EU AI Act Artikel 4: Wat Betekent AI-Geletterdheid Voor Uw Organisatie?

Sinds de Europese AI-verordening (de EU AI Act) in augustus 2024 officieel in werking is getreden, bereiden organisaties in heel Europa zich voor op een nieuw reguleringslandschap. Terwijl veel aandacht uitgaat naar de classificatie van hoog-risico AI-systemen en de bijbehorende nalevingsverplichtingen, wordt één artikel consequent onderschat: Artikel 4 — AI-geletterdheid. Dit artikel legt een brede, horizontale verplichting op die geldt voor elke organisatie die AI-systemen aanbiedt of inzet, ongeacht het risiconiveau van die systemen.

In dit artikel ontleden wij wat Artikel 4 precies voorschrijft, voor wie de verplichting geldt, welke termijnen van toepassing zijn en — het belangrijkste — welke concrete stappen uw organisatie nu kan zetten om compliant te zijn én er strategisch voordeel uit te halen.

Wat staat er in Artikel 4?

De tekst van Artikel 4 is beknopt maar verstrekkend. In essentie verplicht het zowel aanbieders (providers) als gebruikers (deployers) van AI-systemen om ervoor te zorgen dat hun personeel en andere betrokken personen over een toereikend niveau van AI-geletterdheid beschikken. De verordening definieert AI-geletterdheid als het geheel van vaardigheden, kennis en begrip dat individuen in staat stelt om AI-systemen op een geïnformeerde manier te gebruiken en zich bewust te zijn van de kansen en risico's van AI, alsmede van de mogelijke schade die dergelijke systemen kunnen veroorzaken.

Drie elementen vallen op in deze definitie. Ten eerste is de verplichting proportioneel: het vereiste niveau van geletterdheid hangt af van de context, de rol van de betrokkene en het type AI-systeem. Een compliance officer die toezicht houdt op een hoog-risico kredietscoringsmodel heeft een ander kennisniveau nodig dan een HR-medewerker die een AI-gestuurde planning tool gebruikt. Ten tweede is de reikwijdte breed: het gaat niet alleen om ontwikkelaars of data scientists, maar om iedereen in de organisatie die met AI-systemen werkt of er besluiten over neemt. Ten derde is de verplichting doorlopend: AI-geletterdheid is geen eenmalige checkbox, maar vraagt om continue bijscholing naarmate technologieën en regelgeving evolueren.

Voor wie geldt de verplichting?

In tegenstelling tot veel andere bepalingen in de EU AI Act, die specifiek gericht zijn op hoog-risico systemen, kent Artikel 4 geen risicoclassificatie-beperking. De verplichting geldt voor alle aanbieders en gebruikers van AI-systemen op de Europese markt. Dit betekent dat ook organisaties die uitsluitend AI-systemen met een laag of minimaal risico inzetten — denk aan chatbots voor klantenservice, AI-gestuurde e-mailfilters of generatieve AI-tools voor contentcreatie — onder deze verplichting vallen.

Voor Nederlandse organisaties in gereguleerde sectoren zoals financiële dienstverlening, gezondheidszorg en de publieke sector heeft dit directe gevolgen. De meeste van deze organisaties maken al gebruik van tientallen AI-toepassingen, vaak zonder dat er een centraal overzicht bestaat van welke systemen in gebruik zijn en wie ermee werkt. De eerste stap naar AI-geletterdheid is dan ook het verkrijgen van dat overzicht.

De verplichting strekt zich bovendien uit tot bestuurders en commissarissen. Het is niet voldoende om alleen operationeel personeel te trainen; ook het topmanagement moet in staat zijn om geïnformeerde besluiten te nemen over de inzet, risico's en governance van AI-systemen. Voor raden van bestuur bij financiële instellingen geldt bovendien dat toezichthouders zoals DNB en de AFM toenemende aandacht besteden aan de vraag of bestuurders voldoende kennis hebben van de technologieën die hun organisatie inzet.

Tijdlijn en handhaving

De EU AI Act hanteert een gefaseerde inwerkingtreding. Artikel 4 over AI-geletterdheid behoort tot de bepalingen die als eerste van kracht worden: vanaf 2 februari 2025 geldt de verplichting. Dit maakt het tot een van de eerste artikelen waarvoor organisaties daadwerkelijk verantwoordelijk worden gehouden. Op het moment dat u dit leest, is de deadline dus al verstreken.

De handhaving zal verlopen via de nationale toezichthouders die door elke lidstaat worden aangewezen. In Nederland is de exacte verdeling van toezichtstaken nog in ontwikkeling, maar het is aannemelijk dat de Autoriteit Persoonsgegevens (AP), de AFM en sectorspecifieke toezichthouders een rol gaan spelen. Hoewel de boetes onder de AI Act tot 35 miljoen euro of 7% van de wereldwijde jaaromzet kunnen oplopen, is het waarschijnlijker dat toezichthouders in de beginfase focussen op bewustwording en het stellen van normen. Dit neemt niet weg dat organisaties die aantoonbaar niets ondernemen, zich blootstellen aan reputatierisico's en mogelijk handhavingsacties.

AI-geletterdheid versus traditionele training

Veel organisaties hebben bestaande opleidingsprogramma's op het gebied van digitale vaardigheden, informatiebeveiliging of dataprotectie. De verleiding is groot om AI-geletterdheid simpelweg als een extra module aan deze programma's toe te voegen. Hoewel integratie met bestaande structuren verstandig is, vraagt AI-geletterdheid om een fundamenteel bredere benadering.

Traditionele compliance-trainingen zijn vaak gericht op het kennen van regels en procedures. AI-geletterdheid gaat verder: het vereist dat medewerkers begrijpen hoe AI-systemen tot hun uitkomsten komen, welke beperkingen en vooroordelen inherent zijn aan deze systemen, en wanneer menselijk toezicht of ingrijpen noodzakelijk is. Dit is niet iets dat u oplost met een jaarlijkse e-learning van 45 minuten.

Effectieve AI-geletterdheid omvat tenminste drie niveaus. Op het basisniveau begrijpen alle medewerkers wat AI is, hoe het verschilt van traditionele software, en welke ethische en juridische kaders van toepassing zijn. Op het toepassingsniveau weten medewerkers die dagelijks met AI-systemen werken hoe zij de output kritisch moeten beoordelen, wanneer zij moeten escaleren en hoe zij vooroordelen of fouten kunnen herkennen. Op het strategisch niveau zijn bestuurders en senior managers in staat om de organisatiebrede AI-strategie te sturen, risico's af te wegen en te voldoen aan governance-vereisten.

Vijf concrete stappen om nu te zetten

Op basis van onze ervaring met gereguleerde Nederlandse organisaties adviseren wij de volgende aanpak:

1. Breng uw AI-landschap in kaart. Voordat u kunt bepalen wie welke kennis nodig heeft, moet u weten welke AI-systemen uw organisatie gebruikt. Dit klinkt eenvoudig, maar in de praktijk beschikken weinig organisaties over een volledig overzicht. Shadow AI — het gebruik van AI-tools zoals ChatGPT of Copilot zonder goedkeuring van IT — maakt dit extra complex. Start met een inventarisatie die zowel formeel goedgekeurde systemen als informeel gebruikte tools omvat.

2. Definieer rollen en kennisniveaus. Niet iedereen hoeft alles te weten. Stel een competentieraamwerk op dat per rol of functiegroep aangeeft welk niveau van AI-geletterdheid vereist is. Houd rekening met de proportionaliteitseis uit de verordening: een medewerker die een AI-systeem bedient dat directe impact heeft op burgers of klanten, heeft een hoger kennisniveau nodig dan iemand die een AI-gestuurde interne tool gebruikt.

3. Ontwikkel een gedifferentieerd opleidingsprogramma. Bouw voort op bestaande trainingsinfrastructuur, maar zorg voor inhoud die specifiek is afgestemd op AI. Combineer theoretische kennis (wat is AI, hoe werkt machine learning, wat zijn de risico's) met praktische vaardigheden (hoe beoordeel ik AI-output, hoe herken ik bias, wanneer escaleer ik). Overweeg formaten die betrokkenheid stimuleren: workshops, casestudies uit uw eigen sector en hands-on sessies met de AI-tools die daadwerkelijk in gebruik zijn.

4. Borg AI-geletterdheid in uw governance-structuur. AI-geletterdheid is geen eenmalig project maar een doorlopende verantwoordelijkheid. Wijs eigenaarschap toe — bijvoorbeeld aan de CISO, CDO of een nieuw te benoemen AI-governance officer — en integreer AI-geletterdheid in bestaande processen zoals onboarding, periodieke beoordelingen en governance-rapportages. Documenteer uw inspanningen zorgvuldig; bij toezichthouders geldt: wat niet gedocumenteerd is, is niet gedaan.

5. Meet, evalueer en verbeter. Stel meetbare indicatoren op voor AI-geletterdheid: deelname aan trainingen, resultaten van kennistoetsen, incidentmeldingen gerelateerd aan AI-gebruik. Evalueer periodiek of het programma nog aansluit bij de snel veranderende technologische realiteit en pas aan waar nodig. De AI Act is een levend kader; uw benadering van geletterdheid moet dat ook zijn.

De strategische dimensie: van compliance naar concurrentievoordeel

Het is verleidelijk om AI-geletterdheid uitsluitend als een compliance-verplichting te benaderen. Maar organisaties die het breder zien, plukken daar de vruchten van. Onderzoek van McKinsey toont consistent aan dat de kloof tussen AI-leiders en achterblijvers steeds groter wordt, en dat de bepalende factor niet technologie is, maar organisatorische gereedheid: de mate waarin medewerkers, processen en cultuur zijn toegerust om AI effectief in te zetten.

Een AI-geletterde organisatie adopteert nieuwe technologie sneller, identificeert risico's eerder en creëert meer waarde uit AI-investeringen. Het verschil tussen een organisatie die AI-geletterdheid als afvinkoefening behandelt en een organisatie die het als strategische pijler omarmt, vertaalt zich direct in de kwaliteit van besluitvorming, de snelheid van innovatie en het vermogen om talent aan te trekken dat in een AI-gedreven economie het verschil maakt.

Voor bestuurders en commissarissen is de boodschap helder: Artikel 4 is geen last, maar een katalysator. Het dwingt u om de vraag te stellen die u zich sowieso zou moeten stellen: is onze organisatie klaar voor een toekomst waarin AI alomtegenwoordig is? En zo niet, wat zijn wij bereid daaraan te doen?

Conclusie

Artikel 4 van de EU AI Act stelt een ogenschijnlijk eenvoudige maar fundamenteel ingrijpende eis: zorg dat uw mensen AI begrijpen. De verplichting geldt nu, voor alle organisaties die AI gebruiken of aanbieden, en reikt van de werkvloer tot de bestuurskamer. Organisaties die hier serieus werk van maken, versterken niet alleen hun compliance-positie maar leggen het fundament voor verantwoorde en waardecreërende AI-adoptie.

De eerste stap hoeft niet groot te zijn. Maar hij moet wel nu gezet worden.