Trusq

feitelijke duiding · herleidbaar naar primaire bronnen

Onderwerpen Kansen Doe de check Samenwerken LinkedIn NL·EN
Wegwijzer

De AI Act voor de bestuurder: verantwoordelijkheid, aansprakelijkheid en toezicht

Vastgesteld 2026-06-22 · ≈ 2 min lezen · Dirk Baaijen

De AI Act maakt het bestuur eindverantwoordelijk voor verantwoord AI-gebruik. Boetes lopen tot 35 miljoen euro of 7% van de wereldwijde omzet. Dit overzicht legt uit waar het bestuur op moet sturen, hoe toezicht te organiseren en waar persoonlijke risico's liggen.

Kort antwoord: De AI Act is geen IT-dossier maar een bestuursverantwoordelijkheid. Het bestuur bepaalt de risicobereidheid, richt het toezicht in en is aanspreekbaar als het misgaat. De zwaarste boetes lopen tot 35 miljoen euro of 7% van de wereldwijde jaaromzet — een bedrag dat alleen op directieniveau te dragen valt. Compliance delegeren mag; eindverantwoordelijkheid niet.

Waarom dit op de bestuurstafel hoort

De AI Act legt verplichtingen bij de organisatie, niet bij een afdeling. Wie AI inkoopt, ontwikkelt of inzet, moet aantonen dat dit verantwoord gebeurt: risicoclassificatie, documentatie, menselijk toezicht en in sommige gevallen registratie. Een bestuur dat dit niet borgt, neemt een onbeheerst risico op de balans.

Daar komt bij dat AI raakt aan strategie: efficiëntie, productinnovatie, reputatie en juridisch risico komen samen. Dat maakt het bij uitstek een onderwerp voor de directie en de raad van commissarissen.

Drie soorten verantwoordelijkheid

  • Wettelijk. De organisatie kan worden beboet door de toezichthouder. Het boeteregime is gestaffeld: verboden AI-praktijken vormen de zwaarste categorie.
  • Civielrechtelijk. Naast de AI Act bepaalt de herziene Productaansprakelijkheidsrichtlijn wie schade vergoedt als AI fout gaat — zie AI-aansprakelijkheid.
  • Bestuurlijk. Onbehoorlijk bestuur kan persoonlijke aansprakelijkheid opleveren als het bestuur een kenbaar risico structureel negeert.

Wat het bestuur moet borgen

Een bestuur hoeft de techniek niet te begrijpen, maar moet wel kunnen aantonen dat er grip is. Dat vraagt om een governance-raamwerk met heldere rollen, een actueel overzicht van ingezette AI-systemen en hun risicoklasse, en een escalatielijn naar de directie.

Begin met een inventarisatie: welke AI gebruiken we, in welke rol (aanbieder of gebruiksverantwoordelijke), en welke risicoklasse hoort daarbij? Zie het overzicht hoogrisico-verplichtingen voor wat een hoogrisico-classificatie betekent.

Toezicht inrichten

Effectief toezicht is ritme, geen eenmalige check. Laat de directie periodiek rapporteren over het AI-portfolio, incidenten en openstaande compliancepunten. Beleg eigenaarschap expliciet — vaak bij een AI-officer of een stuurgroep — en zorg dat het bestuur over genoeg AI-geletterdheid beschikt om de juiste vragen te stellen.

Wat te doen

  • Beleg eigenaarschap op directieniveau en leg de rapportagelijn vast.
  • Stel een AI-inventarisatie op met rol en risicoklasse per systeem.
  • Implementeer een governance-raamwerk met beleid, toetsing en escalatie.
  • Borg AI-geletterdheid bij bestuur en sleutelfunctionarissen.
  • Stem af met DPO, CISO en inkoop — zie de AI Act voor de DPO en voor de inkoper.
  • Beoordeel verzekering en contracten op dekking van AI-risico's.

De AI Act vraagt geen bestuurder die alles weet, maar wel een bestuurder die aantoonbaar stuurt. Dat onderscheid bepaalt straks of een toezichthouder of rechter spreekt van zorgvuldig of nalatig bestuur.

Bronnen

  1. https://eur-lex.europa.eu/eli/reg/2024/1689/oj
    Verordening (EU) 2024/1689 (AI Act): risicogebaseerde verplichtingen, boeteregime en eisen aan menselijk toezicht.
  2. https://eur-lex.europa.eu/eli/dir/2024/2853/oj
    Richtlijn (EU) 2024/2853 (herziene Productaansprakelijkheidsrichtlijn): civielrechtelijke route voor schade door AI.

Deel op LinkedIn

Lees ook

W

Bestuurlijke AI Act-briefing: sjabloon voor directie en MT

Een beknopt sjabloon om de AI Act en het AI-gebruik op de bestuurstafel te krijgen: wat speelt er, welke risico's en deadlines, welke besluiten zijn nodig, en welke toezichtvragen het bestuur moet stellen. Neem het over voor je eerstvolgende MT/RvC.

U

AI-agents voor bestuurders: welke vragen moet je stellen?

Voor bestuurders draait het bij AI-agents niet om techniek maar om grip: wie is eigenaar, welke acties mag de agent zelf doen, hoe houden we toezicht, en wie is aansprakelijk? Deze duiding geeft de bestuurlijke kernvragen.

U

NIS2 en bestuursaansprakelijkheid: wat moet het bestuur doen?

Onder NIS2 keurt het bestuur de cyberbeveiligingsmaatregelen goed, ziet toe op de uitvoering, volgt verplichte training en kan aansprakelijk worden gesteld bij inbreuken op de zorgplicht.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.