De belangstelling voor het congres dat de Autoriteit Persoonsgegevens en de Rijksinspectie Digitale Infrastructuur 10 december hielden in Amersfoort was groot, met name vanuit het bedrijfsleven. Directeur-generaal Economie en Digitalisering, Michiel Boots, had begrip voor de frustraties van deelnemers, die vooruit willen maar zich tegengehouden voelen door onzekerheid over wetgeving.
Staan innovatie en toezicht tegenover elkaar?
AI biedt kansen, maar om maatschappelijke risico’s te voorkomen moet je wel aan de regels voldoen. Welke regels? De Europese Europese AI Act biedt de nodige handvatten, maar de Nederlandse implementatiewet staat nog niet eens goed in de steigers. Tijdens het AI Toezichtscongres wordt duidelijk dat het ook voor de inspectiediensten een complexe situatie is. De oplossing wordt gezocht in risicogericht toezicht en overleg vooraf in een zogenoemde regulatory sandbox.
Implementatiewet
En die onzekerheid gaat nog wel even duren. Wetgeving is taai, waarschuwt Boots. Pas in de tweede helft van 2026 gaat de ontwerp-implementatiewet naar de Tweede Kamer. Komend voorjaar vindt een consultatieronde plaats. ‘Ook hebben we nog te maken met een demissionair kabinet.’ Dus zoekt de overheid de dialoog met bedrijven en organisaties die AI-producten en -diensten in de markt willen zetten. In regulatory sandboxes kan met toezichthouders al in de ontwerpfase overlegd worden of deze aan de wettelijke normen voldoen.
Loont een investering?
Constantijn van Oranje, Special Envoy van Techleap, dat startups helpt te groeien, was uitgenodigd om het belang van innovatie onder de aandacht te brengen. ‘Overheid, zorg dat je duidelijk bent’, stelde hij. ‘Bied de kaders, je wilt als bedrijf achteraf niet gestraft worden.’ Ook riep hij op tempo te maken: ‘Het gaat snel, je kunt niet de hele tijd in dialoog zijn.’ Een bedrijf vraagt zich af of het een investering moet doen. Hij waardeerde het initiatief om in regulatory sandboxes de maatschappelijke risico’s te bespreken. Maar: ‘Zorg dat bedrijven de snelheid kunnen behouden.’ Wat hem betreft het liefst de snelheid van Silicon Valley.
Hij roept de overheid op ervoor te zorgen dat alle wetgeving goed geïmplementeerd wordt in de dienstverlening naar bedrijven. Nederland kan wat dat betreft een voorbeeld nemen aan Estland. Maar belangrijk is vooral dat er een consistent wettelijk kader komt en dat er geen ‘plussen’ worden gelegd op de wetgeving uit Europa. Van Oranje waarschuwt: ‘Als hier te veel regelgeving en onduidelijkheid is, gaan bedrijven weg.’
'De inspectie heeft niet alleen een controlerende taak; we zijn er ook om het innovatieklimaat te stimuleren'
Angeline van Dijk, inspecteur-generaal bij RDI
Dialoog
Laten we inzetten op dialoog en samenwerking, is de boodschap van de toezichthouders. Inspecteur-generaal RDI, Angeline van Dijk, en AP-bestuurder Katja Mur, deden een oproep aan de congresdeelnemers om samen de uitdaging op te pakken. ‘De roep om duidelijkheid is gehoord’, zei Mur. ‘Maar staan innovatie en toezicht tegenover elkaar of zijn we complementair?’, vroeg Van Dijk zich af. 'Laten we allemaal onze rol pakken. De inspectie heeft niet alleen een controlerende taak; we zijn er ook om het innovatieklimaat te stimuleren.'
Mur benadrukt het belang van waardengedreven innovatie. De AP brengt twee keer per jaar de risico’s en effecten van de inzet van algoritmes en AI in kaart. Technologie ontwikkelt zich snel. ‘Laten we oog blijven houden voor discriminerende systemen. Als AP willen we ruimte geven, maar aan de voorkant in kunnen grijpen bij grote risico’s.’
De uitkomsten van de regulatory sandboxes kunnen een basis vormen voor standaardisering, stelt Van Dijk. ‘Die zullen we dan ook communiceren. Zo kunnen we werken aan een level playing field in de Europese markt.’
V.l.n.r. Sven Stevenson (AP), Huub Janssen (RDI) en John Derksen (RDI)
Risicogericht toezicht
De AP en de RDI, die samen verantwoordelijk zijn voor de coördinatie op het toezicht op AI willen geen nalevingstoezichthouder zijn. ‘We gaan niet met afvinklijstjes achteraf werken’, zegt John Derksen, directeur apparatuur bij RDI. Hij spreekt graag over een regulatory dialogue: ‘We willen met bedrijven “het goede gesprek” voeren over de risico’s die afgedekt moeten worden.’
Derksen: ‘Risicogericht toezicht betekent dat we risico’s zullen moeten aanvaarden. Dus niet alles van tevoren regelen, maar wel aan de voor- én achterkant het goede gesprek voeren. Hij voegt er wel aan toe dat bij echte normovertredingen uiteraard het bonnenboekje wordt getrokken.
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.
Gelukkig liggen er al zoveel handvatten! Wetgeving loopt altijd achter.
Dus als je snel toch wilt kunnen innoveren met AI, dan geeft de EU AI Act al richting, ook zonder NL implementatiewet en zelfs met toezichthouders (AP/RDI) die richting risicogericht toezicht + regulatory sandboxes bewegen. Je zal zien dat het bedrijfsleven niet gaat wachten tot er eindelijk een keertje een NL wet is. We zijn een van de meest open economieen op de planeet. Daar kun je niet op wachten! Ze zullen juist de tijd gebruiken door alvast te werken met een modern, toetsbaar standaard-stack; met een managementsysteem + risicostandaarden + impact assessments + security/privacy + transparantie + (toekomstige) harmonised standards.
Om te beginnen verplicht de AI Act de lidstaten om minstens één nationale AI regulatory sandbox operationeel te hebben per 2 augustus 2026. (https://ai-act-service-desk.ec.europa.eu/en/ai-act/article-57) dus daar komt die sandbox gedachte vandaan. De Europese standaardisatie (CEN-CENELEC JTC21) werkt expliciet aan geharmoniseerde normen ter ondersteuning van de AI Act, met versnelling richting beschikbaarheid (doel: Q4 2026 voor key standards). (https://www.cencenelec.eu/news-events/news/2025/brief-news/2025-10-23-ai-standardization/)
Het is dus echt al wel duidelijk waar je op moet gaan letten. Dan de ruggengraat: moderne governance- en risicostandaarden (de ruggengraat). Die helpen om vandaag al “AI Act-ready” te organiseren, óók als de nationale implementatie nog in wording is.
Denk aan het omarmen van een organisatie breed AI Management System (AIMS) conform ISO/IEC 42001:2023 Dat is nu al de facto de modernste mondiale standaard om AI governance structureel te borgen: beleid, rollen, lifecycle controls, monitoring, continue verbetering. (https://www.iso.org/home/insights-news/resources/iso-42001-explained-what-it-is.html) Voor AI-risicomanagement (inhoudelijke diepgang) kan men zich alvast verdiepen in de ISO/IEC 23894:2023 (AI Risk Management Guidance) die zich richt op het organiseren van AI-specifieke risico’s (bias, safety, misuse, drift) in processen. (https://www.iso.org/standard/77304.html )
De NIST AI RMF 1.0 (Govern–Map–Measure–Manage) + GenAI Profile (2024) is nu al zeer bruikbaar als “common language” in sandboxes (ook met internationaal opererende vendors) en sterk op meetbaarheid/monitoring. (https://www.nist.gov/publications/artificial-intelligence-risk-management-framework-ai-rmf-10). Voor het aantoonbaar maken van de maatschappelijke effecten van de te ontwikkelen AI schepping is daar het AI Impact Assessment, waar gelukkig ook al een standaard voor bestaat in de vorm van de ISO/IEC 42005:2025 (AI System Impact Assessment) Wat nieuw is in de AI Act is de nadruk op de gestructureerde impact assessment op mensen/samenleving door de gehele lifecycle heen. Dit sluit inhoudelijk mooi aan op “fundamental rights” en helpt toezichthouders én bedrijven om dezelfde vragen te stellen. (https://www.iso.org/standard/44545.html ) Geen AI zonder algoritmen dus kijk ff op de IAMA (Impact Assessment Mensenrechten en Algoritmes) wat al de Nederlandse overheidspraktijk is. Het is een concreet instrument om mensenrechten-impact bespreekbaar en toetsbaar te maken in ontwerp/gebruik. (https://www.rijksoverheid.nl/documenten/rapporten/2021/02/25/impact-assessment-mensenrechten-en-algoritmes )
Security, privacy, en overheidsnormenkaders (de “licence to operate”) kun je alvast zo goed mogelijk onderbouwen met gestructureerde aandacht voor de informatiebeveiliging & keten-eisen, met ISO/IEC 27001:2022 (ISMS) als basis voor aantoonbare security governance. (https://www.iso.org/standard/82875.html ) en met de BIO2 (Baseline Informatiebeveiliging Overheid, risicogericht; aligned op ISO27001/27002)
De BIO2 is expliciet risicogericht en is het normenkader waar je als overheid(leverancier) niet omheen kunt. (https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/cybersecurity/bio-en-ensia/baseline-informatiebeveiliging-overheid/ ) Bovenop die security moet er aandacht zijn voor privacy management waarvoor de ISO/IEC 27701:2025 (PIMS) is na te lezen. De nieuwe editie 2025 helpt aantoonbaar richting AVG/GDPR compliance. Ook de GDPR DPIA (Art. 35) zou een vaste poort in je intake voor “hoog risico verwerking” moeten zijn. (https://gdprexplorer.com/en-article-35?utm_source=openai)
Transparantie- en verantwoordingsstandaarden (cruciaal voor toezicht) vindt je in de Dutch Algorithmic Transparency Standard** (publicatiestandaard / informatievelden)
Dit is praktisch goud voor een “level playing field”: je kunt eisen standaardiseren voor registraties, dossieropbouw en publicatie (algoritmeregister). (https://standaard.algoritmeregister.org/ )
Allemaal no regrets. Natuurlijk speelt die onzekerheid van “welke norm is straks dé norm?” maar veel daarvan zal landen in geharmoniseerde Europese normen (CEN-CENELEC JTC21) die de technische invulling geven van AI Act-verplichtingen—en daar wordt al aan versneld gewerkt richting eind 2026. (https://www.cencenelec.eu/news-events/news/2025/brief-news/2025-10-23-ai-standardization/ ) Kwestie van je sandbox-werkwijze zó bouwen, dat je later “harmonised standards” alleen nog hoeft te mappen op bestaande controls (in plaats van opnieuw uitvinden).Een mogelijke “Regulatory Sandbox Standard Stack” als architectuurpatroon (toezicht + innovatie) zou kunnen zijn:
Intake & classificatie (AI Act risicoklasse + GDPR/DPIA-trigger)
Managementsysteem: ISO 42001 als bestuurlijke “kapstok”
Risicoregister & controls: ISO 23894 + NIST AI RMF (meet- en monitorbaar)
Impact assessments: ISO 42005 + IAMA (fundamental rights/maatschappelijk)
Security & privacy: BIO2/ISO27001 + ISO27701
Transparantie-dossier:
Dutch Algorithmic Transparency Standard (en waar passend algoritmeregister)
Exit criteria: testresultaten, residual risk-acceptatie, monitoringplan
(post-deployment)
Dit maakt risicogericht toezicht concreet en geen “afvinken achteraf”, maar evidence-by-design. Anno 2026 organiseer je compliance VOORAF en niet achteraf,
Al is het 80-20, er is geen enkele reden om niet alvast te beginnen.