Sinds 20 april weten we wie in Nederland toezicht gaat houden op jouw AI. En de eerste die je zou moeten bellen, ken je waarschijnlijk niet.
Een ondernemer die ik goed ken wilde vorige week weten welke toezichthouder over zijn AI gaat. Niet de Autoriteit Persoonsgegevens, zoals iedereen roept, maar een inspectie waarvan geen van ons had gehoord. Ik snapte zijn verwarring.
Dat is best een belangrijk detail. Sinds 20 april ligt het voorstel er: tien toezichthouders, elk voor hun eigen sector.
TL;DR
- Tien toezichthouders, twee coördinatoren. Op 20 april 2026 bracht het kabinet de concept-Uitvoeringswet AI-verordening in consultatie: tien bestaande toezichthouders krijgen elk hun eigen sector, met de Autoriteit Persoonsgegevens en de Rijksinspectie Digitale Infrastructuur als coördinatoren.
- De RDI is je eerste belletje, niet de AP. Val je niet netjes onder één sector, de situatie voor de meeste MKB'ers, dan is de RDI het Centraal Contactpunt en de AP het vangnet voor hoog-risico AI zonder duidelijke sector.
- Nog een voorstel, geen wet. De consultatie liep tot 1 juni en het voorstel moet nog door de Tweede en Eerste Kamer — de definitieve taakverdeling kan nog verschuiven.
- De plichten lopen al, los van de handhaver. De verordening zelf werkt rechtstreeks: AI-geletterdheid geldt al sinds februari 2025, de hoofdmoot volgt op 2 augustus 2026.
- Voor de meeste MKB'ers is het smal. Twee dingen tellen echt: maak je AI herkenbaar (transparantie) en maak je mensen AI-geletterd.
Wat er op 20 april op tafel kwam
Lange tijd was de grote onbekende bij de EU AI-verordening niet wat er moest gebeuren, maar wie er in Nederland op zou toezien. Die vraag is nu beantwoord. Op 20 april 2026 stuurde staatssecretaris Aerdts, verantwoordelijk voor Digitale Economie en Soevereiniteit, de concept-Uitvoeringswet AI-verordening de internetconsultatie in. Iedereen kon er tot 1 juni op reageren, waarna het voorstel naar de Tweede en Eerste Kamer gaat.
Het kabinet kiest bewust niet voor één nieuwe AI-superwaakhond. In plaats daarvan krijgen tien bestaande toezichthouders er een taak bij, elk binnen het domein dat ze nu al kennen. De gedachte erachter is simpel: als ondernemer heb je straks zoveel mogelijk te maken met een instantie waar je al bekend mee bent, en niet met een nieuw loket dat je nog moet leren kennen.
Even dit vasthouden voordat je in de stress schiet: dit is een voorstel, geen wet. De uiteindelijke verdeling kan tijdens de behandeling in de Kamer nog veranderen. Maar de richting is duidelijk, en dat is precies waarom die oude smoes dat niemand wist wie erop toezag zijn houdbaarheid verliest.
De kaart: tien loketten in één blik
Hieronder de tien op een rij, met het type AI dat onder elk loket valt. Twee ervan, de AP en de RDI, krijgen bovenop hun eigen toezicht ook een coördinerende rol: zij bewaken de samenwerking en de kennisdeling tussen de rest.
| Toezichthouder | Waar het loket over gaat (AI) |
|---|---|
| Autoriteit Persoonsgegevens (AP) (opent in nieuw venster) | Verboden AI (art. 5), transparantie zoals herkenbare chatbots en deepfakes (art. 50), en een groot deel van de hoog-risico toepassingen uit Bijlage III (werving en selectie, onderwijs, uitkeringen, opsporing). Plus het vangnet voor alles zonder duidelijke sector. Coördinator. |
| Rijksinspectie Digitale Infrastructuur (RDI) (opent in nieuw venster) | Algoritmes in telecom en de digitale infrastructuur. Centraal Contactpunt voor al je vragen. Coördinator. |
| Autoriteit Consument en Markt (ACM) (opent in nieuw venster) | Misleidende algoritmes en oneerlijke aanbevelingen richting consumenten. |
| Autoriteit Financiële Markten (AFM) (opent in nieuw venster) | AI in financiële dienstverlening, beleggingsadvies en vermogensbeheer. |
| De Nederlandsche Bank (DNB) (opent in nieuw venster) | AI bij financiële instellingen, vanuit prudentieel toezicht. |
| Nederlandse Voedsel- en Warenautoriteit (NVWA) (opent in nieuw venster) | AI in producten die onder productveiligheid vallen. |
| Nederlandse Arbeidsinspectie (NLA) (opent in nieuw venster) | AI in arbeidsmiddelen en producten onder productveiligheid. |
| Inspectie Gezondheidszorg en Jeugd (IGJ) (opent in nieuw venster) | AI in medische hulpmiddelen en de zorg. |
| Inspectie Leefomgeving en Transport (ILT) (opent in nieuw venster) | AI in producten en kritieke infrastructuur die al onder ILT vallen. |
| Procureur-generaal bij de Hoge Raad (PGHR) (opent in nieuw venster) | Hoog-risico AI in de rechtspraak. |
Kijk er even rustig naar. De meeste namen op deze lijst horen bij sectoren met zware, specifieke regels: banken, ziekenhuizen, voedselveiligheid, telecom, de rechtspraak. Dat is geen toeval. En het verklaart waarom de kaart voor jou waarschijnlijk anders uitpakt dan je denkt.
Het loket dat niemand kent
In vrijwel elk bericht over dit onderwerp gaat de aandacht naar de Autoriteit Persoonsgegevens. Begrijpelijk, want de AP is sinds 2023 de coördinerend toezichthouder op algoritmes en krijgt in het voorstel het grootste brok: de verboden AI-praktijken, de transparantieregels, en een groot deel van de hoog-risico toepassingen.
Maar kijk je naar hoe het voorstel in elkaar zit, dan zie je iets anders. De Rijksinspectie Digitale Infrastructuur, de RDI, wordt het Centraal Contactpunt. Dat is het loket waar ondernemers, politiek en publiek met hun vragen terechtkunnen. Weet je niet zeker welke van de tien over jou gaat, dan is de RDI je eerste belletje. Niet de AP.
En voor alles wat hoog-risico is maar in geen enkele duidelijke sector past, springt de AP in als vangnet. Het eerlijke antwoord op de vraag van die ondernemer, wie houdt er toezicht op mijn AI, is voor een doorsnee MKB-bedrijf dus: waarschijnlijk niemand met een eigen sector, en dan de RDI als aanspreekpunt met de AP als achtervang. Een naam die bijna geen ondernemer kent, en een instantie die je waarschijnlijk vooral met privacy associeert.
Ik vind dat tekenend. Het stelsel is gebouwd om herkenbaar te zijn voor wie al onder een toezichthouder valt, en laat juist de ondernemer die ertussenin valt zelf zoeken.
Volg mij op LinkedIn
Waarom negen van de tien waarschijnlijk niet over jou gaan
Tien toezichthouders klinkt als tien keer zoveel gedoe. Voor de meeste ondernemers is het eerder een kaart van sectoren waar je niet in zit. Run je een marketingbureau, een lokale dienstverlener of een webshop, dan gaan de loketten voor financiële instellingen, medische hulpmiddelen, productveiligheid en de rechtspraak simpelweg niet over jou.
Dat komt door de opzet van de verordening zelf. De regels zijn risicogebaseerd, wat betekent dat de eisen zwaarder worden naarmate het risico van een AI-systeem groter is. De zwaarste verplichtingen liggen bij wie hoog-risico AI bouwt of inzet, en de meeste MKB'ers doen dat niet. Ze gebruiken gewone tools, zoals ChatGPT voor teksten of Copilot in Office. Dat maakt de kaart een stuk minder eng dan de kop erboven suggereert. Of de verordening sowieso op jouw organisatie van toepassing is, werk ik apart uit in geldt de AI Act voor mijn organisatie.
Er is één streep die je wel moet trekken. Zet je AI in die echt over mensen beslist, dan verandert het beeld. Denk aan een systeem dat cv's schift in werving en selectie, dat kredietwaardigheid inschat, of dat bepaalt wie toegang krijgt tot een dienst. Dan zit je in de hoog-risico categorie, en dan is die tak van de AP wél direct van jou. Dat is de vraag die je jezelf moet stellen: beslist mijn AI ergens over een mens, of ondersteunt hij alleen mijn eigen werk?
Wat dan wél telt: twee dingen
Voor de doorsnee MKB'er die AI gebruikt en niet bouwt, komt het neer op twee verplichtingen. Geen kathedraal aan compliance, wel twee dingen die echt gelden.
Transparantie. Maak je AI herkenbaar. Praat een chatbot met je klanten, zeg dan dat het een bot is. Publiceer je door AI gegenereerde beelden of teksten, dan moet dat als zodanig te herkennen zijn. Dit valt onder artikel 50 van de verordening en het is de AP die erop let. In de praktijk struikelt juist marketinggedreven MKB hier, omdat AI-content daar het snelst en het meest onopgemerkt binnenkomt.
AI-geletterdheid. Deze plicht geldt al, sinds 2 februari 2025, en volgt uit artikel 4. Je mensen moeten genoeg kennis en begrip hebben om AI verantwoord te gebruiken. Hoe je dat concreet aanpakt heb ik apart uitgewerkt in AI-trainingsplicht 2026, en de AP goot het in oktober 2025 in een vierstappenplan in haar handreiking Verder bouwen aan AI-geletterdheid: identificeren, doelen stellen, uitvoeren, en evalueren. Ik ga dat hier niet overdoen, maar de kern is dat het lichter is dan de meeste ondernemers vrezen.
Eén ding dat vaak wordt vergeten: leg je aanpak vast. Houd kort bij welke AI je gebruikt, wie ermee werkt, en wat je aan geletterdheid doet. Niet voor de bureaucratie, maar omdat een gebrek aan geletterdheid kan meewegen op het moment dat er ooit een incident wordt beoordeeld. Een intern document van een paar pagina's is genoeg, mits je het bijhoudt.
Zit je wél in de financiële sector, dan ligt het net anders, want daar verdelen de AFM en DNB het toezicht samen. Hoe dat zit schreef ik eerder in AI-toezicht bij verzekeraars. Voor de rest geldt: bouw geen zwaar traject voor een plicht die op een ansichtkaart past.
"Nog niet af" is geen "je kunt wachten"
Hier zit de valkuil. Het is een voorstel dat tot 1 juni in consultatie lag, en daarna moet het door twee Kamers. Veel ondernemers lezen "nog niet definitief" als "ik kan nog even wachten". Dat is precies de verkeerde les.
De Nederlandse wet regelt namelijk alleen wie er handhaaft. De plichten zelf staan in de Europese verordening, en die werkt rechtstreeks, los van het moment waarop de Nederlandse handhavingsstructuur staat. De geletterdheidsplicht loopt al sinds februari 2025. De hoofdmoot van de verordening, inclusief de hoog-risico-eisen en de transparantieregels, wordt van kracht op 2 augustus 2026. Hoog-risico AI die in gereguleerde producten zit, volgt op 2 augustus 2027. Er loopt in Brussel nog een Digital Omnibus die aan die fasering kan schuiven, dus de exacte datums staan niet in beton. Maar dat de handhaver nog niet is benoemd, heeft nooit betekend dat de regels nog niet gelden.
Er zit ook een uitgestoken hand bij. De AP en de RDI richten vanaf 2026 een AI-sandbox in, een testomgeving waar je een risicovolle toepassing onder begeleiding van de toezichthouder kunt uitproberen voordat je live gaat. En de richting van de consultatie geeft nu al aan waar je aan toe bent. Het raam om je voor te bereiden is nu.
De vraag is dus niet of het toezicht er komt. De vraag is of jij je eigen loket kent voordat het loket jou kent.
Die ondernemer die me vorige week vroeg wie over zijn AI gaat, liep weg met een antwoord dat hij niet verwachtte: waarschijnlijk niemand uit een duidelijke sector, dus de RDI als eerste belletje en de AP als achtervang. Hij was even stil. Niet omdat het ingewikkeld was, maar omdat het zo lang mistig was gebleven en nu opeens een naam had. Dat is de echte verschuiving van dit voorstel. Het loket bestaat. Nu jij nog.
Bronnen
- De AP over de nieuwe taakverdeling en de sleutelrol van AP en RDI (opent in nieuw venster)
- De tien toezichthouders op een rij, per sector, Computable (opent in nieuw venster)
- Juridische duiding van het wetsvoorstel, met de RDI als Centraal Contactpunt, Declercq (opent in nieuw venster)
- De fasering en de datums van de AI-verordening, The Innovative Lawyer (opent in nieuw venster)
- De AP-handreiking Verder bouwen aan AI-geletterdheid uit oktober 2025, Nederland Digitaal (opent in nieuw venster)
