Er is een misverstand dat veel directies op dit moment duur gaat komen te staan.
Het misverstand is dit: AI is een IT-vraagstuk.
Het is het niet. De EU AI Act heeft de verantwoordelijkheid heel bewust neergelegd bij de organisatie als geheel. Niet bij de CTO. Niet bij de IT-afdeling. Bij de organisatie. En de organisatie wordt in de wet vertegenwoordigd door haar bestuurders.
Dat is een fundamentele verschuiving. Vergeleken met tien jaar geleden, toen technologie nog echt een technisch onderwerp was, is de context volledig veranderd. AI is geen tool meer die een afdeling beheert. Het is een bedrijfsbrede praktijk die door vrijwel elke medewerker dagelijks wordt gebruikt. En die praktijk vereist nu aantoonbaar leiderschap van bovenaf.
De meeste directies hebben die shift nog niet gemaakt. Ze weten dat er iets met AI speelt. Ze weten dat er een wet is. Maar ze beschouwen het nog als iets wat HR of IT moet regelen. En zo blijft het liggen.
Dit artikel is bedoeld voor de bestuurder die dat wil veranderen. Niet omdat het moet, maar omdat het slim is.
Wat de wet precies zegt
Artikel 4 van de EU AI Act is in werking getreden op 2 februari 2025. Het verplicht elke organisatie die AI gebruikt om ervoor te zorgen dat medewerkers over een toereikend niveau van AI-geletterdheid beschikken. Aantoonbaar. Gedocumenteerd. En proportioneel naar functie en risico.
De wet richt zich op wat zij "gebruiksverantwoordelijken" noemt. Dat zijn organisaties die AI-systemen inzetten in hun processen. Dat klinkt technisch, maar in de praktijk gaat het over elk bedrijf dat werkt met ChatGPT, Microsoft Copilot, AI in het CRM-systeem, geautomatiseerde analyses of een HR-tool met AI-features. Vrijwel elk middelgroot en groot bedrijf in Nederland valt hieronder.
Handhaving door nationale toezichthouders start op 2 augustus 2026. Dat is over enkele maanden. En het is niet de eerste keer dat de EU een wet heeft ingevoerd die organisaties te laat serieus hebben genomen. De AVG-boetes van de afgelopen jaren zijn een goede referentie.
Drie redenen waarom dit op directieniveau thuishoort
Financieel risico dat direct raakt aan de jaarrekening
De boetes onder de EU AI Act lopen op tot 35 miljoen euro of 7% van de wereldwijde jaaromzet. Voor grotere organisaties is dat tweede getal het relevantere. Deze bedragen zijn niet symbolisch. Ze zijn vergelijkbaar met de hoogste AVG-boetes die de Autoriteit Persoonsgegevens de afgelopen jaren heeft opgelegd.
Een boete van deze omvang is een directe aanslag op de balans. Het is geen HR-kostenpost. Het is een bestuurlijke verantwoordelijkheid die thuishoort in de risicoanalyse van het MT.
Reputatieschade die jaren doorwerkt
De eerste handhavingsacties onder de EU AI Act zullen nieuws zijn. Organisaties die worden beboet voor het ontbreken van AI-geletterdheidsprogramma's, verschijnen in de media. In sectoren als financiële dienstverlening, zorg, overheid en onderwijs is dat reputatieschade die het vertrouwen van klanten, partners en aandeelhouders raakt.
Omgekeerd geldt hetzelfde. Organisaties die aantoonbaar AI-geletterd zijn, bouwen vertrouwen op. Dat wordt een onderscheidende factor in aanbestedingen, in klantrelaties en in employer branding. De vroege movers winnen hier.
Aansprakelijkheid die persoonlijk kan worden
Als een medewerker schade veroorzaakt door ondeskundig AI-gebruik, en de organisatie kan niet aantonen dat er training en beleid waren, is de directie aansprakelijk. Niet als individu per se, maar als bestuur van de rechtspersoon. In sectoren met streng toezicht kan dat persoonlijk doorwerken.
Dit is geen hypothetisch scenario. Het is de logische juridische uitwerking van Artikel 4. En rechters en toezichthouders kijken bij dit soort zaken altijd eerst naar wat de organisatie gedaan heeft om het risico te beheersen.
Wat een directie nu concreet moet besluiten
Er zijn vier beslissingen die op bestuursniveau genomen moeten worden. Niet gedelegeerd. Niet afgewacht. Besloten.
Beslissing 1: benoem een eigenaar
Wie is binnen de directie eindverantwoordelijk voor AI-compliance? Dat kan de CEO zijn, de COO, of een specifiek aangewezen MT-lid. Zolang het niemands verantwoordelijkheid is, is het iedereen zijn excuus. Benoem een eigenaar. Zet AI-compliance als vast agendapunt op de MT-vergadering. Niet als bijzaak, maar als risicothema.
Beslissing 2: breng het AI-gebruik in kaart
Welke AI-tools gebruikt de organisatie? Wie gebruikt ze, waarvoor, en met welke data? Dit overzicht ontbreekt bij verreweg de meeste organisaties. Zonder dit overzicht is compliance onmogelijk, want training die niet aansluit op het werkelijke gebruik is juridisch waardeloos.
Let hierbij ook op wat shadow AI wordt genoemd. Dat zijn tools die medewerkers zelf gebruiken, buiten het zicht van IT of management. Medewerkers die klantdata in een gratis AI-tool stoppen, medewerkers die persoonlijke accounts gebruiken voor werkgerelateerde AI-taken. Dat gebruik valt ook onder de wet. En de organisatie is verantwoordelijk.
Beslissing 3: autoriseer een trainingsprogramma
AI-geletterdheid moet georganiseerd, gedocumenteerd en herhaalbaar zijn. Dat vraagt een beslissing op directieniveau: welk programma, voor wie, op welke termijn, met welk bewijs van deelname. Een eenmalige sessie is niet genoeg. Een e-learning die niemand afmaakt, ook niet.
AIGA biedt een gecertificeerd trainingsprogramma dat direct aansluit op Artikel 4 van de EU AI Act. Schaalbaar van kleine teams tot organisaties met duizenden medewerkers. In het Nederlands, afgestemd op de Nederlandse werkcontext. Bekijk het aanbod op aigeletterdheid.academy.
Beslissing 4: veranker het in beleid
AI-geletterdheid is geen project met een einddatum. Het is een doorlopende verantwoordelijkheid. AI-tools veranderen snel. Nieuwe medewerkers komen in dienst. Wetgeving ontwikkelt zich. De directie moet borgen dat AI-geletterdheid is opgenomen in HR-beleid, onboarding en jaarlijkse bijscholing. Niet als optie, maar als standaard.
De strategische kant: compliance als concurrentievoordeel
Er is een verhaal dat nog te weinig verteld wordt. En het is geen angstverhaal.
Organisaties die nu investeren in aantoonbare AI-geletterdheid, bouwen iets op wat hun concurrenten niet hebben. Ze kunnen bij aanbestedingen bewijzen dat hun team verantwoord met AI omgaat. Ze trekken talent aan dat wil werken bij een organisatie die AI serieus neemt. Ze hebben minder risico op datalekken, op reputatieschade, op interne fouten die door onkunde ontstaan.
De organisaties die dat nu begrijpen, zetten een voorsprong neer. Geen kleine voorsprong. Een structurele. Want als handhaving eenmaal op gang komt, is haastige compliance duur en zichtbaar. Organisaties die dan alsnog moeten bijsturen, doen dat in het zicht van toezichthouders, klanten en de pers.
De directies die nu handelen, maken dat risico overbodig.
Waar te beginnen
De AI Readiness Scan van AIGA geeft in tien minuten inzicht in waar een organisatie staat op het gebied van AI-gebruik en AI-kennis. Gratis. Zonder verplichtingen. Met een direct bruikbaar resultaat dat als startpunt kan dienen voor het gesprek in het MT.
Want het gesprek moet gevoerd worden. Niet over de technologie. Over de verantwoordelijkheid.
Doe de scan op aigeletterdheid.academy.
Ferry Hoes
Ferry Hoes is veelgevraagd spreker en trainer op het gebied van AI-geletterdheid. Hij staat meermaals per maand op het podium voor organisaties zoals a.s.r., VodafoneZiggo en verschillende ministeries. In 2020 won hij de Anti-Discriminatie AI-Hackathon van de Nederlandse overheid.