Artikel 4 van de EU AI-verordening (Verordening (EU) 2024/1689) verplicht aanbieders en gebruiksverantwoordelijken van AI-systemen om maatregelen te nemen zodat hun personeel een toereikend niveau van AI-geletterdheid bezit. Er bestaat geen verplicht certificaat of examen. Dat betekent echter niet dat organisaties niets hoeven te documenteren. Bij een audit of handhavingsprocedure moeten zij aannemelijk maken dat zij een serieuze inspanning hebben geleverd. Dit artikel beschrijft welke documentatie de toezichthouders naar verwachting als bewijs accepteren en waar de grenzen liggen van de "zoveel als mogelijk"-norm uit artikel 4.

De norm: inspanningsverplichting, geen resultaatverplichting

Artikel 4 formuleert een inspanningsverplichting. De verordening schrijft voor dat aanbieders en gebruiksverantwoordelijken maatregelen nemen "zoveel als mogelijk". De Europese Commissie bevestigt in haar Q&A over AI-geletterdheid dat er geen certificaat vereist is en dat organisaties een intern register van trainingen en andere begeleidende initiatieven kunnen bijhouden. De nationale markttoezichthouders beoordelen bij handhaving of een organisatie een "best-effort" inspanning heeft geleverd. Een proportionele aanpak staat daarbij centraal: de intensiteit van bewijs die verwacht wordt, hangt samen met de aard en het risiconiveau van de ingezette AI-systemen.

Welke documentatie telt als bewijs

Hoewel de verordening geen uitputtende lijst van bewijsstukken geeft, volgt uit de tekst van artikel 4 en de EC-guidance een helder richtlijn voor wat toezichthouders als relevante documentatie beschouwen:

  • AI-systeeminventaris: een overzicht van welke AI-systemen de organisatie gebruikt, voor welk doel en met welke risicoclassificatie. Dit vormt de basis voor elke beoordeling van het vereiste geletterdheidsniveau.
  • Trainingsplan of opleidingsplan: een schriftelijk plan dat beschrijft welke medewerkers welke training volgen, afgestemd op hun functie en het type AI-systeem waarmee zij werken.
  • Deelnamebewijzen of aanwezigheidsregistraties: per training, e-learning of workshop een bewijs dat medewerkers daadwerkelijk hebben deelgenomen. Dit kan een automatisch gegenereerd certificaat van een e-learningplatform zijn, maar ook een ondertekende aanwezigheidslijst.
  • Intern AI-beleid of AI-richtlijnen: een document dat beschrijft hoe de organisatie omgaat met AI-gebruik, welke tools zijn toegestaan, hoe incidenten worden gemeld en wie verantwoordelijk is.
  • Functieprofiel-koppeling: documentatie waaruit blijkt dat het geletterdheidsniveau is afgestemd op de individuele medewerker, rekening houdend met diens technische kennis, ervaring en de context van gebruik. Artikel 4 noemt deze factoren expliciet.

Wat toezichthouders in Nederland controleren

Vanaf 2 augustus 2026 zijn de nationale markttoezichthouders bevoegd om artikel 4 te handhaven. In Nederland worden de Autoriteit Persoonsgegevens (AP) en de Rijksinspectie Digitale Infrastructuur (RDI) de centrale coördinerende toezichthouders. Sectorale toezichthouders zoals de AFM, DNB en IGJ houden toezicht binnen hun eigen domein. De uitvoeringswet AI-verordening (UAIV), waarvan de internetconsultatie liep tot 1 juni 2026, legt de bevoegdheidsverdeling wettelijk vast.

Toezichthouders beoordelen bij een controle of de organisatie aantoonbaar heeft nagedacht over wie AI gebruikt, welk risico dat meebrengt en welke maatregelen zijn genomen. Een organisatie die alleen mondeling kan verklaren dat medewerkers "weten hoe AI werkt" zonder enige schriftelijke onderbouwing, zal die toets moeilijk doorstaan. De EC geeft expliciet aan dat handhaving strenger kan uitvallen als er bewijs is van een incident dat is veroorzaakt door onvoldoende training.

De rol van sectorale toezichthouders

De AP is de voorgestelde markttoezichthouder voor AI-toepassingen met een hoog risico in sectoren zonder eigen gespecialiseerde toezichthouder, zoals onderwijs, werkgelegenheid en rechtshandhaving. In de financiële sector treden AFM en DNB op als markttoezichthouder, in de zorg de IGJ. Sectorale toezichthouders kennen de specifieke context van AI-gebruik in hun sector en kunnen daarmee gerichte vragen stellen over de adequaatheid van het geletterdheidsniveau. Een bank die gebruik maakt van een AI-systeem voor kredietbeoordeling wordt daarmee geconfronteerd met hogere verwachtingen ten aanzien van de documentatie dan een bedrijf dat alleen een generieke AI-schrijfassistent inzet.

Wat niet verplicht is

De Europese Commissie stelt expliciet dat er geen verplichting bestaat om de kennis van medewerkers formeel te toetsen of een extern certificaat te verkrijgen. Er is ook geen verplichting tot het aanstellen van een AI-officer of het inrichten van een AI-governanceraad op grond van artikel 4 alleen. Interne assessments en deelnamebewijzen zijn aan te bevelen als bewijsmiddel, maar zijn geen wettelijke eis op zichzelf. Een organisatie bepaalt zelf welke maatregelen passend zijn, mits die maatregelen aantoonbaar en proportioneel zijn aan het risiconiveau van de gebruikte AI-systemen.

Minimaal aanbevolen documentatiepakket

Voor organisaties die willen aantonen dat zij aan artikel 4 voldoen, is een minimaal documentatiepakket aan te bevelen dat bestaat uit: (1) een AI-systeeminventaris met risicoclassificatie, (2) een trainingsplan met functieprofiel-koppeling, (3) deelnamebewijzen per medewerker per training, en (4) een intern AI-beleid met heldere verantwoordelijkheden. Dit pakket vormt bij een audit een aantoonbaar startpunt en toont aan dat de organisatie de inspanningsverplichting serieus neemt. Naarmate de gebruikte AI-systemen een hoger risico dragen, zal van de organisatie een uitgebreidere onderbouwing worden verwacht.