AI governance en compliance zijn voor Nederlandse organisaties in korte tijd verschoven van een experimenteel onderwerp naar een structurele bestuursopgave. Waar de focus eerst lag op innovatie, draait het nu om risicobeheersing, documentatie en aantoonbare naleving. Dit is cruciaal voor organisaties die werken met publieke taken, persoonsgegevens of hoog-risicoprocessen. Voor de doelgroep van PONT | Data & Privacy is juist de samenloop tussen recht, governance en de dagelijkse uitvoeringspraktijk de kern van de uitdaging.
De Europese AI-verordening (AI Act) vormt het centrale kader met een risicogebaseerd model. Terwijl de eerste verplichtingen, zoals AI-geletterdheid van personeel, al sinds februari 2025 gelden, neemt de implementatiedruk voor hoog-risico-AI in 2026 en 2027 verder toe. De AI Act staat echter niet op zichzelf; in de praktijk moet deze naadloos aansluiten op de AVG, de NIS2-richtlijn en sectorale wetgeving.
De grootste complexiteit ligt in de uitvoering. Organisaties moeten niet alleen bepalen welke rol zij spelen (zoals aanbieder of gebruiker), maar ook wie de eigenaar is van risicoanalyses en hoe menselijk toezicht wordt ingericht. Dit is urgent bij toepassingen in de zorg, het onderwijs en bij fraudedetectie.
Ondertussen ontwikkelt het toezichtlandschap zich snel. De Autoriteit Persoonsgegevens (AP) signaleert dat de inzet van AI sneller groeit dan de beheersing ervan en heeft voor 2026 AI en digitale weerbaarheid als prioriteit benoemd. Voor professionals is de vraag daarom niet langer alleen ‘mag dit?’, maar of de organisatie juridisch en technisch volwassen genoeg is om de inzet van AI volledig te verantwoorden.
AI in de zorg (deel 1): aandachtspunten bij de aanschaf van AI in het zorgdomein
Achtergrond artikelenKabinetsreactie op het bericht in de Volkskrant over de EDPB/EDPS Opinie betreffende de AI-verordening
Kamerstuk: overigHet technologische ecosysteem van AI
RapportenEen algoritme als werkgever
Juridische artikelen
