Blog
De verplichting die iedereen miste
Vorige week op een netwerkborrel hoorde een hypotheekadviseur de vraag "ben je al AI-geletterd?" en dacht in eerste instantie dat het een nieuwe LinkedIn-campagne was. Tot zijn buurman uitlegde dat het een verplichting is uit de AI Act en dat er handhaving aan vastzit. De hypotheekadviseur dronk zijn glas leeg en googelde het de avond erna.
Wat hij vond was niet wat hij verwachtte. Geen vage Brusselse bureaucratie, wel een artikel dat verrassend concreet zegt wat hij voor zijn 32 medewerkers had moeten doen, en dat hij eigenlijk al een jaar te laat is met regelen.
Wat artikel 4 AI Act letterlijk zegt
Artikel 4 van de AI Act, dat sinds 2 februari 2025 in werking is, verplicht aanbieders en gebruikers van AI-systemen om passende maatregelen te nemen voor voldoende AI-geletterdheid van hun personeel en andere personen die namens hen omgaan met AI-systemen.
Vertaald, als jij een bedrijf bent dat AI-tools gebruikt (en dat ben je, vrijwel zeker, al jaren), moet je medewerkers die die tools gebruiken een passend niveau van begrip hebben van wat AI is, hoe het werkt en wat de risico's zijn.
De verplichting geldt sinds februari 2025 al. De handhaving via de Autoriteit Persoonsgegevens en de ACM start op 2 augustus 2026, samen met de bredere handhavingsdeadline van de AI Act. Tussen die twee data zit anderhalf jaar waarin niemand je controleerde, maar dat anderhalf jaar telt vanaf augustus mee als "had je dit moeten weten".
Wie het bij jou betreft
Niet alleen je IT-team. Dat is de cruciale nuance die in de meeste samenvattingen ontbreekt. Artikel 4 spreekt van personeel en andere personen die namens jou omgaan met AI-systemen. Dat betekent in praktijk:
Iedereen die ChatGPT, Copilot, Claude, Gemini of een andere AI-tool gebruikt voor werk. Iedereen die een tool gebruikt waar AI in zit, ook al noemt de leverancier het niet zo (denk aan moderne CRM's, Office Copilot, Outlook smart compose). Iedereen die met een leverancier werkt die AI inzet en wiens output jouw klant raakt. Externe contractors, freelancers en stagiairs die met je AI-tools werken.
Bij een hypotheekkantoor van 30 FTE betekent dit waarschijnlijk dat je bijna iedereen aanraakt, niet alleen "de IT-mensen".
Wat AI-geletterdheid concreet inhoudt
De wet schrijft geen specifieke cursus of certificering voor. Dat is goed nieuws en slecht nieuws tegelijk. Goed, want je hoeft geen 80-uurs traject in te kopen. Slecht, want je moet zelf bepalen wat passend is voor jouw situatie.
De Europese Commissie en de Autoriteit Persoonsgegevens geven richting. Het niveau hangt af van drie factoren. De rol van de persoon (een DGA hoeft niet hetzelfde te weten als een data-engineer). Het type AI-systeem (een chatbot in de klantenservice vraagt iets anders dan een credit-scoring model). De context (sector, gevoeligheid van data, klantimpact).
Voor een gemiddelde MKB-medewerker is een passend niveau ongeveer dit. Begrijpen wat een AI-tool wel en niet kan. Weten wanneer output geverifieerd moet worden. Weten welke data niet in publieke tools mag, en waarom niet. Snappen wat een hallucinatie is en hoe je die herkent. Weten wie verantwoordelijk is als de AI ergens fout zit.
Dat is geen rocket science. Dat is twee tot drie uur training plus een korte naslagkaart.
Wat je vandaag op een A4 kunt zetten
Als je morgen wil starten en pas dinsdag een externe partij wilt inhuren, kun je vandaag al iets uitrollen.
Een, een register. Welke AI-tools draaien er bij ons (officieel en onofficieel), wie is eigenaar per tool, welke afdelingen gebruiken het. Twee, een korte richtlijn van twee A4'tjes. Wat mag waar gebruikt worden, met welke data wel en met welke nooit. Drie, een training-plan per rol. DGA en MT in een sessie van 2 uur, klantfacing medewerkers in een sessie van 2 uur plus jaarlijkse update, IT en compliance in een sessie van 4 uur. Vier, een evaluatiemoment elke zes maanden. Wat is veranderd in de tools, in de wet, in onze processen.
Dit is geen dichtgetimmerd compliance-traject. Dit is een redelijk aantoonbaar minimum als de AP morgen aanklopt. Voor een DGA-bedrijf van 15 tot 75 FTE met passend risicoprofiel ben je hiermee in beginsel goed te verdedigen.
Het stuk dat de meeste compliance-stappenplannen overslaan
In artikel 4 zit een woord dat in praktijk vaker wordt vergeten dan toegepast, namelijk "passend". De wet eist dat de geletterdheid past bij de rol en het risico. Dat betekent twee dingen.
Enerzijds, je hoeft niet je hele team door dezelfde generieke training heen te jagen. Een receptionist heeft een ander niveau nodig dan een hypotheekadviseur die met klantdata en Wft-eisen werkt. Anderzijds, je kunt je niet verschuilen achter "we hebben iedereen een algemene cursus gegeven". Als de AP straks vraagt waarom een bepaalde adviseur klantdata in ChatGPT heeft geplakt, is "hij heeft de algemene training gevolgd" geen antwoord.
Wat passend is, kun je niet in een uurtje bedenken. Daar is een inventarisatie voor nodig.
Hoe een AI-audit hier inhaakt
Twee dingen die we standaard doen tijdens een AI-audit raken artikel 4 direct. We brengen alle AI-tools in kaart, officieel en onofficieel, en categoriseren per rol welke medewerker welke geletterdheid nodig heeft. En we leveren in het rapport een bijlage waarin per use case staat welk type training erbij past, niet als opdracht maar als advies.
Dat betekent dat het rapport dat je na 14 dagen krijgt automatisch een startdocument is voor artikel 4. Niet omdat we juristen zijn, wel omdat de inventarisatie die de wet vraagt vrijwel hetzelfde is als de inventarisatie die je voor effectieve AI-inzet sowieso moet doen. Wil je het structureel borgen, dan is een AIOS-traject de logische vervolgstap, want daarin worden tooling, training en compliance in dezelfde laag bij elkaar gehouden.
Wat als je vóór 2 augustus één ding doet
Maak het register. Zonder dat is elk verder gesprek over compliance moeilijk te voeren. Met dat register heb je de eerste vraag van een AP-onderzoeker al beantwoord en zie je voor jezelf wat er bij jou daadwerkelijk draait. Vaak is dat lijstje langer dan verwacht, en daar begint het werk.
AI die werkt in je vak begint bij weten welke AI er bij jou werkt.
De eerste stap
De handhaving start over twaalf weken. Dat is voldoende voor een audit, een rapport en een eerste training-rondje. Niet voldoende om er nog een kwartaal mee te wachten.
Veertien dagen later weet je welke AI-tools er bij jou draaien, welke medewerker welke geletterdheid nodig heeft en welke drie processen tegelijk veiliger en sneller kunnen.
