De AI Act van de Europese Unie is op 2 februari 2025 in werking getreden. Een van de bepalingen die al van kracht is, is Artikel 4: AI-geletterdheid. Deze bepaling verplicht alle aanbieders en gebruikers van AI-systemen om ervoor te zorgen dat hun personeel, én andere betrokkenen die in hun opdracht met AI werken, over voldoende AI-geletterdheid beschikken.
Dit lijkt in eerste instantie misschien een vage of bureaucratische verplichting, maar het raakt in de kern aan veilig, verantwoord en wettelijk AI-gebruik. In deze blog leg ik uit wat de verplichting precies inhoudt, wat de Europese Commissie daar recent over heeft verduidelijkt in een uitgebreide Q&A, en wat dit concreet vraagt van organisaties.
AI-geletterdheid zal vanaf 2026 ook gehandhaafd worden door nationale toezichthouders. Het doel: voorkomen dat AI-toepassingen in organisaties leiden tot risico’s of schade als gevolg van gebrekkige kennis, slechte afwegingen of verkeerde aannames over wat AI wel of niet kan.
Wat houdt Artikel 4 van de AI-Verordening/AI Act precies in?
Artikel 4 schrijft voor dat aanbieders en gebruikers van AI-systemen maatregelen moeten nemen om een voldoende niveau van AI-geletterdheid te waarborgen. AI-geletterdheid wordt gedefinieerd als de vaardigheden, kennis en het inzicht die betrokkenen in staat stellen om AI-systemen bewust in te zetten, risico’s te begrijpen, schade te vermijden, en verantwoord te handelen in lijn met hun rechten en plichten.
De verplichting heeft een sterk praktisch karakter. Organisaties worden geacht de technische kennis, ervaring, opleiding en context van hun medewerkers en andere betrokkenen mee te wegen bij het vormgeven van hun AI-geletterdheidsbeleid. Dit betekent dat niet elke organisatie dezelfde maatregelen hoeft te treffen, maar wél dat elke organisatie dit serieus moet aanpakken.
Wie valt er onder de verplichting?
De verplichting geldt voor zowel ‘providers’ (aanbieders) als ‘deployers’ (gebruikers) van AI-systemen. Dit zijn niet alleen interne medewerkers, maar ook mensen die AI gebruiken namens de organisatie. Denk aan extern ingehuurde ontwikkelaars, consultants of klanten die toegang hebben tot uw AI-oplossingen. Artikel 4 is bovendien nauw verbonden met andere bepalingen uit de AI Act, zoals transparantie (artikel 13) en menselijk toezicht (artikel 14), en draagt indirect bij aan de bescherming van personen die door AI worden beïnvloed.
Is het verplicht om kennis te meten?
Hoewel Artikel 4 niet eist dat organisaties de AI-kennis van hun personeel meetbaar vaststellen, schrijft het wel voor dat organisaties die kennis meewegen bij het waarborgen van AI-geletterdheid. Het is dus niet verplicht om examens af te nemen of scores te registreren, maar het is wél nodig om na te denken over wat uw personeel weet, wat ze zouden moeten weten, en hoe u dat verschil overbrugt.
Wat houdt AI-geletterdheid in de praktijk in?
De AI Act noemt vier centrale onderdelen die een AI-geletterdheidsprogramma minimaal zou moeten omvatten:
- Een algemeen begrip van AI binnen de organisatie: Wat is AI? Hoe werkt het? Waar en waarom wordt AI ingezet binnen de organisatie? Wat zijn de voordelen en risico’s?
- Inzicht in de rol van de organisatie: Ontwikkelen we zelf AI-systemen of gebruiken we systemen van anderen?
- Bewustzijn van het risiconiveau: Welke AI-systemen gebruiken we? Wat zijn de risico’s en hoe worden die gemitigeerd?
- Aansluiting bij het profiel van de gebruikers: Wat is het kennisniveau van onze medewerkers of dienstverleners? Wat moeten ze nog leren, gezien hun taken en verantwoordelijkheden?
Deze onderdelen moeten ook juridische en ethische aspecten van AI-gebruik omvatten. Begrip van de AI Act zelf, maar ook principes van verantwoord algoritmegebruik, discriminatie, transparantie en toezicht zijn daarbij relevant.
Is er een risico-gebaseerde aanpak?
Ja. Organisaties moeten hun aanpak aanpassen aan het risiconiveau van hun AI-systemen. Wie werkt met hoog-risico AI-systemen – zoals gedefinieerd in hoofdstuk III van de AI Act – moet zwaardere maatregelen nemen dan wie slechts gebruikmaakt van een eenvoudige chatbot voor klantenservice. Bij hoog-risico toepassingen is instructiemateriaal doorgaans niet voldoende. Interne opleidingen, richtlijnen en voortdurende begeleiding zijn noodzakelijk.
Is training verplicht?
Trainingen zijn niet altijd verplicht, maar in veel gevallen wel aan te raden of zelfs onvermijdelijk. Alleen het doorsturen van een gebruikershandleiding is vaak niet genoeg. De AI Act verwacht dat organisaties passende maatregelen nemen die effectief zijn voor het kennisniveau van de betrokkenen en de context van het AI-systeem. De Commissie wijst erop dat artikel 26 van de AI Act voor gebruikers van hoog-risico systemen expliciet vereist dat het personeel voldoende getraind is.
Hoe ziet zo’n training eruit?
Er is geen voorgeschreven vorm. Een training kan variëren van e-learning en workshops tot informele begeleiding, afhankelijk van de organisatie, het type AI en het kennisniveau van de doelgroep. Verschillende opleidingsniveaus, of zelfs gepersonaliseerde leerpaden, zijn toegestaan en vaak gewenst.
Is het verplicht dit alles te documenteren?
Er is geen certificaat vereist, maar organisaties doen er verstandig aan om intern te registreren welke maatregelen zijn genomen. Denk aan een opleidingsregister, handleidingen, trainingsmateriaal of begeleidingsplannen. Dit kan van pas komen bij toezicht of juridische geschillen.
Wat met externe partijen?
Externe partijen die in opdracht van een organisatie AI-systemen gebruiken, moeten ook over voldoende kennis beschikken. In sommige gevallen – bijvoorbeeld bij hoog-risico toepassingen – is het verstandig of noodzakelijk om contractueel vast te leggen dat een dienstverlener AI-geletterd moet zijn.
Wat met eenvoudige toepassingen zoals ChatGPT?
Zelfs bij ogenschijnlijk simpele AI-gebruik – zoals het inzetten van ChatGPT voor het schrijven van teksten of vertalen – geldt de verplichting. Gebruikers moeten weten wat de risico’s zijn, zoals onbetrouwbare of foutieve output (hallucinaties), gebrek aan bronverwijzingen en mogelijke bias. Een korte instructie of bewustmakingssessie kan hier al voldoende zijn, mits doeltreffend.
Wat zijn de gevolgen bij niet-naleving?
Vanaf 3 augustus 2026 zullen nationale toezichthouders toezien op de naleving van Artikel 4. Boetes of sancties zijn mogelijk bij niet-naleving, zeker als er schade ontstaat die (mede) het gevolg is van onvoldoende kennis bij gebruikers. Sancties moeten proportioneel zijn, maar kunnen stevig uitvallen als sprake is van grove nalatigheid of risicovolle systemen.
Wie houdt toezicht?
Elke EU-lidstaat moet vóór augustus 2025 een nationale toezichthouder aanstellen. Die toezichthouder krijgt vanaf augustus 2026 de taak om te handhaven. Tot die tijd geldt dat organisaties zich al moeten voorbereiden en inregelen, zodat ze straks compliant zijn.
Is er ook private handhaving?
Ja. Als een individu schade lijdt door een AI-systeem dat verkeerd is gebruikt en stelt dat dit komt door gebrek aan AI-geletterdheid binnen een organisatie, dan kan diegene een civiele procedure starten. Artikel 4 is dus niet alleen een publieke, maar ook een private verantwoordelijkheid.
Wat met organisaties buiten de EU?
De AI Act geldt ook voor partijen buiten de EU, zodra hun AI-systemen worden ingezet op de Europese markt of impact hebben op personen binnen de Unie. Dit betekent dat ook bedrijven buiten de EU hun personeel AI-geletterd moeten maken als ze actief zijn op de Europese markt.
Zo voldoe je als organisatie aan de AI-geletterdheid verplichting
Artikel 4 van de AI Act verplicht organisaties om verantwoordelijkheid te nemen voor de manier waarop AI wordt gebruikt binnen hun processen. Dit vergt geen star compliance-programma, maar wel een doordachte, op maat gemaakte aanpak. Niet alleen om aan de wet te voldoen, maar vooral om incidenten, reputatieschade en juridische aansprakelijkheid te voorkomen.
Advocaat Julia van Leeuwen, gespecialiseerd in AI, kan u als organisatie helpen met het in kaart brengen van AI-gebruik, het opzetten van AI-geletterdheidsprogramma’s, het vormgeven van interne beleidsregels en het juridisch borgen van afspraken met externe partijen.
