materieel is in je bedrijfsvoering, hoort het in de onderbouwing.

Geldt de VOR ook voor niet-beursgenoteerde bedrijven?

Formeel niet. De Corporate Governance Code richt zich op beursvennootschappen. In de praktijk werkt de norm door via ketenpartijen, financiers, verzekeraars en sectorale toezichthouders.

Wat is het verschil tussen de VOR en een in control statement?

Bij een in control statement, zoals onder de Amerikaanse SOx-wetgeving, verklaart het bestuur dat de interne beheersing effectief is. De VOR gaat minder ver: je verklaart welk niveau van zekerheid je systemen geven en welk inzicht je hebt in tekortkomingen.

Welk zekerheidsniveau moet ik kiezen voor AI-risico's?

Dat schrijft de Code niet voor, je kiest zelf en licht toe waarom. Kies een niveau dat je met bewijs kunt onderbouwen. Uit een NBA-poll bleek confined certainty het meest gekozen (48%), gevolgd door some certainty (32%).

Wat controleert de accountant aan de VOR?

De externe accountant doet een aanwezigheidstoets, een verenigbaarheidstoets met de jaarrekening, en beoordeelt of de VOR geen materiële onjuistheden bevat in het licht van de kennis uit de jaarrekeningcontrole. Er is geen apart assurance-oordeel over de effectiviteit van de risicobeheersing.

Wat gebeurt er als de VOR niet klopt?

Bij ontoereikend risicomanagement en gebrekkige verklaringen kan eerder worden geoordeeld dat sprake is van kennelijk onbehoorlijk bestuur, wat de basis legt voor civielrechtelijke aansprakelijkheid. Bij misleidende verklaringen is hoofdelijke aansprakelijkheid van bestuurders mogelijk.

Is de AI Act uitgesteld, dus kan mijn VOR-AI-paragraaf wachten?

Nee. Het hoog-risicoregime schuift naar 2 december 2027 (bijlage III) en 2 augustus 2028 (bijlage I), maar de verboden praktijken, de AI-geletterdheidsplicht en het merendeel van de transparantieverplichtingen niet. De VOR zelf is bovendien niet uitgesteld.

Hoe begin ik als we nog niets hebben vastgelegd?

Begin met een inventarisatie van het AI-gebruik dat er feitelijk is, inclusief shadow AI, en zet registratie op voor gebruik, incidenten en kosten. Zonder data kun je geen enkel zekerheidsniveau onderbouwen.

Verder verdiepen

AI-governance en de bestuurstafel - AI-governance: hoe je AI bestuurbaar maakt - De blinde vlek in de boardroom - Open source AI als bestuurlijke noodzaak - AI due diligence bij overnames - Wat een AI-strategie van een CEO vraagt

Shadow AI en AI-gebruik in de organisatie - Shadow AI blokkeren werkt niet - Klantdata uploaden naar AI - De vier AI-gebruikers in je organisatie - Waarom je die AI-skill nooit moet downloaden

Regelgeving en toezicht - EU AI Act: praktische gids voor organisaties - Geldt de AI Act voor mijn organisatie? - Het uitstel van de AI Act - De AI-trainingsplicht in 2026 - Tien toezichthouders op AI - AI-toezicht bij verzekeraars

Kosten, afhankelijkheid en betrouwbaarheid - Grip op AI-kosten - De kill switch tegen vendor lock-in - Weet jij of je een wrapper inkoopt? - AI-hallucinaties en wat eraan te doen is

Over de auteur

Marc Diks werkt op het snijvlak van AI-strategie en bestuurlijke besluitvorming, met een achtergrond in online sales en de financiële sector. Hij schrijft over wat AI betekent voor de bestuurstafel: niet als technologiethema, maar als vraag over verantwoording, kosten en risico.

Aan de slag

Weet je of jouw AI-toepassingen onder de AI Act vallen?

Gebruik de AI-wet impactscanner als startpunt voor je inventarisatie, en ontdek welke verplichtingen bij jouw AI-systemen horen.

Doe de AI-wet impactscanner

Gepubliceerd: 12 juli 2026 · Auteur: Marc Diks