Brighthives blog

De AI act: een reality check voor onderwijs, zorg en gemeentes

Leestijd 5 min. Jont Groenendaal

De Europese AI-verordening (EU AI Act) markeert een historisch moment: het is de eerste allesomvattende wetgeving ter wereld die kunstmatige intelligentie reguleert. Deze wet bepaalt hoe AI mag worden ontwikkeld, ingezet en gecontroleerd, met als doel om fundamentele rechten te beschermen en het publieke vertrouwen in AI te versterken.

Een goede implementatie van deze wet in het onderwijs, de (jeugd)zorg en het sociaal domein gaat ons in het bijzonder aan het hart. Dat werk raakt direct aan de gezondheid en het maatschappelijk succes van mensen, dus veel van de kansrijke AI-toepassingen binnen die sectoren zullen onder streng toezicht vallen (en terecht, overigens). Dat vraagt nu al om actie. Niet alleen om boetes te vermijden, maar vooral om AI op een veilige en verantwoorde manier te kunnen benutten.

De AI Act geldt voor iedereen die AI ontwikkelt, gebruikt, importeert of distribueert in de EU. Ook partijen van buiten de EU (zoals OpenAI, Microsoft, etc.) vallen eronder zodra zij AI-systemen op de Europese markt brengen. De kern van de wet: een risicogebaseerde benadering. Niet elk AI-systeem is even risicovol, dus niet elk systeem krijgt dezelfde eisen. In paragraaf 3 gaan we daar dieper op in.

Wie de AI Act wil naleven, komt al trouwens al snel bij AI governance terecht. Lees in ons vervolgartikel hoe je governance inzet om verder te gaan dan compliance alleen. Maar nu eerst de AI act!

2. Status, tijdlijn en handhaving

De AI Act is op 1 augustus 2024 in werking getreden en wordt gefaseerd geïmplementeerd. Op basis van wat er op het moment van schrijven bekend is. Dubbelcheck dit, want wetgevingsprocessen kunnen nog wel eens anders lopen dan gepland.

Februari 2025

  • Verbod op AI-systemen met onaanvaardbaar risico.
  • Verplichte AI-geletterdheid voor alle medewerkers die met AI werken.

Augustus 2025

  • Aanwijzing van nationale toezichthouders.
  • Sanctiemogelijkheden actief: boetes tot €35 miljoen of 7% van wereldwijde omzet.
  • Verplichtingen voor aanbieders van algemene AI-modellen (ChatGPT, Claude e.a.).

Augustus 2026

  • Strenge verplichtingen voor hoog-risico AI-systemen.
  • Transparantieverplichtingen voor AI met beperkt risico.

Augustus 2027

  • Volledige implementatie van alle bepalingen.

In Nederland wordt het toezicht gedeeld. De Autoriteit Persoonsgegevens (AP) houdt markttoezicht op de meeste hoog-risico AI-systemen. Het College voor de Rechten van de Mens ziet toe op fundamentele rechten. Sectorale toezichthouders behouden hun eigen rol, bijvoorbeeld in de zorg. Op Europees niveau komt het European AI Office, dat vooral toeziet op generieke AI-modellen. Daarmee ontstaat een gelaagd systeem waarin nationale en Europese instanties samenwerken.

3. Risicocategorieën en wat zij betekenen

De kern van de AI Act is dat niet alle AI-systemen over één kam worden geschoren. De wet hanteert een risicogebaseerde benadering: hoe groter de mogelijke impact van een AI-systeem op fundamentele rechten en maatschappelijke waarden, hoe strenger de regels. Dit maakt de verordening tegelijk werkbaar én doeltreffend. Een chatbot waarbij inwoners informatie kunnen opvragen over hun gemeente is immers heel iets anders dan een algoritme dat potentiële gevallen van uitkeringsfraude signaleert.

De AI Act onderscheidt vier niveaus: onaanvaardbaar risico, hoog risico, beperkt risico en minimaal risico. Voor organisaties in het onderwijs, de zorg en het sociaal domein is het cruciaal om te weten in welke categorie hun AI-systemen vallen en welke verplichtingen daarbij horen.

Onaanvaardbaar risico – verboden toepassingen

De zwaarste categorie betreft AI-systemen die simpelweg niet meer zijn toegestaan. Sinds februari 2025 zijn toepassingen verboden die een onaanvaardbare bedreiging vormen voor fundamentele rechten.

Dat zou bijvoorbeeld kunnen gaan om software die tijdens de les of bij toetsen via webcams de gelaatsuitdrukkingen van leerlingen analyseert om concentratie of motivatie te meten. Of denk aan social scoring systemen, die burgers of leerlingen een score geven op basis van gedrag of achtergrond (bijvoorbeeld betalingsgeschiedenis of schooldiscipline).

Organisaties moeten zorgen dat er geen verboden systemen meer in gebruik zijn. Ook als het gaat om innovatieve (en goed bedoelde) experimenten met zulke technologie.

Hoog risico – streng gereguleerd

Veel relevante toepassingen in onderwijs, zorg en sociaal domein vallen onder hoog risico. Dat zijn systemen die beslissingen nemen of voorbereiden die grote invloed hebben op levens van mensen. Lees ook ons artikel over domeinspecifieke (niche) AI.

In het onderwijs zou je kunnen denken aan toelatingssoftware om studenten te beoordelen die niet aan de juiste instroomeisen voldoen, maar zich toch willen aanmelden voor de opleiding. Of denk aan automatische toets- en examenbeoordeling of adaptieve leersystemen die leerroutes uitstippelen.

In het sociaal domeinkun je denken aangeautomatiseerde besluitvorming (of advisering) over Wmo-indicaties of uitkeringen, risicosignaleringssystemen in de jeugdzorg of bij schuldhulpverlening.

Wat dit vraagt van organisaties:

  • Risicomanagementsysteem: inrichten van processen om risico’s van het systeem structureel te identificeren en te beperken.
  • Documentatieplicht: beschrijven hoe het algoritme werkt, welke data zijn gebruikt en hoe het systeem is gevalideerd.
  • Menselijk toezicht: cruciale beslissingen mogen nooit volledig aan AI worden overgelaten; er moet altijd menselijke beoordeling mogelijk zijn.
  • Conformiteitsbeoordeling: sommige systemen moeten vóór gebruik worden getoetst aan Europese normen, intern of door een externe instantie.
  • Registratieplicht: hoog-risico AI-systemen moeten worden aangemeld in een Europese database.
  • Impact assessments: naast een Data Protection Impact Assessment (DPIA) is vaak ook een Fundamental Rights Impact Assessment (FRIA) verplicht, om bredere mensenrechteneffecten te toetsen.

Beperkt risico – transparantie boven alles

Niet elk AI-systeem raakt mensenlevens op zo’n directe manier. Voor de categorie beperkt risico geldt dat systemen gewoon gebruikt mogen worden, mits er transparantie is. Denk aan chatbots die vragen van burgers beantwoorden op gemeentelijke websites, virtuele assistenten die docenten helpen lesmateriaal te genereren en content-generatoren die teksten of samenvattingen produceren.

Wat dit vraagt van organisaties:

  • Gebruikers informeren: maak expliciet zichtbaar dat iemand met AI communiceert. Bijvoorbeeld door een melding “Dit antwoord is gegenereerd door een AI-assistent.”
  • Contentlabeling: zorg dat AI-gegenereerde content herkenbaar is (bijvoorbeeld in rapportages of adviezen).
  • Interne afspraken: leg vast in welke situaties medewerkers AI wel of niet mogen gebruiken, en hoe transparantie wordt gewaarborgd.

Minimaal risico – vrijgesteld

De laatste categorie is die van de minimale risico’s. Dit zijn toepassingen die nauwelijks gevolgen hebben voor rechten of veiligheid van burgers. Denk bijvoorbeeld aan een spamfilter in je e-mailprogramma.

Er zijn voor dit soort toepassingen geen wettelijke verplichtingen, maar organisaties doen er goed aan om ook voor deze systemen basale interne kwaliteits- en ethieknormen te hanteren. Zo voorkom je dat kleine risico’s over het hoofd worden gezien en laat je zien dat je consistent verantwoord met AI omgaat.

4. AI-geletterdheid: nu al verplicht

Een opvallend en misschien onderschat element van de AI Act is dat AI-geletterdheid sinds februari 2025 een wettelijke verplichting is. Dit betekent dat organisaties niet kunnen wachten tot 2026 of 2027 met hun voorbereidingen, maar nú al moeten zorgen dat medewerkers die met AI werken voldoende kennis en vaardigheden hebben om dat verantwoord te doen.

Wat verstaan we onder AI-geletterdheid?

AI-geletterdheid gaat veel verder dan het kunnen bedienen van een tool. Het gaat om een combinatie van begrip, bewustzijn en vaardigheden. Medewerkers moeten weten hoe AI werkt in de kern, wat de mogelijkheden zijn, maar ook welke beperkingen en risico’s er kleven aan algoritmes. Concreet betekent dit:

  • Begrip van AI-technologie. Een docent hoeft geen data scientist te worden, maar moet wel weten dat een algoritme niet “denkt” zoals een mens, maar patronen herkent uit historische data. Een zorgmedewerker moet begrijpen dat een AI-diagnosetool foutgevoelig kan zijn als de dataset waarop het getraind is niet representatief is.
  • Bewustzijn van risico’s. Medewerkers moeten risico’s als bias, discriminatie en verlies van transparantie herkennen. Een HR-medewerker die AI gebruikt voor sollicitantenselectie moet alert zijn op de mogelijkheid dat het systeem bepaalde groepen benadeelt.
  • Vaardigheden voor verantwoord gebruik. Het gaat om praktische competenties: weten hoe je een AI-assistent correct inzet, wanneer je menselijke beoordeling nodig hebt, en hoe je resultaten kritisch interpreteert.
  • Ethisch en sociaal bewustzijn. AI-beslissingen hebben vaak een sociale impact. Denk aan het gebruik van chatbots in de jeugdzorg: medewerkers moeten beseffen dat burgers kunnen denken met een mens te praten en daarom extra kwetsbaar zijn.


Wat vraagt dit van organisaties?

De verplichting tot AI-geletterdheid betekent dat instellingen een structureel opleidings- en bewustwordingsprogramma moeten opzetten. Het gaat niet om één keer een workshop, maar om een doorlopend leerproces dat ingebed is in de organisatie. Is hier tot nu toe onvoldoende aandacht voor geweest? Dan kun je als organisatie grofweg de volgende stappen volgen:

  1. Inventariseren: breng in kaart welke AI-systemen in gebruik zijn en welke functies ermee werken. Dit kan variëren van een docent die ChatGPT inzet voor lesvoorbereiding tot een beleidsmedewerker die AI gebruikt om rapportages te analyseren.
  2. Differentieer in doelgroepen: een HR-medewerker die AI inzet bij sollicitaties heeft andere kennis nodig dan een docent die alleen AI gebruikt als schrijfhulp. Maak onderscheid in trainingen per rol en per risiconiveau van de AI-toepassing.
  3. Ontwikkel trainingen en richtlijnen: combineer technische uitleg met ethische en juridische kaders. Voorbeeld: een module waarin je uitlegt wat een bias is, gekoppeld aan een casus uit de jeugdzorg of het onderwijs.
  4. Documenteer en toets: leg vast wie welke training heeft gevolgd en toets regelmatig of de kennis nog up-to-date is. Dit helpt niet alleen om te voldoen aan de AI Act, maar ook om in audits of bij incidenten te laten zien dat je verantwoordelijkheid hebt genomen.
  5. Creëer bewustwording in de cultuur: AI-geletterdheid is geen vinkje, maar een houding. Organisaties moeten doorlopend een cultuur stimuleren waarin medewerkers kritisch durven zijn op AI-output en waarin “menselijk toezicht” vanzelfsprekend is.

Waarom dit nú zo belangrijk is

AI-geletterdheid is niet alleen een juridische verplichting, maar ook een randvoorwaarde om AI verantwoord in te zetten. Zonder voldoende kennis bewustzijn loop je als organisatie twee grote risico’s:

  • Onverantwoord gebruik: medewerkers nemen bijvoorbeeld beslissingen op basis van AI zonder te begrijpen waar de uitkomst vandaan komt. Of de kwaliteit van hun werk gaat achteruit omdat ze niet kritisch zijn op de output van de AI.
  • Verlies van vertrouwen: studenten, patiënten of burgers verliezen vertrouwen in je organisatie als duidelijk wordt dat medewerkers blindvaren op systemen die ze zelf niet snappen.

Daarom geldt: wie vandaag investeert in AI-geletterdheid, bouwt niet alleen aan compliance, maar ook aan kwaliteit en legitimiteit. En daarnaast: je medewerkers worden beter in het gebruik van deze technologie. Ze kunnen dus echt efficiënter gaan werker en betere kwaliteit leveren.

5. Zet in op AI governance

De AI Act draait in de kern om compliance: voldoen aan regels, verplichtingen en controles. Maar alleen naar de wet kijken is te beperkt. Wie AI echt verantwoord wil inzetten, moet verder denken dan de letter van de wet. Dat bredere kader noemen we AI governance.

AI governance gaat over de manier waarop je als organisatie grip houdt op de inzet van kunstmatige intelligentie. Het gaat om beleid, processen en cultuur die ervoor zorgen dat technologie niet een doel op zich wordt, maar altijd dienstbaar blijft aan de missie van je organisatie. Dat vraagt om duidelijke rollen, menselijk toezicht, continue evaluatie en bovenal: draagvlak in de organisatie.

De AI Act geeft hiervoor belangrijke kaders, maar governance gaat een stap verder: waar de wet vooral voorschrijft wat je minimaal móet doen, helpt governance juist om AI optimaal en verantwoord te benutten. Denk aan vragen als: Hoe verhouden onze waarden zich tot de keuzes die we met AI maken? Hoe zorgen we dat de technologie bijdraagt aan onze maatschappelijke opdracht? Hoe combineren we snelheid en innovatie met zorgvuldigheid en transparantie?

In een ander artikel hebben we de bouwstenen van AI governance uitgebreid uiteengezet en laten zien hoe organisaties daarmee in de praktijk aan de slag kunnen. Voor wie een stap verder wil gaan dan compliance alleen, is dat een waardevol vertrekpunt. Lees hier ons artikel over AI governance.

Gerelateerde blogs

Van ChatGPT naar niche-AI in de publieke sector: de volgende grote trend

De toepassing van kunstmatige intelligentie in de Nederlandse publieke sector groeit hard. Volgens TNO is het gebruik van AI sinds 2021 met ruim anderhalf keer toegenomen, waarbij gemeenten vooroplopen: inmiddels…

AI governance: sneller, slimmer en veiliger profiteren van de kracht van AI

AI is niet meer weg te denken uit onze samenleving. In het onderwijs, de zorg en het sociaal domein worden algoritmes en slimme toepassingen steeds vaker ingezet om processen te…