Direct naar inhoud
Aan de slag

Wat is AI-geletterdheid (Art. 4) en hoe bewijs je het?

AI-geletterdheid is sinds 2 februari 2025 verplicht onder EU AI Act art. 4. Wat het concreet betekent voor Nederlands MKB, hoe je het invult zonder een formele cursus, en hoe je het aantoont aan een toezichthouder.

Jurgen Claassens·Founder, AuditAI··8 min lezen

AI-geletterdheid is het vermogen van iemand om een AI-systeem op een geinformeerde manier in te zetten: weten wat het kan, wat het niet kan, welke risico's eraan zitten, en hoe je de output kritisch leest. EU AI Act art. 4 maakt dat sinds 2 februari 2025 een wettelijke plicht voor iedereen die met AI werkt namens een organisatie.

Belangrijk: dit is geen optionele compliance-bijscholing. Het staat in dezelfde verordening als de boetes van max €35 miljoen. Maar de wet zegt niet hoe je het moet invullen — geen verplichte cursus, geen verplicht certificaat, geen accreditatie. Dat geeft ruimte voor pragmatische invulling.

Voor wie geldt het?

Iedereen die als medewerker, freelancer, of partner namens je organisatie met AI werkt. Dat is breder dan je denkt: een marketeer die ChatGPT gebruikt voor copy, een HR-medewerker die LinkedIn-zoekopdrachten met AI-filters doet, een dev die Copilot gebruikt — allemaal vallen ze onder art. 4.

Niet onder art. 4 vallen klanten of eindgebruikers die jouw AI-toepassing van buitenaf bedienen. Daar geldt eventueel art. 50 (transparantieplicht: zeg dat het AI is). Voor je eigen team: je moet ze geletterd maken.

Welk niveau is 'toereikend'?

De wet zegt: 'rekening houdend met de technische kennis, ervaring, opleiding en context'. In de praktijk betekent dat: het niveau is rol-afhankelijk. Een DPO of compliance-officer moet meer weten dan een marketeer; een dev meer dan een sales-medewerker. De Europese Commissie heeft in Q&A op de AI Act-website bevestigd dat het rol-gebaseerd mag.

Een werkende basis voor MKB:

  • Eindgebruikers (marketeers, sales, klantenservice): begrijpen wat hallucinaties zijn, weten welke data NIET in een prompt mag, kunnen output kritisch lezen.
  • Bouwers en IT (devs, data-engineers): bovenstaande + weten wat een tool-call is, wat het verschil is tussen een aanbieder en een gebruiksverantwoordelijke, hoe ze logging moeten inrichten.
  • Leidinggevenden: bovenstaande + verantwoordelijkheidsverdeling, escalatie bij incidenten, basis-kennis van risico-categorieen.
  • Compliance / juristen: vol pakket, inclusief Bijlage III, art. 50 transparantie-eisen, FRIA-trigger, AVG-overlap.

Hoe bewijs je dat je voldoet?

Geen toezichthouder gaat afzonderlijke medewerkers ondervragen. Wat ze willen zien is proces-evidence: dat je systematisch zorgt dat iedereen die met AI werkt op zijn niveau is bijgepraat. Drie pijlers werken in de praktijk:

  1. 1.Een AI-beleid dat vastlegt: wat mag wel en niet met AI, wie is verantwoordelijk, hoe worden risico's gemeld. Dit is je 'huisregels'-document. Niet langer dan 3-5 paginas. AuditAI genereert deze automatisch op basis van je intake.
  2. 2.Een trainings- of instructiemoment per medewerker dat het beleid en de basis-AI-geletterdheid behandelt. Dat hoeft geen formele cursus te zijn — een 30-min teamsessie + materiaal om door te lezen kan ook. Wel: aantoonbaar dat het is gebeurd.
  3. 3.Logging: per medewerker een datum + bevestiging (handtekening, of digitaal vinkje) dat ze het hebben doorgenomen. Bij personeelswisselingen herhalen.

Wat doe je vandaag, deze week, deze maand?

Praktisch werkende ritme voor een MKB van 5-50 fte:

Stappen voor een werkende AI-geletterdheids-aanpak
WanneerActieEigenaar
VandaagLijst van AI-tools die binnen je organisatie worden gebruikt — vraag het je team rond.MT / DPO
Deze weekAI-beleid opstellen of genereren. Min. 1 reviewer naast de auteur.MT + jurist
Deze weekBeleid verspreiden + 30-min teamsessie inplannen.MT
Deze maandIedere medewerker doorloopt training + tekent / klikt akkoord.Alle medewerkers
DoorlopendNieuwe medewerker: training tijdens onboarding. Tool-wijziging: beleid bijwerken.HR + DPO

Wat kost het?

Veel minder dan je denkt. De grootste kost is je eigen tijd om beleid + materiaal eenmalig op te stellen. Externe trainings van bv. AP-erkende aanbieders kosten €500-€1500 per medewerker — voor MKB met 20 fte is dat al snel €20k. Niet nodig.

Werkende combinatie voor onder €100/mnd: AuditAI-Starter (€39) voor het AI-beleid + register, plus de AuditAI training-module (Free vanaf 1 medewerker, Starter tot 25, Pro tot 100). Plus een uurtje van iemand intern voor de teamsessie.

Wat als je het niet doet?

Art. 4 zelf heeft geen specifiek-genoemde boete. Maar het is onderdeel van de set 'verplichtingen voor gebruiksverantwoordelijken' (art. 26). Bij niet-naleving daarvan kan de toezichthouder boetes opleggen tot €15 miljoen of 3% van de wereldwijde jaaromzet, afhankelijk van wat hoger is.

Voor MKB is de waarschijnlijkheid van een boete laag, maar de reputatieschade en het verlies van b2b-aanbestedingen is reeel: steeds meer opdrachtgevers vragen in hun DPA-template of je AI Act-compliant bent. Een 'nee' op art. 4 is dan een directe afwijzing.

Veelgestelde vragen

Moet iedereen in mijn organisatie een formele AI-cursus volgen?
Nee. De wet schrijft geen specifieke cursus voor. Wel moet je aantoonbaar maken dat iedereen op zijn rol-niveau de basis kent. Een 30-min teamsessie + leesmateriaal + akkoord-vinkje is voldoende voor eindgebruikers.
Geldt art. 4 ook als we alleen ChatGPT of Copilot gebruiken?
Ja. Vanaf het moment dat één medewerker namens je organisatie een AI-tool inzet ben je 'gebruiksverantwoordelijke' (art. 3 lid 4) en geldt art. 4. De wet maakt geen onderscheid tussen eigen-gebouwde AI en SaaS.
Krijg ik een boete als een medewerker een fout maakt met AI?
De boete uit art. 4 zelf is afgeleid (via art. 26). Een eenmalige fout door een medewerker leidt niet tot een boete; structurele verzaking van de geletterdheidsplicht wel. Borg dus het proces, niet de individuele uitkomst.
Hoe vaak moet ik de training herhalen?
De wet zegt niets specifieks over frequentie. In de praktijk is jaarlijks redelijk: bij wetswijzigingen (denk aan de Digital Omnibus die nu door de Europese Commissie wordt herzien) of bij grote tool-wisselingen wordt herhalen aanbevolen. Bij personeelswisseling: tijdens onboarding.
Wij hebben een DPO — voldoet die aan art. 4 voor de hele organisatie?
Nee. Een DPO heeft expertise voor zichzelf, niet voor de andere medewerkers. Art. 4 vereist dat iedereen die met AI werkt op rol-niveau geletterd is. De DPO kan wel het programma opzetten en als interne expert dienen.
Telt een ad-hoc Slack-bericht 'gebruik geen klantdata in ChatGPT' als bewijs?
Nee. Een toezichthouder zal vragen: heeft iedereen het gelezen, snapt iedereen het, is het vastgelegd? Een Slack-bericht zonder bevestigings-vinkje en zonder onderliggend beleid is onvoldoende. Borg het proces met een AI-beleid + trainings-moment + logging.

Verder lezen

Aan de slag

AI Act compliance-stappenplan voor Nederlands MKB (12 weken)

Een werkbaar 12-weken stappenplan voor MKB-organisaties die nog niets aan AI Act compliance hebben gedaan. Per week: wat doe je, wie heb je nodig, welk document staat aan het eind. Realistisch voor een 5-50 fte organisatie naast bestaand werk.

Wetgeving

Hoog-risico AI herkennen: Annex III in begrijpelijk Nederlands

Bijlage III van de EU AI Act somt acht categorieen AI-systemen op die als hoog-risico gelden. Per categorie: wat valt eronder, wat valt er net buiten, en welke verplichtingen worden actief.

Praktisch

Audit-pack: wat de toezichthouder écht wil zien

Een audit-pack is een gestructureerde set documenten die bewijst dat je AI-Act-compliant werkt. Wat hoort er minimaal in voor MKB, hoe leveren toezichthouders een audit-vraag uit, en welke valkuilen vermijd je.

Volgende stap

Doe een gratis risicoscan voor je eigen AI-systeem

5 minuten, geen account, anoniem. Krijg direct je AI Act-categorie + de drie eerstvolgende acties op volgorde van urgentie.

Start gratis scan