Sinds 2 februari 2025 is AI-geletterdheid wettelijk verplicht voor iedere organisatie die AI-tools gebruikt. Vanaf 2 augustus 2026 kunnen Nederlandse toezichthouders daadwerkelijk handhaven. Uit TNO-onderzoek blijkt dat slechts 23 procent van de Nederlandse bedrijven concrete stappen heeft genomen. De regel is helder in wat hij vraagt, maar de meeste ondernemers weten niet wat “AI-geletterdheid” precies betekent — laat staan hoe je eraan voldoet.
Artikel 4 van de EU AI Act is de eerste verplichting die direct inging na de invoering van de wet. Anders dan de zware verplichtingen voor hoog-risico AI (uitgesteld naar december 2027 door het Digital Omnibus-pakket), is AI-geletterdheid geen “toekomstige zorg” maar iets waar nu al aan voldaan moet zijn. Toch is de wet zo geformuleerd dat er ruimte is voor eigen invulling: er is geen verplichte cursus, geen vast aantal uren, geen certificaat.
In dit artikel lees je wat de wet exact vraagt, voor wie het geldt, en hoe je binnen enkele weken aantoonbaar aan de verplichting voldoet — zonder dure trainingsbureaus of complexe procedures.
Inhoudsopgave
Wat is AI-geletterdheid?
De EU AI Act definieert AI-geletterdheid als “de vaardigheden, kennis en begrip die aanbieders, gebruiksverantwoordelijken en betrokken personen in staat stellen om AI-systemen op geïnformeerde wijze in te zetten en zich bewust te zijn van de kansen en risico’s van AI.” In gewone taal: medewerkers die met AI werken moeten weten hoe de tools werken, wat de beperkingen zijn, waar de risico’s liggen, en wanneer menselijk toezicht nodig is.
Dat gaat verder dan alleen kunnen typen in ChatGPT. AI-geletterdheid omvat vier componenten:
- Technisch begrip — hoe werken taalmodellen en waar komen fouten vandaan (hallucinaties, bias, verouderde data)
- Juridisch bewustzijn — welke gegevens mag je wel of niet invoeren, en welke regels gelden
- Ethisch bewustzijn — wanneer neemt de AI beslissingen die impact hebben op mensen
- Praktische vaardigheden — hoe stel je goede prompts op, wanneer verifieer je uitkomsten
Het is expliciet niet hetzelfde als “een cursus volgen”. De wet vraagt om aantoonbare kennis, niet om een bepaald aantal uren op de schoolbank.
Voor wie geldt Artikel 4?
Vrijwel elk Nederlands bedrijf. Artikel 4 maakt geen onderscheid tussen grote en kleine organisaties, geen onderscheid tussen sectoren, en geen uitzondering voor het MKB.
De verplichting geldt voor:
- Alle organisaties die AI ontwikkelen of professioneel gebruiken — inclusief bedrijven die alleen ChatGPT, Microsoft Copilot, Gemini of Claude gebruiken
- Alle medewerkers die met AI werken — van receptie tot directie, van marketing tot finance
- Externen die namens jou met AI werken — freelancers, uitzendkrachten, ingehuurde bureaus
Dat laatste is een detail dat vaak wordt vergeten. Als jouw marketingbureau AI gebruikt voor het schrijven van jouw teksten, valt dat onder jouw verantwoordelijkheid. Datzelfde geldt voor externe recruiters die AI inzetten om cv’s te screenen namens jouw bedrijf.
Een tweede detail: AI zit vaak in bestaande software zonder dat gebruikers het beseffen. Microsoft Copilot in Outlook en Word, Google Gemini in Gmail en Docs, AI-functies in HubSpot, Salesforce, LinkedIn Recruiter, HR-tools, boekhoudpakketten — allemaal AI-systemen waar Artikel 4 op van toepassing is.
Wat betekent “passend niveau”?
Dit is het meest bevraagde element van Artikel 4. De wet vraagt om een passend niveau van AI-geletterdheid, afgestemd op:
- De rol van de medewerker
- De taken die met AI worden uitgevoerd
- De gebruikte AI-systemen
- De potentiële impact op derden
Een receptioniste die af en toe een e-mail laat opstellen door AI heeft een ander niveau nodig dan een HR-manager die AI inzet voor cv-screening. Een marketingmedewerker die teksten laat herschrijven heeft andere kennis nodig dan een financieel analist die AI gebruikt voor risicoanalyses.
Concreet betekent dit: je hoeft niet iedereen op hetzelfde niveau te trainen. Wel moet je per rol nadenken over wat passend is, en dat kunnen onderbouwen. Voor de meeste MKB-bedrijven ontstaat zo een piramide:
- Basisniveau voor alle AI-gebruikers (30-45 minuten training over risico’s, hallucinaties, dataveiligheid)
- Gevorderd niveau voor intensieve gebruikers zoals marketing, sales, klantenservice (uitgebreide sessie of e-learning van 1-2 uur)
- Specialistisch niveau voor rollen met impact op mensen (HR, kredietbeoordeling, compliance) — inclusief bias-training en juridische context
- Bestuur en management — kennis van juridische en strategische implicaties, verantwoordelijkheden als deployer
De vier fasen
De Autoriteit Persoonsgegevens hanteert in haar handreiking een vierfasige aanpak. Deze werkt voor vrijwel elke organisatie en is grotendeels intern uit te voeren:
Fase 1: Inventariseren
Breng in kaart welke AI-tools binnen jouw organisatie worden gebruikt. Ga breed te werk: vraag actief uit bij medewerkers, want AI zit vaak verstopt in bestaande software. Denk aan:
- Standalone tools: ChatGPT, Claude, Gemini, Copilot, Perplexity
- Ingebouwd in kantoorsoftware: Microsoft 365 Copilot, Google Gemini in Workspace
- AI-functies in bedrijfssoftware: CRM (HubSpot AI, Salesforce Einstein), HR-tools, boekhoudpakketten
- Ingehuurde diensten die AI gebruiken: marketingbureaus, recruiters, tekstschrijvers
Een simpele rondvraag toont vrijwel altijd meer aan dan management vermoedt. Negen van de tien MKB-bedrijven onderschatten hoeveel AI er al in hun processen zit.
Fase 2: Categoriseren
Bepaal per medewerker of rol welk kennisniveau nodig is. Werk hiervoor met eenvoudige categorieën:
- Incidenteel gebruik — af en toe een tekstje laten herschrijven → basisniveau
- Regelmatig gebruik — dagelijks AI-ondersteuning in eigen werk → gevorderd
- Beslissingen die mensen raken — HR, klantselectie, kredietbeoordeling → specialistisch
- Bestuurlijke verantwoordelijkheid — als deployer aansprakelijk → bestuurlijk niveau
Documenteer deze categorisering per medewerker of per rol.
Fase 3: Trainen
Kies per categorie een passende trainingsvorm. Er zijn drie hoofdroutes:
Intern regelen — organiseer zelf sessies waarin een AI-bewuste medewerker collega’s uitlegt wat de risico’s zijn. Voor de basisniveau’s is dit vaak voldoende. Kosten: alleen tijd.
Online cursussen — er zijn diverse gratis en betaalde e-learnings. De Autoriteit Persoonsgegevens heeft zelf een openbaar overzicht van praktijkvoorbeelden (de “living repository”) waar organisaties invulling laten zien.
Externe training — voor specialistische rollen of grote groepen kan een gespecialiseerd bureau zinvol zijn. Let op: bureaus die met “verplichte cursus” of “boete-waarschuwingen” schermen zijn commercieel gedreven, niet wettelijk. De wet schrijft geen bepaalde aanbieder voor.
Wat voor elke route geldt: de inhoud moet actueel zijn (AI verandert snel), aansluiten bij de werkpraktijk, en aantoonbaar zijn afgerond.
Fase 4: Documenteren
Dit is de kern van compliance. Niet de training zelf is je grootste risico, maar het ontbreken van bewijs. Leg drie dingen vast:
- Wie de training heeft gevolgd
- Wanneer dit gebeurde
- Op welk niveau of voor welke rol
Een deelnemersoverzicht met afgeronde trainingen per medewerker, per datum, met vermelding van niveau of rol — dat is je sterkste kaart als een klacht wordt gemeld of een toezichthouder onderzoek doet. Voor de meeste MKB-bedrijven is een simpele Excel-lijst of gedeeld document voldoende.
Plan bovendien een jaarlijkse herijking. AI verandert snel, en Artikel 4 vraagt om een niveau dat blijft kloppen bij hoe het werk en de tools evolueren.
AI-geletterdheid per rol
Om het concreet te maken: hier drie voorbeelden van hoe AI-geletterdheid er per rol uit ziet in een gemiddeld MKB-bedrijf:
Marketingmedewerker die ChatGPT gebruikt voor teksten Basis: begrip van hallucinaties, wanneer feiten checken, welke gegevens niet invoeren (klantnamen, financiële data). Praktisch: hoe goede prompts te schrijven. Verplichting: menselijke redactie voor iedere publieke tekst.
HR-manager die AI inzet voor cv-screening Specialistisch niveau. Bias-training verplicht. Kennis van Artikel 5 (verboden praktijken) en Bijlage III (hoog-risico). Documentatie van beoordelingscriteria. Menselijk eindoordeel op elke selectie. Dit is vrijwel altijd hoog-risico AI onder de AI Act — extra zorgvuldigheid geboden.
DGA/directeur van een MKB-bedrijf Bestuurlijk niveau. Kennis van juridische implicaties, verantwoordelijkheden als deployer, boetestructuur, samenhang met andere wetten (AVG, NIS2). Bewustzijn van bestuurdersaansprakelijkheid via D&O-verzekering bij incidenten waarin AI een rol speelt.
Wat het Digital Omnibus-pakket veranderde
Op 7 mei 2026 bereikten de Europese Raad en het Parlement een voorlopig akkoord over het Digital Omnibus-pakket. Dit heeft twee gevolgen voor Artikel 4:
Verzachting van de formulering Organisaties moeten voortaan “maatregelen nemen om de ontwikkeling van AI-geletterdheid te ondersteunen” in plaats van een toereikend niveau te “garanderen“. Semantisch subtiel, juridisch relevant: de bewijslast voor toezichthouders wordt iets zwaarder, en organisaties krijgen iets meer speelruimte bij gedeeltelijke naleving.
Uitstel zware verplichtingen Hoog-risico AI-verplichtingen (Bijlage III) zijn verschoven van 2 augustus 2026 naar 2 december 2027. Voor Artikel 4 verandert dit niets — de handhaving start gewoon op 2 augustus 2026.
Belangrijk: het Digital Omnibus schrapt de verplichting niet. Wie de wijziging aangrijpt als excuus om niets te doen, loopt onnodig risico. Onze bredere analyse van de EU AI Act voor Nederlandse bedrijven legt de andere onderdelen van de wet uit.
Boetes en handhaving
In Nederland is de Autoriteit Persoonsgegevens (AP) aangewezen als coördinerend toezichthouder voor de AI Act. Zij werkt samen met de Rijksinspectie Digitale Infrastructuur (RDI) en sectorspecifieke toezichthouders zoals de AFM en de Nederlandsche Bank.
Boetestructuur (Artikel 99, lid 4):
Schending van verplichtingen voor gebruiksverantwoordelijken — waaronder Artikel 4 — valt onder de middencategorie:
- Maximaal €15 miljoen of 3% van de wereldwijde jaaromzet, het hoogste van de twee
- Voor MKB en startups geldt het laagste van de twee bedragen
Waar de AP naar kijkt:
De AP heeft aangegeven een pragmatische maar strenge aanpak te hanteren. Organisaties die aantoonbaar bezig zijn met compliance krijgen meer ruimte dan organisaties die niets hebben gedaan. Handhaving is initieel klachtgericht: een medewerker, klant of concurrent kan een melding doen, waarna de AP onderzoek kan starten. Proactieve controles op AI-geletterdheid alleen zijn de eerste maanden onwaarschijnlijk.
Wat vaak zwaarder weegt dan de boete:
Reputatieschade en civielrechtelijke aansprakelijkheid. Een gepubliceerd AP-besluit met je bedrijfsnaam werkt door in klantrelaties, aanbestedingen en personeelswerving. Een sollicitant die door AI ten onrechte is afgewezen, kan direct een civiele vordering instellen — los van wat de toezichthouder doet.
Vijf misvattingen
Uit gesprekken met MKB-bedrijven komen vijf terugkerende misverstanden:
1. “Wij gebruiken geen AI.” Bijna altijd onwaar. Een rondvraag laat vaak zien dat de marketingmedewerker dagelijks ChatGPT inzet, de office manager Copilot in Outlook gebruikt, en de recruiter AI-functies in LinkedIn benut. Negen van de tien organisaties onderschatten hun eigen AI-gebruik.
2. “Eén keer training en we voldoen.” Nee. Artikel 4 vraagt om een niveau dat blijft kloppen bij veranderende tools en werkprocessen. Jaarlijkse herijking is minimum.
3. “Alleen IT-mensen hoeven getraind te worden.” Onjuist. De wet geldt voor iedereen die AI gebruikt of bedient namens jou. Marketing, HR, sales, finance, klantenservice — allemaal binnen scope.
4. “Wij zijn te klein voor Artikel 4.” Onjuist. Er is geen MKB-uitzondering. Wel gelden lagere boetemaxima voor kleinere bedrijven, maar de verplichting zelf is dezelfde.
5. “We wachten wel tot Prinsjesdag of tot handhaving daadwerkelijk start.” Riskant. De verplichting geldt al sinds februari 2025. Wie op 2 augustus 2026 nog niets heeft geregeld, is dan al ruim anderhalf jaar in overtreding. Bij een klacht is dat een zwakke uitgangspositie.
Praktische documentatie
Voor de meeste MKB-bedrijven volstaat een compact documentatiepakket. Hier de vier bouwstenen:
1. AI-register Een overzicht van alle gebruikte AI-tools met: naam, doel, aanbieder, risiconiveau (minimaal, beperkt, hoog), welke data erin gaat en wie erverantwoordelijk voor is. Eén A4 per tool, of één spreadsheet met alle tools.
2. AI-beleid Een intern document dat afspraken vastlegt: welke tools mogen worden gebruikt, welke data mag erin, wie geeft toestemming voor nieuwe tools, hoe wordt kwaliteit geborgd. Voor de meeste MKB-bedrijven is een enkelvoudig A4-document voldoende.
3. Trainingsregistratie Een lijst met per medewerker: datum training, vorm (intern, e-learning, extern), niveau of rol, en eventueel certificaat. Simpele Excel of gedeelde documenten volstaan.
4. Leercyclus Een terugkerend moment (bijvoorbeeld halfjaarlijks) waarop drie vragen langs worden gelopen: zijn er nieuwe tools bijgekomen, zijn er nieuwe medewerkers die de basis nog missen, is er iets misgegaan waar we van kunnen leren? Documenteer de uitkomsten.
Dat is alles. Bij een klacht of onderzoek toon je dit pakket. De toezichthouder beoordeelt dan of jouw aanpak “passend” is — niet of je een specifieke cursus hebt gevolgd of X aantal uren hebt gedraaid.
Lees ook
- EU AI Act voor Nederlandse bedrijven: wat verandert er op 2 augustus 2026?
- Cybersecurity voor MKB en ondernemers: de complete gids
- NIS2 / Cyberbeveiligingswet: wat verandert er voor Nederlandse bedrijven
- Cyberverzekering voor bedrijven: wat dekt het en wanneer kies je ervoor?
- Bestuurdersaansprakelijkheidsverzekering (D&O): bescherming bij AI-incidenten
- Beroepsaansprakelijkheidsverzekering (BAV): vermogensschade door beroepsfouten
Veelgestelde vragen
Sinds wanneer is AI-geletterdheid verplicht?
Sinds 2 februari 2025 op grond van Artikel 4 van de EU AI Act. Handhaving door de Nederlandse toezichthouders start vanaf 2 augustus 2026. Wie op die datum nog niets heeft geregeld, is dan al bijna anderhalf jaar in overtreding.
Geldt de verplichting ook voor MKB-bedrijven die alleen ChatGPT of Copilot gebruiken?
Ja. Er is geen MKB-uitzondering en geen minimum-drempel. Zodra medewerkers AI-tools gebruiken, valt de organisatie onder Artikel 4. Ook AI die “verstopt” zit in Microsoft 365, Google Workspace, CRM- of HR-software valt eronder.
Welke training is verplicht?
Geen specifieke training. De wet schrijft geen vast aantal uren, geen bepaalde cursus en geen verplicht certificaat voor. Het gaat om een “passend niveau” dat aansluit bij de rol en taken van de medewerker. Interne sessies, e-learnings en externe trainingen zijn allemaal geldig — mits actueel, aansluitend op de praktijk en aantoonbaar afgerond.
Wat als een medewerker weigert de training te volgen?
De verantwoordelijkheid ligt bij de werkgever als deployer. Weigert een medewerker, dan kan de werkgever passende maatregelen nemen (bijvoorbeeld: AI-toegang beperken tot na training). Documenteer altijd wat is aangeboden en welke stappen zijn ondernomen.
Moet ik externen ook trainen?
Als externen namens jouw organisatie AI gebruiken (freelancers, uitzendkrachten, ingehuurde bureaus), val jij als opdrachtgever onder de verplichting om te borgen dat zij aantoonbaar AI-geletterd zijn. Dit kun je vastleggen in inkoopvoorwaarden of contracten, of door hen aan te laten haken bij jouw eigen trainingen.
Wat zijn de boetes bij niet-naleving?
Voor overtreding van Artikel 4 geldt de middencategorie: maximaal €15 miljoen of 3% van de wereldwijde jaaromzet, het hoogste van de twee. Voor MKB en startups geldt het laagste bedrag. In de praktijk is reputatieschade en civielrechtelijke aansprakelijkheid vaak zwaarder dan de boete zelf.
Wat als er iets misgaat door AI-gebruik door mijn medewerker?
Naast mogelijke handhaving door de AP kan er civielrechtelijke aansprakelijkheid ontstaan. Als AI-geletterdheid ontbreekt en er ontstaat schade — bijvoorbeeld een gehallucineerd advies aan een klant, een onterecht afgewezen sollicitant, of een datalek via ChatGPT — dan is de zwakke compliance-positie een aggravating factor. Voor bestuurders is dit relevant in het licht van bestuurdersaansprakelijkheid.
Waar vind ik officiële informatie en handreikingen?
De Autoriteit Persoonsgegevens heeft een openbare handreiking “Aan de slag met AI-geletterdheid” gepubliceerd. Voor generieke informatie over de AI Act is autoriteitpersoonsgegevens.nl een goede startpagina. Voor het MKB biedt ondernemersplein.overheid.nl een toegankelijk overzicht. De AI Office op EU-niveau onderhoudt bovendien een “living repository” met praktijkvoorbeelden van hoe organisaties AI-geletterdheid invullen.