De Uitvoeringswet AI-verordening (UAIA) in kaart gebracht: hoofdlijnen en juridische duiding

De Europese AI Act legt een uniform kader neer voor de regulering van kunstmatige intelligentie, maar de handhaving wordt in belangrijke mate overgelaten aan de lidstaten. Met de zojuist door het kabinet gepubliceerde Uitvoeringswet AI-verordening (UAIA) wordt zichtbaar hoe Nederland voornemens is deze taak in te vullen. Let op, het gaat hier om een voorstel: de wet bevindt zich tot in ieder geval 1 juni 2026 nog in de consultatiefase en de uiteindelijke inrichting van het toezicht kan nog worden gewijzigd.

In deze blog wordt het voorstel op hoofdlijnen uiteengezet, waar nodig voorzien van extra context en commentaar.

Hoe zit het ook alweer?

Het doel van de AI Act is de bevordering van de ontwikkeling en toepassing van veilige en betrouwbare AI-systemen. De verordening kent een risicogebaseerde systematiek, waarbij de verplichtingen toenemen naarmate de potentiële impact van een AI-systeem op veiligheid, gezondheid of fundamentele rechten groter is. Dit leidt tot een indeling van onder meer verboden AI-praktijken, hoog-risico toepassingen en transparantieverplichtingen.

Het toezicht op modellen voor algemene doeleinden, zoals de modellen achter bekende chatbots, ligt grotendeels bij de Europese Commissie (zie art. 88 AI Act). Voor de overige categorieën verplicht de verordening lidstaten om zelf één of meer markttoezichtautoriteiten (hierna: toezichthouder(s)) aan te wijzen (art. 70 AI Act). De UAIA geeft invulling aan deze verplichting en bepaalt hoe het toezicht op de verschillende categorieën AI-systemen in Nederland wordt ingericht.

Voor de uiteenzetting van het wetsvoorstel wordt, tenzij anders aangegeven, aangesloten bij de wettekst, de Memorie van Toelichting en de Kamerbrief van de staatssecretaris van Economische Zaken.

Een hybride toezichtmodel met tien autoriteiten

Het kabinet kiest ervoor om het toezicht waar mogelijk onder te brengen bij bestaande sectorale toezichthouders (Kamerbrief, p. 4). Organisaties die onder de regels vallen zijn immers al bekend met deze toezichthouders, wat de herkenbaarheid vergroot. Bovendien manifesteert AI zich binnen bestaande domeinen, waar specifieke toezichthouders al over de benodigde expertise beschikken. Iedere toezichthouder bewaakt de ontwikkeling, het op de markt brengen en het gebruik van de systemen binnen de gebieden waarvoor die toezichthouder is aangewezen.

Tegelijkertijd wordt “effectieve” en “efficiënte” kennisdeling tussen sectorale toezichthouders beoogd. Dit moet worden gecoördineerd door een samenwerking tussen twee centrale toezichthouders: de AP en RDI. De AP krijgt bovendien de toezichtsgebieden aangewezen die niet goed aansluiten op bestaande bevoegdheden van andere toezichthouders. Dit gaat om een groot deel van de hoog-risico toepassingsgebieden, de transparantieverplichtingen en de verboden AI-praktijken. Door deze gebieden bij één toezichthouder onder te brengen, wordt verdere versnippering van het toezicht voorkomen.

Het voorstel leidt tot een hybride model waarin sectorale expertise wordt gecombineerd met centrale afstemming. Zie hier een door het kabinet bijgevoegde visuele weergave:

AI-toezicht los van het AVG-toezicht

De AP, voluit bekend als de Autoriteit Persoonsgegevens, maakt zich sterk voor het recht op bescherming van persoonsgegevens zoals vastgelegd in de AVG. Hoewel dit recht zekere overlap heeft met enkele bepalingen uit de AI Act, stelt de staatssecretaris uitdrukkelijk als volgt (Kamerbrief, p. 5):

“Het kabinet kiest ervoor om het toezicht op de AI-verordening binnen de AP zelfstandig, onafhankelijk van en nevengeschikt ten opzichte van het toezicht op de AVG te beleggen, met een aanspreekpunt voor toezicht op de AI-verordening in het bestuur en naar de buitenwereld”.

Met andere woorden, het toezicht op de AI Act wordt binnen de AP organisatorisch gescheiden van het toezicht op de AVG. Begrijpelijk, want de AI Act is meer dan alleen een verlengstuk van het gegevensbeschermingsrecht. De reikwijdte van de verordening strekt zich uit tot bredere vraagstukken rondom veiligheid, manipulatie en fundamentele rechten. Desondanks roept deze keuze vragen op over de praktische samenloop van regimes, met name in situaties waarin AI-systemen persoonsgegevens verwerken en dus onder zowel de AI-verordening (vgl. art. 10) als de AVG vallen (meer over de werking en overlap tussen de AVG en AI Act leest u in dit artikel).

Vergaande bevoegdheden (mystery shopping, blokkade)

De UAIA voorziet toezichthouders van een breed scala aan bevoegdheden om naleving af te dwingen (hoofdstuk 3 UAIA). Daarbij gaat het niet alleen om klassieke bestuursrechtelijke instrumenten, maar ook om meer ingrijpende maatregelen.

Zo wordt voorzien in de mogelijkheid om met een fictieve identiteit op te treden bij het gebruik van een AI-systeem ter controle van de naleving (art. 3.3 UAIA). Daarnaast bevat het voorstel de bevoegdheid om AI-systemen die in strijd met de verordening worden ingezet, te laten blokkeren door aanbieders van internetdiensten (art. 3.4 UAIA). Deze bevoegdheden roepen mogelijk vragen op over reikwijdte en proportionaliteit, met name buiten de sfeer van verboden of (zeer) risicovolle AI. Ook voorziet het voorstel in de mogelijkheid om kosten van handhaving te verhalen op overtreders (art. 3.9 UAIA), wat de financiële impact van toezicht verder vergroot. 

Naast de toekenning van bevoegdheden worden er ook algemene maatregelen getroffen ter ondersteuning van innovatie (hoofdstuk 4 UAIA). Zo zijn toezichthouders gehouden om een gezamenlijke testomgeving te creëren (zogenoemde sandboxes (art. 57 AI Act)) waarbinnen zij ieder verantwoordelijkheid nemen voor de systemen die onder hun toezicht vallen (Kamerbrief, p. 10; art. 4.1 UAIA). Binnen deze testomgeving krijgen ontwikkelaars van AI-systemen juridisch en technisch advies over hoe ze aan de AI Act kunnen voldoen.

Ook nadruk op herstelsancties

Het kabinet kiest niet voor een uitsluitend positieve benadering: voor een aantal verplichtingen uit de verordening acht het kabinet bestuursdwang en het opleggen van bestuurlijke boetes niet geschikt (MvT, p. 98).

Een goed voorbeeld is de handhaving van AI-geletterdheid. Hoewel het gaat om een harde vereiste uit de AI Act (art. 4), betreft dit een inspanningsverplichting met een zeer open karakter. Daarom kiest het kabinet ervoor om handhaving te beperken tot herstelsancties, waarbij in het bijzonder moet worden gedacht aan de last onder dwangsom. Op het moment dat een toezichthouder constateert dat de AI-geletterdheid bij een organisatie onvoldoende is, kan deze toezichthouder de norm concretiseren in de vorm van een last. De betrokken partij krijgt dan een bepaalde termijn om aan die norm te voldoen, op straffe van een dwangsom.

Jurist en informaticus Arnoud Engelfriet geeft aan moeite te hebben met een dergelijke herstelsanctie, omdat daarmee in feite geen prikkel bestaat voor organisaties om proactief AI-geletterdheid te implementeren. Hij stelt voor om de Ondernemingsraad (OR) te betrekken, door haar adviesrecht (art. 25 Wet OR) of zelfs instemmingsrecht (art. 27) ten aanzien van AI-geletterdheid te geven. Hiermee ontstaat ruimte voor de OR om inspanningen van de werkgever te verlangen. Desnoods kan in de Memorie van Toelichting nog uitdrukkelijk worden opgenomen dat van een goed werkgever wordt verwacht dat hij actief werk maakt van AI-geletterdheid. Daarmee krijgt de nu relatief open norm een meer afdwingbaar karakter.

De benadering van het kabinet sluit aan bij het concept-handhavingsbeleid van de AP (april 2026), waarin wordt benadrukt dat handhaving in de eerste plaats is gericht op het beëindigen van overtredingen en het bereiken van normconform gedrag. Ook dat beleid bevindt zich overigens nog in een consultatiefase.

Tijdslijn en mogelijke vertraging

Het kabinet erkent dat de nationale uitvoering van de AI Act mogelijk niet gereed zal zijn vóór de inwerkingtreding van (delen van) de verordening (augustus 2026). Dit betekent overigens niet dat de regels uit de AI Act zelf niet gelden, wat de staatssecretaris zelf ook benadrukt (Kamerbrief, p. 6). Als verordening heeft de AI Act namelijk rechtstreekse werking, waardoor verplichtingen voor aanbieders en gebruikers van AI-systemen ook zonder nationale uitvoeringswet van toepassing zijn. De vertraging wordt verklaard door de keuze om “het toezicht zorgvuldig vorm te geven”. Met name de keuze voor een hybride model met meerdere toezichthouders vergt nadere uitwerking en coördinatie.

Dat gezegd hebbende, is de tijdslijn ook op Europees niveau nog in beweging. In het kader van de zogenoemde Digital Omnibus wordt gesproken over mogelijke aanpassingen in de fasering van verplichtingen uit de AI Act. De kans is groot dat de voor de uitvoeringswet relevante onderdelen van de AI Act op een later moment van toepassing worden dan aanvankelijk voorzien (naar verwachting december 2027)

Slotbeschouwing

Met de Uitvoeringswet AI-verordening schetst het kabinet de beoogde inrichting van een nieuw stelsel van AI-handhaving in Nederland. Het voorstel combineert een gedecentraliseerde toezichtstructuur, bestaande uit tien toezichthouders, met een coördinerende rol voor de AP en de RDI. Daarbij wordt voorzien in een breed instrumentarium voor handhaving.

De uiteindelijke vorm van dit stelsel zal afhangen van de uitkomsten van de consultatie en de parlementaire behandeling. Duidelijk is in ieder geval dat de handhaving van AI zich ontwikkelt tot een dynamisch geheel, waarin regels, toezicht en interventie nauw op elkaar zijn afgestemd.

De laatste ontwikkelingen rond de Uitvoeringswet AI-verordening leest u op AI-Forum.