De AI Act is er. De toezichthouder(s) nog niet (allemaal)
Wat als je regels opstelt, maar vergeet te zeggen wie ze moet handhaven? Dat klinkt absurd, maar het is precies wat er op Europees niveau gebeurt met de AI-verordening. De deadline is voorbij, de regels zijn duidelijk – maar in veel lidstaten is er (nog steeds) géén officiële toezichthouder aangewezen. Wie houdt dan toezicht op AI-toepassingen die mogelijk discriminerend, ondeugdelijk of risicovol zijn?
Wat is er aan de hand?
De EU AI-verordening (Regulation 2024/1689) is op papier een mijlpaal: het eerste horizontale wettelijke kader ter wereld voor kunstmatige intelligentie. Maar implementatie vereist meer dan regels – het vereist structuur. Daarom moesten alle lidstaten uiterlijk op 2 augustus 2025 nationale toezichthouders aanwijzen, conform artikel 70 AI Act.
Die toezichthouders – in jargon ‘National Competent Authorities’ of NCAs – zijn cruciaal. Ze accrediteren keuringsinstanties, controleren AI-systemen op de markt, en zorgen dat klachten worden afgehandeld. Het gaat om drie rollen:
Notifying Authority (NA): accrediteert ‘notified bodies’ die AI-systemen mogen keuren.
Market Surveillance Authority (MSA): houdt toezicht op AI die op de markt is.
Single Point of Contact (SPoC): het centrale aanspreekpunt voor burgers en toezichthouders.
Maar uit het onderzoek van Shadée Pinto (oktober 2025) blijkt dat de praktijk ernstig achterloopt:
21 lidstaten hebben geen wet ingediend om de toezichthouders juridisch te verankeren.
13 landen hebben hun toezichthouders niet eens publiek aangekondigd.
Slechts 2 landen (Denemarken en Litouwen) hebben hun NCAs formeel en tijdig aangewezen.
Zonder deze basale stappen blijft de AI Act dode letter in nationale rechtspraktijk.
Hoe werkt het?
Een tweelaags systeem
De AI Act introduceert een duale governance-architectuur:
EU-niveau – georganiseerd rond de Europese Commissie en het nieuwe AI Office, dat toezicht houdt op zgn. general-purpose AI models (GPAI), zoals GPT of Claude. Het AI Office wordt ondersteund door:
Het AI Board (coördinatie tussen lidstaten),
De Advisory Forum (industrie, NGO’s, academici),
De Scientific Panel (experts die GPAI-risico’s evalueren).
Nationaal niveau – lidstaten moeten zelf hun interne AI-governance vormgeven, met minimaal één NA, één MSA en één SPoC.
Lidstaten hebben autonomie...
De AI Act schrijft niet voor wie deze autoriteiten moeten zijn. Volgens recital 153 mogen lidstaten kiezen op basis van hun “organisatorische kenmerken en behoeften”. Ze mogen ook meerdere instanties per rol aanwijzen.
...maar wel verplichtingen
Die vrijheid betekent niet vrijblijvendheid. Elke autoriteit moet:
Onafhankelijk en objectief zijn;
Voldoende technische, personele en financiële middelen hebben;
Beschikken over cybersecuritymaatregelen;
Juridisch zijn verankerd via nationale wetgeving.
En dat is precies waar het spaak loopt.
Waarom is dit belangrijk?
1. Zonder aangewezen autoriteiten geen toezicht
Bedrijven, overheden en burgers moeten weten wie bevoegd is. Zonder dat:
Weet een aanbieder niet wie zijn AI-systeem moet keuren.
Kan een burger nergens terecht met een klacht over AI-besluitvorming.
Is samenwerking tussen toezichthouders over landsgrenzen onmogelijk.
De Commissie eist in artikel 70 lid 3 expliciet dat autoriteiten “voldoende middelen en infrastructuur” moeten hebben. Zonder formele aanwijzing kunnen er zelfs inbreukprocedures volgen (art. 258 VWEU).
2. Afwijkende nationale keuzes vergroten juridische complexiteit
Sommige landen kiezen voor centralisatie (bijv. Denemarken, 1 NA en 3 MSAs). Andere – zoals Frankrijk – gaan de andere kant op. De Fransen hebben 17 verschillende MSAs aangewezen, verdeeld over sectoren, waarvan sommige ook gezamenlijk verantwoordelijk zijn. Dat betekent:
Verschillende aanspreekpunten per sector.
Versnipperd toezicht.
Complexiteit voor aanbieders die in meerdere landen actief zijn.
Voor juristen betekent dit: je moet per land weten hoe het toezicht is ingericht – er is géén uniforme aanpak.
3. De rol van privacytoezichthouders (DPAs) staat onder druk
De AI Act erkent de bevoegdheid van autoriteiten zoals de Autoriteit Persoonsgegevens (art. 74(8)) bij AI-toepassingen in gevoelige domeinen (zoals biometrie, justitie, migratie). Toch hebben sommige landen hun DPA juist buiten spel gezet:
Duitsland wijst niet de BfDI aan, maar de Bundesnetzagentur en een nieuwe AI-afdeling binnen die dienst.
Italië, Polen, Tsjechië en Litouwen volgen die lijn.
Daartegenover staat Frankrijk, dat zijn CNIL aanwijst als MSA voor 15 AI-domeinen.
De Duitse BfDI noemde zijn uitsluiting “een ernstige ondermijning van fundamentele rechten” – juist omdat het risico op ondoorzichtige of discriminerende AI groot is. In hun verklaring staat dat dit is ingegeven door de wens om “innovatie niet te belemmeren” – een klassiek spanningsveld tussen rechten en groei.
4. Vertraging brengt ook marktrisico’s met zich mee
Een gebrekkige aanwijzing of resourcing van NCAs kan de effectiviteit van AI-regulering ernstig vertragen. Ondernemers weten niet waar ze moeten aankloppen voor keuring, interpretatie of bezwaar. Dat leidt tot:
Onzekerheid in AI-ontwikkeling.
Belemmering van innovatie.
Juridische risico’s bij grensoverschrijdende AI-diensten.
Tot slot: geen toezicht = geen werking
De AI Act is ambitieus, maar ambitie zonder uitvoering is een risico op zichzelf. Zonder aangewezen nationale autoriteiten blijft het toezicht op AI-systemen fragmentarisch, onduidelijk of zelfs afwezig. Dat is onwenselijk voor zowel rechtsbescherming als markttoegang.
Voor juristen betekent dit: wéét wie waar bevoegd is. Wacht niet op formele implementatiewetten, maar anticipeer op wat komen gaat. De AI-governance architectuur in Europa mag dan in opbouw zijn – jouw dossiers, contracten en procedures moeten nú al staan.
Want AI verandert niet alleen wat we doen met technologie – het verandert ook wie daar toezicht op moet houden.