TLDR De AI-trainingsplicht staat in artikel 4 van de EU AI Act: elke organisatie die AI gebruikt — van ChatGPT voor e-mails tot complexe software — is wettelijk verplicht medewerkers te trainen. Je hoeft geen formeel trainingsprogramma neer te zetten, maar je moet wél kunnen aantonen dat je iets gedaan hebt. Handhaving start in augustus 2026. Wie nu nog niks heeft, loopt achter.
Je collega gebruikt ChatGPT. En jij bent verantwoordelijk.
Ergens in jouw organisatie typt iemand op dit moment een prompt in ChatGPT. Een samenvatting van een vergaderverslag. Een eerste versie van een klantmail. Een antwoord op een klacht. Misschien doen twintig mensen dat dagelijks, zonder dat jij het weet en zonder dat ze nagedacht hebben over wat er mis kan gaan.
Dat is niet alleen een risico voor de kwaliteit van je communicatie. Het is inmiddels ook een juridisch probleem.
Sinds 2 februari 2025 is artikel 4 van de EU AI Act van kracht. Dat artikel verplicht elke organisatie die AI gebruikt om te zorgen dat medewerkers beschikken over voldoende kennis om AI verantwoord in te zetten. Niet alleen de technici. Niet alleen de mensen die AI-systemen bouwen. Iedereen die ermee werkt.
En ja, ook de medewerker die alleen maar ChatGPT gebruikt om een mailtje op te stellen, telt mee.
Groot of klein, het maakt niet uit
Een misverstand dat ik regelmatig hoor: "Dat is toch voor grote techbedrijven? Wij zijn maar een mkb'er." Dat klopt niet.
De AI Act geldt voor zowel aanbieders (opent in nieuw venster) als gebruikers van AI-systemen. Dat zijn niet alleen interne medewerkers, maar ook mensen die AI gebruiken namens de organisatie. De omvang van je bedrijf of je omzet speelt geen rol bij de verplichting om medewerkers te trainen. Als je AI gebruikt, geldt de wet.
Er is wel een nuance. De Europese Commissie heeft in november 2025 een voorstel gedaan om artikel 4 te verlichten voor kleinere bedrijven, de zogeheten Digital Omnibus. Maar dat is nog een voorstel. Aanbieders en gebruiksverantwoordelijken moeten dus nog steeds voldoen aan de oorspronkelijke verplichting uit artikel 4 AI Act. Tot er iets verandert, geldt de huidige wet.
Zelfs bij ogenschijnlijk simpel AI-gebruik, zoals het inzetten van ChatGPT voor het schrijven van teksten of vertalen, geldt de verplichting. Medewerkers moeten weten wat de risico's zijn, zoals onbetrouwbare of foutieve output, gebrek aan bronverwijzingen en mogelijke bias.
Wat moet je dan precies doen?
Hier wordt het interessant. De wet schrijft geen vast format voor. Je hoeft geen duur extern trainingsbureau in te huren en er bestaat geen verplicht certificaat. Wat de wet wél vraagt, is dat je aantoonbaar iets doet.
De AI Act noemt vier onderdelen die een AI-geletterdheidsprogramma minimaal zou moeten bevatten: een algemeen begrip van AI binnen de organisatie, inzicht in de rol van de organisatie, bewustzijn van het risiconiveau, en aansluiting bij het profiel van de gebruikers.
Dat laatste punt is belangrijk. Het plan moet aansluiten op wie de medewerker is en welk systeem die gebruikt. De receptionist die soms een e-mail laat herschrijven door ChatGPT heeft een andere training nodig dan de analist die werkt met een AI-tool die kredietbeslissingen ondersteunt. Eén generieke cursus voor iedereen is niet genoeg als de risico's per rol sterk verschillen.
Concreet kun je denken aan:
- Een korte bewustwordingssessie over hoe AI werkt en waar het mis kan gaan
- Een online cursus via een platform als Coursera, LinkedIn Learning of een tool van de Autoriteit Persoonsgegevens
- Een intern document met richtlijnen voor AI-gebruik, inclusief een kort gesprek met het team
- Een overzicht van welke AI-tools worden gebruikt en door wie
Het gaat er vooral om dat je het kunt aantonen. Wie heeft welke training gevolgd? Wanneer? Leg het vast. Dat hoeft niet ingewikkeld te zijn. Een Excel met namen, datum en gevolgde module is al een begin.
De deadlines die je moet kennen
De EU AI Act is op 1 augustus 2024 officieel in werking getreden. De eerste verplichtingen, waaronder AI-geletterdheid, gingen in op 2 februari 2025.
Dat betekent dat je nu al achterloopt als je nog niets gedaan hebt.
Vanaf 3 augustus 2026 zullen nationale toezichthouders toezien op de naleving van artikel 4. Boetes of sancties zijn mogelijk bij niet-naleving, zeker als er schade ontstaat die mede het gevolg is van onvoldoende kennis bij gebruikers.
Voor de zwaardere categorie — hoog-risico AI-systemen zoals tools die worden ingezet bij selectie, kredietbeoordeling of vergelijkbare beslissingen — gelden aanvullende eisen die ook ingaan in augustus 2026. Maar die aanvullende eisen ontheffen je niet van de basisverplichting die al loopt.
Ik vergelijk het graag met de AVG in 2018. Toen dacht ook iedereen eerst: geldt dat voor ons? En vervolgens bleek dat het gewoon voor iedereen gold, dat handhaving écht begon en dat de organisaties die het serieus hadden genomen een stuk rustiger sliepen. Dezelfde film speelt nu opnieuw.
Wat je nu vastlegt, beschermt je straks
Naast de training zelf vraagt de wet om documentatie. Niet als bureaucratische exercitie, maar omdat je bij een controle of incident moet kunnen laten zien dat je bewust omgaat met AI in je organisatie.
Denk aan:
- Een inventarisatie van welke AI-systemen je gebruikt en voor welk doel
- Per systeem: wie werkt ermee en welk risico hangt eraan
- Het trainingsplan dat je hebt opgesteld, hoe informeel ook
- Een registratie van wie getraind is en wanneer
Het gaat om beleid, taken en rollen, een trainingsplan, aanwezigheid of certificaten en periodieke herbeoordelingen. En het bijhouden van auditsporen.
Dat hoeft allemaal niet in één groot document. Maar het moet wél ergens staan.
Waar begin je?
De Autoriteit Persoonsgegevens heeft een handreiking gepubliceerd: Aan de slag met AI-geletterdheid. Dat is een goed startpunt, gratis en in het Nederlands. Verder zijn er online platforms genoeg met cursussen die in een middag te volgen zijn.
Maar begin bij de basis. Zet drie dingen op een rij: welke AI-tools worden er in jouw organisatie gebruikt, door wie, en voor welke taken? Dat overzicht geeft je direct inzicht in waar de risico's zitten en welke training nodig is.
Het mooie is: je hoeft het wiel niet opnieuw uit te vinden. Een korte sessie met je team, een online cursus die je registreert, en een simpele lijst van wie wat gevolgd heeft. Dat is al een solide basis.
Wacht er niet op
Het loopt altijd zo. De wet is er, de deadlines zijn bekend, maar de meeste organisaties wachten tot het kwartaal voor de handhaving begint. Dan is het druk, dan is het duur, dan is het chaotisch.
AI gebruik je al. Dat doet bijna iedereen inmiddels, bewust of onbewust. Zorg dan dat je ook kunt aantonen dat je er verantwoord mee omgaat. Niet voor een toezichthouder, maar omdat het slim is. Medewerkers die begrijpen wat AI wel en niet kan, maken betere beslissingen. Ze vertrouwen niet blindelings op een samenvatting die misschien half verzonnen is. Ze weten wanneer ze iets moeten dubbelchecken.
Dat is uiteindelijk waarvoor die wet bedoeld is. En dat is ook gewoon goed beleid.