Artikel 4 van de EU AI-verordening (Verordening (EU) 2024/1689) is op 2 februari 2025 van toepassing geworden. Het artikel is bijzonder: het geldt voor álle organisaties die AI-systemen gebruiken of aanbieden, ongeacht de risicocategorie van het systeem. Of een organisatie nu ChatGPT inzet voor tekstredactie of een hoog-risico AI-systeem voor kredietbeslissingen: de geletterdheidsplicht is van kracht. Wat de wet precies verplicht, voor wie het geldt, wat "toereikend niveau" in de praktijk betekent en hoe organisaties dit aantoonbaar maken, wordt hieronder stap voor stap toegelicht.

De wettekst

De volledige tekst van artikel 4 luidt:

Aanbieders en gebruiksverantwoordelijken van AI-systemen nemen maatregelen om, zoveel als mogelijk, te zorgen voor een toereikend niveau van AI-geletterdheid bij hun personeel en andere personen die namens hen AI-systemen exploiteren en gebruiken, en houden daarbij rekening met hun technische kennis, ervaring, onderwijs en opleiding en de context waarin de AI-systemen zullen worden gebruikt, evenals met de personen of groepen personen ten aanzien van wie de AI-systemen zullen worden gebruikt. — Verordening (EU) 2024/1689, artikel 4

Artikel 4 staat in Hoofdstuk I (Algemene bepalingen) en is daarmee systematisch losgekoppeld van de risicoclassificatie. De verplichting bestaat ongeacht of een organisatie te maken heeft met verboden AI, hoog-risico AI of laagrisicotools.

Voor wie geldt de plicht?

De plicht rust op twee categorieën:

  • Aanbieders: organisaties die een AI-systeem ontwikkelen of laten ontwikkelen en dit op de markt brengen onder eigen naam of label.
  • Gebruiksverantwoordelijken (deployers): organisaties die een AI-systeem van een andere partij professioneel inzetten onder eigen verantwoordelijkheid.

De meeste Nederlandse bedrijven, overheden en non-profits vallen in de tweede categorie. Wie Microsoft Copilot, ChatGPT, een AI-functie in een HR-systeem of een geautomatiseerd adviessysteem gebruikt, is gebruiksverantwoordelijke en valt dus onder artikel 4. Bedrijfsgrootte is niet relevant: de verplichting geldt ook voor het MKB.

De plicht strekt zich bovendien uit tot "andere personen die namens hen AI-systemen exploiteren en gebruiken". De Europese Commissie verduidelijkt in haar officiële Q&A dat dit niet beperkt is tot werknemers: ook contractors, dienstverleners en in bepaalde gevallen cliënten vallen hieronder, voor zover zij onder de organisatorische verantwoordelijkheid handelen.

Wat betekent "toereikend niveau"?

Er bestaat geen wettelijk vastgestelde norm voor wat "toereikend" is. De EU AI Office hanteert bewust flexibiliteit. Het minimaal vereiste houdt in dat een organisatie:

  1. Algemeen AI-begrip borgt: medewerkers weten wat AI is, hoe het werkt, welke systemen in de eigen organisatie worden ingezet en welke kansen en risico's dit meebrengt.
  2. De eigen rol bepaalt: is de organisatie aanbieder of gebruiksverantwoordelijke?
  3. Systeemspecifieke risico's in kaart brengt: wat moeten medewerkers weten over het concrete AI-systeem waarmee ze werken, en welke risico's moeten zij kennen en kunnen mitigeren?
  4. Training afstemt op het individu: rekening houdend met technische kennis, ervaring, opleiding en de context van gebruik.
  5. Juridische en ethische aspecten opneemt: verbindingen met de AI-verordening, privacywetgeving (AVG) en governance-principes worden aangemoedigd.

Bij hoog-risico AI-systemen (Bijlage III) gelden via artikel 26 aanvullende eisen: medewerkers moeten voldoende getraind zijn om menselijke controle daadwerkelijk te kunnen uitoefenen. Enkel verwijzen naar de gebruiksaanwijzing van een systeem is dan onvoldoende.

Rol per type organisatie

De invulling van artikel 4 verschilt per rol en context:

  • Aanbieders dragen mede verantwoordelijkheid voor het informatieniveau dat zij aan deployers meegeven. Artikel 53(1)(b) verplicht aanbieders van GPAI-modellen om providers van AI-systemen voldoende informatie te verstrekken zodat deze hun geletterdheidsverplichtingen kunnen naleven.
  • Gebruiksverantwoordelijken in het MKB kunnen aansluiten bij Europese Digital Innovation Hubs (EDIH's), die AI-gerelateerde trainingen en workshops aanbieden. Er zijn 251 EDIH's in Europa, waarvan een deel ook in Nederland actief is.
  • Overheidsorganisaties werken bij hoog-risico AI direct in op levens van inwoners, bijvoorbeeld bij uitkeringen, handhaving of toelating. De Rijksoverheid biedt via het Algoritmekader praktische handvatten, en het Algoritmeregister helpt bij de identificatiefase.

Aantoonbaarheid en documentatie

Er is geen verplicht certificaat en geen verplichte toets. Organisaties kiezen zelf de aanpak. Wel moeten zij bij een controle of incident kunnen aantonen dat zij concrete maatregelen hebben genomen. Aanbevolen documentatie omvat:

  • Een overzicht van de gebruikte AI-systemen en de betrokken medewerkers
  • Een AI-beleid en een rollenmatrix met het vereiste kennisniveau per functie
  • Deelnamelijsten en certificaten van gevolgde trainingen
  • Verslagen van evaluaties en rapportages aan het bestuur
  • Contractuele afspraken met leveranciers en ingehuurd personeel

De Autoriteit Persoonsgegevens (AP) heeft twee handreikingen gepubliceerd, Aan de slag met AI-geletterdheid (januari 2025) en Verder bouwen aan AI-geletterdheid (oktober 2025), die een iteratief vierstappenplan beschrijven: identificeren, doelen bepalen, uitvoeren en evalueren. Hoewel deze handreikingen geen bindende normen zijn, is naleving ervan een sterke indicatie van compliance.

Handhaving en sancties

Artikel 4 is van kracht sinds 2 februari 2025. De toezicht- en handhavingsregels voor nationale markttoezichthouders treden in werking op 2 augustus 2026. In Nederland treedt de AP op als coördinerend toezichthouder, in samenwerking met de Rijksinspectie Digitale Infrastructuur (RDI).

Schending van de verplichtingen voor gebruiksverantwoordelijken, waaronder artikel 4, valt onder de middencategorie van artikel 99: boetes tot € 15 miljoen of 3% van de wereldwijde jaaromzet (het hoogste van de twee). Voor het MKB geldt het laagste bedrag. In de praktijk zal een gebrek aan AI-geletterdheid eerder als verzwarende factor meewegen bij bredere handhaving dan als zelfstandige grond voor een boete, maar bij een incident of klacht is documentatie van genomen maatregelen cruciaal.

De verplichting om maatregelen te nemen om AI-geletterdheid van het personeel te waarborgen geldt al [sinds 2 februari 2025]. De toezicht- en handhavingsregels gelden vanaf 2 augustus 2026. — Europese Commissie, Q&A on AI Literacy (2025)

Digital Omnibus: mogelijke wijziging in aantocht

De Europese Commissie stelde in november 2025 via de Digital Omnibus voor om de verplichting van artikel 4 te verschuiven van een directe organisatieplicht naar een promotietaak voor lidstaten en de Commissie. Dit akkoord was op het moment van publicatie nog niet definitief aangenomen. Voor organisaties die hoog-risico AI inzetten blijft de trainingsverplichting voor menselijke controle (artikel 26) in elk geval van kracht. Tot een formele wetswijziging geldt de huidige tekst van artikel 4 volledig.