De Europese AI-verordening stelt regels voor de ontwikkeling en het gebruik van AI-systemen in de hele Europese Unie, maar laat de handhaving en het nationale toezicht grotendeels over aan de lidstaten. In Nederland wordt dat geregeld door de Uitvoeringswet AI-verordening (UAIV). Op 20 april 2026 bracht staatssecretaris Aerdts (Digitale Economie en Soevereiniteit) het conceptwetsvoorstel in internetconsultatie. De consultatie stond open tot 1 juni 2026 en schetst hoe het Nederlandse toezichtstelsel wordt ingericht, welke autoriteiten bevoegd zijn en welke boetes kunnen worden opgelegd.

Wat de UAIV regelt

De UAIV is de nationale wet die de AI-verordening in Nederland uitvoerbaar maakt. Zonder deze wet hebben toezichthouders geen wettelijke bevoegdheid om te handhaven. De wet wijst aan welke autoriteiten markttoezichthouder zijn, geeft hen de bevoegdheden die de AI-verordening vereist, regelt hoe autoriteiten samenwerken en onderling informatie uitwisselen, en bepaalt via welke procedure boetes worden opgelegd. De UAIV is daarmee niet zozeer een inhoudelijke aanscherping van de Europese regels, maar de organisatorische en procedurele vertaling ervan naar de Nederlandse rechtsorde.

Een gedecentraliseerd toezichtmodel

Nederland kiest niet voor één centrale AI-toezichthouder. Het conceptwetsvoorstel verdeelt het toezicht over tien bestaande autoriteiten, elk verantwoordelijk voor hun eigen domein. De gedachte is dat organisaties zoveel mogelijk te maken blijven met de toezichthouders die zij al kennen. Een financiële instelling die AI inzet voor kredietbeoordeling krijgt te maken met de Autoriteit Financiële Markten (AFM) of De Nederlandsche Bank (DNB), niet met een nieuwe AI-autoriteit.

De Autoriteit Persoonsgegevens (AP) en de Rijksinspectie Digitale Infrastructuur (RDI) vervullen een coördinerende rol over het gehele stelsel. Zij ondersteunen andere toezichthouders, bevorderen samenwerking en voorkomen versnippering van toezicht. De RDI wordt daarnaast aangewezen als Single Point of Contact (SPOC): het formele aanspreekpunt voor burgers, bedrijven en Europese instellingen, en de vertegenwoordiger van Nederland in Europese overleggen.

Verdeling per domein

De tien aangewezen markttoezichtautoriteiten hebben elk een eigen bevoegdheidssfeer:

  • AP: toezicht op verboden AI-praktijken, het grootste deel van de hoog-risico AI-systemen uit Bijlage III van de AI-verordening (zoals biometrie, onderwijs, arbeidsmarkt en democratische processen), en transparantieverplichtingen. Binnen de AP wordt het AI-toezicht organisatorisch gescheiden van het AVG-toezicht.
  • RDI: coördinerend toezichthouder en SPOC; ook bevoegd voor AI in draadloze apparaten (Radio Equipment Directive) en digitale kritieke infrastructuur, samen met de Inspectie Leefomgeving en Transport (ILT).
  • AFM en DNB: volledig bevoegd voor verboden AI-praktijken, hoog-risico AI-systemen en transparantieverplichtingen binnen de financiële sector.
  • IGJ (Inspectie Gezondheidszorg en Jeugd): toezicht op AI in medische hulpmiddelen en zorgtoepassingen.
  • Nederlandse Arbeidsinspectie (NLA): toezicht op AI in de werkplek, zoals cv-screening en planningsalgoritmen.
  • NVWA: productveiligheid voor consumenten, AI in voedselketens en consumentenartikelen.
  • Procureur-Generaal bij de Hoge Raad en de Voorzitter van de Afdeling bestuursrechtspraak van de Raad van State: toezicht op AI in de rechtsbedeling, met waarborging van de onafhankelijkheid van de rechterlijke macht.

Handhavingsbevoegdheden

Het conceptwetsvoorstel geeft toezichthouders ruime handhavingsbevoegdheden. Zij kunnen onaangekondigd inspecties uitvoeren, documenten opvragen, AI-registers inzien en technische documentatie controleren. Een opvallende bevoegdheid is het onderzoek onder fictieve identiteit: toezichthouders mogen als mystery shopper toegang proberen te krijgen tot AI-systemen om de werking in de praktijk te toetsen. Bij geconstateerde overtredingen kunnen zij een last onder dwangsom of een bestuursdwangmaatregel opleggen, en bij ernstige schendingen een bestuurlijke boete.

Boetes: drie niveaus

De AI-verordening zelf (artikel 99) stelt de maximale boetebedragen vast. De UAIV regelt de nationale procedure voor het opleggen ervan. Er zijn drie niveaus:

  • Tot 35 miljoen euro of 7% van de wereldwijde jaaromzet (het hoogste bedrag geldt): voor gebruik van verboden AI-systemen zoals sociale scoring, manipulatie van kwetsbare groepen of ongeoorloofde biometrische identificatie op afstand.
  • Tot 15 miljoen euro of 3% van de wereldwijde jaaromzet: voor niet-naleving van de meeste overige verplichtingen, waaronder verplichtingen voor hoog-risico AI-systemen en transparantieverplichtingen.
  • Tot 7,5 miljoen euro of 1% van de wereldwijde jaaromzet: voor het verstrekken van onjuiste of misleidende informatie aan toezichthouders of aangemelde instanties.

Voor kleine en middelgrote ondernemingen gelden lagere plafonds. Bij de bepaling van de hoogte van een boete wegen toezichthouders onder meer de ernst en duur van de overtreding, de mate van opzet of nalatigheid, de omvang van de schade en het eerdere gedrag van de organisatie mee.

Stand van zaken en verdere procedure

De verboden AI-praktijken (artikel 5 AI-verordening) zijn al van kracht sinds 2 februari 2025. De geletterdheidsplicht van artikel 4 eveneens. Voor zelfstandige hoog-risico AI-systemen uit Bijlage III gold aanvankelijk 2 augustus 2026 als deadline; door het akkoord over de AI Omnibus van 7 mei 2026 is die termijn verschoven naar 2 december 2027. Voor AI ingebouwd in gereguleerde producten (Bijlage I) geldt 2 augustus 2028.

De UAIV zelf is nog niet in werking getreden. Na de internetconsultatie (gesloten 1 juni 2026) volgt behandeling door de Tweede en Eerste Kamer. De RDI en AP opereren in de tussentijd via bestaande bevoegdheden onder de AVG en de Algemene wet bestuursrecht.

"Omdat AI in veel sectoren wordt toegepast, stelt het kabinet een toezichtstructuur voor waarin meerdere bestaande toezichthouders samenwerken." — Rijksoverheid, 20 april 2026

Wat dit betekent voor aanbieders en gebruiksverantwoordelijken

Organisaties die AI inzetten dienen te weten welke toezichthouder bevoegd is voor hun toepassingsgebied. Een zorginstelling richt zich tot de IGJ, een bank tot de AFM of DNB, en een werkgever die AI inzet voor personeelsbeheer tot de Nederlandse Arbeidsinspectie. Voor toepassingen die meerdere sectoren raken of waarvoor geen sectorale autoriteit bestaat, is de AP het primaire aanspreekpunt.

Concrete aanbevelingen voor naleving zijn: het bijhouden van een AI-register met alle gebruikte systemen, het kunnen overleggen van bewijs dat medewerkers aan de AI-geletterdheidsplicht voldoen, en het beschikbaar hebben van technische documentatie en risicoanalyses voor hoog-risico toepassingen. Toezichthouders hebben bevestigd dat zij na de inwerkingtreding van de relevante bepalingen direct kunnen beginnen met handhaving.