Twee Europese wetgevingstrajecten komen in 2026 tegelijk tot uitvoering: de EU AI Act en de NIS2-richtlijn, in Nederland geïmplementeerd via de Cyberbeveiligingswet. Voor de kwaliteitsmanager die werkzaam is in energie, transport, water, gezondheidszorg, financiën of overheid, betekent dat één ding: uw rol verandert ingrijpend. Niet over een jaar of twee, maar nu.
Dit artikel geeft een helder overzicht van wat beide wetten van uw organisatie vragen, hoe ze samenhangen, en welke concrete taken er bij de kwaliteitsmanager terechtkomen. Inclusief de deadlines die u niet mag missen.
De EU AI Act in het kort
De EU AI Act is de eerste bindende AI-wetgeving ter wereld. Ze verdeelt AI-systemen in vier risicocategorieën en koppelt aan elke categorie een pakket verplichtingen. De zwaarste eisen gelden voor zogeheten hoog-risico-systemen, en dat zijn er meer dan de meeste organisaties denken.
Verboden AI kent geen uitzonderingen: systemen die gedrag manipuleren via onbewuste beïnvloeding, sociale scoring door overheden of real-time biometrische herkenning op openbare plaatsen mogen niet worden ingezet. Hoog-risico-AI, dat wil zeggen systemen die worden gebruikt in kritieke infrastructuur, bij toegang tot dienstverlening, in personeelsbeslissingen of bij de handhaving van de wet, mag wel, maar vereist een aantoonbaar risicobeheerproces, technische documentatie, menselijk toezicht en registratie in een Europese database. Voor systemen met beperkt risico, denk aan chatbots en deepfakes, gelden transparantievereisten. Systemen met minimaal risico vallen buiten de actieve verplichtingen.
Tijdlijn op een rij
Augustus 2024: wet in werking getreden
Februari 2025: verboden AI-praktijken van kracht
Augustus 2025: regels voor AI-modellen voor algemeen gebruik (GPAI)
Augustus 2026: hoofdverplichtingen voor hoog-risico-AI van kracht
December 2027: verplichtingen voor kritieke infrastructuur (Bijlage III), na uitstel via AI Omnibus (mei 2026)
Voor welke organisaties geldt dit?
De AI Act richt zich op organisaties die AI-systemen ontwikkelen, in de handel brengen of in gebruik nemen. Hoog-risico-verplichtingen gelden voor vrijwel alle sectoren die in Europa als kritiek worden aangemerkt. Dat zijn onder andere beheerders van energie-infrastructuur zoals netbeheerders en productie-installaties, organisaties in de watersector, spoorbeheerders en andere vervoersautoriteiten, ziekenhuizen en andere zorgverleners, financiële instellingen die AI inzetten bij krediet- of risicobeoordeling, en overheidsinstanties die AI gebruiken bij de toewijzing van uitkeringen, vergunningen of handhaving.
Kleinere organisaties die uitsluitend als gebruiker opereren, zoals een gemeente die een ingekochte AI-tool inzet zonder aanpassingen, vallen onder een verlicht regime, maar zijn niet volledig vrijgesteld. Ook zij moeten kunnen aantonen dat het systeem correct wordt gebruikt en dat medewerkers voldoende getraind zijn.
Waarom raakt dit de kwaliteitsmanager?
Kwaliteitsmanagement gaat over beheerste processen, aantoonbaar functioneren en continue verbetering. Precies dat is wat de AI Act van organisaties vraagt voor elk hoog-risico-systeem. De parallellen zijn onmiskenbaar: een risicobeheerproces, technische documentatie, bewaking van prestaties in de praktijk, correctieve maatregelen als een systeem niet functioneert zoals verwacht.
In veel organisaties is de kwaliteitsmanager de enige die de discipline, de systematiek en het procesoverzicht heeft om deze governance structureel neer te zetten. Dat maakt de kwaliteitsmanager tot een sleutelfiguur bij de implementatie van de AI Act, niet als IT-specialist, maar als bewaker van beheerste bedrijfsvoering.
De nieuwe taken
AI-inventarisatie
De eerste stap is simpel in theorie, arbeidsintensief in de praktijk: weet u welke AI-systemen uw organisatie gebruikt? Niet alleen de grote, zichtbare systemen, maar ook de ingekochte tools die medewerkers dagelijks gebruiken, de algoritmen in plannings- of roostersoftware, de risicomodellen in financiële systemen. Zonder volledig beeld is compliance onmogelijk. De kwaliteitsmanager is de aangewezen persoon om dit overzicht te maken en actueel te houden.
Risicocategorisering
Niet elk AI-systeem in uw organisatie valt onder de zware verplichtingen. Maar u moet per systeem kunnen onderbouwen waarom het wel of niet als hoog-risico kwalificeert. Dat vraagt om inzicht in de wettekst én in hoe de systemen in uw organisatie worden ingezet. Een systeem dat elders minimaal risico heeft, kan bij u hoog-risico zijn, afhankelijk van de toepassing.
Risicobeheerproces opzetten
Voor elk hoog-risico-systeem schrijft de AI Act een doorlopend risicobeheerproces voor. Dat betekent: risico's identificeren vóór ingebruikname, maatregelen treffen, prestaties monitoren tijdens gebruik en periodiek evalueren of het systeem nog functioneert zoals bedoeld. Voor een kwaliteitsmanager die gewend is te werken met risicoregisters en de PDCA-cyclus, is dit herkenbaar terrein. De vertaalslag naar AI-specifieke risico's, zoals bias, onbedoelde uitkomsten en datastoringen, vraagt wel extra kennis.
Technische documentatie
Hoog-risico-systemen moeten worden gedocumenteerd: wat doet het systeem, hoe is het getraind, welke data is gebruikt, welke beperkingen heeft het, hoe wordt het gemonitord? Deze documentatie moet beschikbaar zijn voor toezichthouders. In veel organisaties bestaat deze documentatie niet of niet in de vereiste vorm. De kwaliteitsmanager kan hier een bepalende rol spelen door documentatiestandaarden te ontwikkelen en naleving te bewaken.
Menselijk toezicht borgen
De AI Act vereist dat hoog-risico-systemen zo worden ingericht dat een mens de werking kan begrijpen, bewaken en indien nodig overrulen. Dat klinkt vanzelfsprekend, maar in de praktijk zijn er veel systemen waarbij operators de uitkomsten klakkeloos overnemen omdat ze de werking niet begrijpen of de tijd ontbreekt om kritisch te zijn. De kwaliteitsmanager moet borgen dat dit toezicht structureel is georganiseerd, niet slechts op papier.
AI-geletterdheid in de organisatie
Artikel 4 van de AI Act verplicht organisaties om te zorgen dat medewerkers die met AI werken voldoende kennis hebben van de systemen en de risico's. Dat is geen eenmalige training, maar een ongoing inspanningsverplichting. Voor de kwaliteitsmanager betekent dit: opleidingsbehoeften identificeren, training organiseren en de effectiviteit ervan bewaken.
Registratie en incidentmelding
Hoog-risico-systemen moeten worden geregistreerd in de Europese AI-database voordat ze in gebruik worden genomen. Daarnaast moeten ernstige incidenten, dat wil zeggen onverwachte uitkomsten met significante gevolgen voor personen of processen, worden gemeld bij de toezichthouder. Dat vereist een helder incidentregistratie- en escalatieproces, vergelijkbaar met wat in kwaliteitsmanagementsystemen al bestaat voor product- of procesafwijkingen.
Periodieke audits en evaluaties
Compliance met de AI Act is geen eenmalige exercitie. Systemen veranderen, data verandert, de context verandert. Periodieke audits moeten aantonen dat systemen nog steeds voldoen aan de vereisten. Voor de kwaliteitsmanager is dit het meest vertrouwde terrein: de audit als instrument voor continue verbetering, nu toegepast op AI-systemen.
NIS2 en de AI Act: twee wetten, één uitdaging
Terwijl de AI Act de governance van AI-systemen regelt, richt NIS2, in Nederland geïmplementeerd via de Cyberbeveiligingswet, zich op de beveiliging van netwerk- en informatiesystemen. Voor organisaties in kritieke sectoren gelden beide wetten tegelijkertijd. Dat levert zowel overlap als spanning op.
De overlap is substantieel. Beide wetten vereisen een risicobeheerprogramma, technische en organisatorische maatregelen, incidentmelding bij de toezichthouder en periodieke evaluatie van de effectiviteit van maatregelen. Wie een sterk kwaliteitsmanagementsysteem heeft, heeft de basis voor beide al liggen.
De spanning zit in de focus. NIS2 kijkt primair naar cyberbeveiliging en continuïteit van systemen. De AI Act kijkt primair naar de betrouwbaarheid, eerlijkheid en transparantie van AI-uitkomsten. Een AI-systeem kan cyberveilig zijn, goed beveiligd tegen aanvallen van buitenaf, maar tegelijk onbetrouwbaar in zijn uitkomsten door biased trainingsdata of een slechte monitoringopzet. Andersom kan een systeem uitstekende AI-governance hebben maar kwetsbaar zijn voor cyberaanvallen. Beide dimensies moeten worden geadresseerd.
| Aspect | EU AI Act | NIS2 / Cyberbeveiligingswet |
|---|---|---|
| Focus | Betrouwbaarheid en transparantie van AI-systemen | Beveiliging en continuïteit van netwerk- en informatiesystemen |
| Risicobeheerverplichting | Ja, per hoog-risico-AI-systeem | Ja, voor de gehele organisatie (informatiebeveiliging) |
| Meldplicht | Ernstige incidenten met hoog-risico-AI | Significante cyberincidenten (binnen 24 uur eerste melding) |
| Documentatieplicht | Technische documentatie per AI-systeem | Beleid, maatregelen en bewijsvoering voor toezichthouder |
| Toezichthouder NL | Rijksdienst voor Digitale Infrastructuur (RDI) | NCSC / sectorale toezichthouders |
| Sancties | Tot €30 miljoen of 6% wereldwijde omzet | Tot €10 miljoen of 2% wereldwijde omzet |
| Bestuurlijke aansprakelijkheid | Ja | Ja, expliciet |
Voor de kwaliteitsmanager is de praktische implicatie helder: het loont om beide trajecten samen te organiseren. Eén geïntegreerd governance-programma is efficiënter dan twee parallelle trajecten met overlappende documentatie, trainingen en audits. ISO/IEC 42001, de internationale norm voor AI-managementsystemen die in 2023 werd gepubliceerd, biedt daarvoor een bruikbaar raamwerk. Het is compatibel met ISO 9001 en ISO 27001 en kan worden geïntegreerd in een bestaand managementsysteem.
Het governance-drieluik voor 2026
Organisaties in kritieke sectoren worden geadviseerd te werken met drie samenhangende kaders: NIS2 voor informatiebeveiliging en continuïteit, de EU AI Act voor AI-governance en risicobeheer, en ISO/IEC 42001 als overkoepelend managementsysteem dat beide integreert. Wie dit drieluik slim opzet, vermijdt dubbel werk en heeft één aantoonbaar beheerst systeem voor toezichthouders.
Vijf eerste stappen
De deadlines zijn dichterbij dan ze lijken. Een goed ingericht implementatietraject kost maanden, niet weken. Begin daarom met een volledige inventarisatie van alle AI-systemen die uw organisatie gebruikt of laat ontwikkelen. Vergeet de ingekochte softwarepakketten niet, want ook daarin kunnen hoog-risico-systemen schuilgaan.
Beoordeel daarna per systeem de risicocategorie op basis van de bijlagen bij de AI Act. Wees hierin conservatief: het is verstandiger een systeem als hoog-risico te behandelen en later te concluderen dat het lager kan, dan andersom. Voer vervolgens een gap-analyse uit: wat heeft uw organisatie al in huis, zoals risicoregisters, documentatiesystemen en auditprogramma's, en wat ontbreekt nog voor compliance?
Combineer deze analyse direct met de NIS2-vereisten, zodat u één geïntegreerd beeld krijgt van wat er nodig is. Stel op basis daarvan een implementatieplan op met eigenaren, mijlpalen en budget, en zorg dat de bestuurder het plan onderschrijft. Bestuurlijke betrokkenheid is niet alleen wettelijk vereist, het is ook de enige manier om de benodigde middelen los te krijgen.
Conclusie
De EU AI Act en NIS2 zijn geen IT-projecten. Het zijn governance-vraagstukken die dwars door de organisatie lopen en raken aan processen, mensen en verantwoordelijkheden. De kwaliteitsmanager heeft de kennis, de methodieken en het organisatieoverzicht om dit traject te leiden. Dat vraagt wel om bijscholing op de inhoud van de wetgeving en bereidheid om AI serieus te nemen als onderwerp van kwaliteitsbeheersing.
De organisaties die nu beginnen, bouwen een voorsprong op die moeilijk in te halen is. De organisaties die wachten, lopen het risico van een compliance-crisis op het moment dat de toezichthouder voor de deur staat.
Strategisch Adviseur Kwaliteit & Projectbeheersing bij WI-Solutions. Gespecialiseerd in kwaliteitsmanagement, risicomanagement, audits en AI.
Volgen op LinkedIn →Klaar voor de EU AI Act en NIS2?
WI-Solutions helpt organisaties in kritieke sectoren met gap-analyses, AI-audits en implementatiebegeleiding. Een eerste gesprek is altijd vrijblijvend.
Plan een kennismaking