Welke AI Act software heeft een Nederlandse organisatie in 2026 nodig? Het korte antwoord: een tool die uw AI-systemen inventariseert, ze classificeert volgens de risicopiramide van de AI-verordening, de fundamentele-rechtentoets (FRIA) begeleidt en de bewijslast documenteert die de toezichthouder later opvraagt — en die dat koppelt aan uw bestaande AVG-register, omdat vrijwel elk AI-systeem persoonsgegevens verwerkt. Voor de meeste organisaties is een apart AI-Act-pakket naast een AVG-tool onnodig: één EU-platform dat beide verordeningen in één register dekt, is efficiënter en goedkoper. Deze gids vergelijkt de opties eerlijk.
De urgentie zit in de tijdlijn. De verboden AI-praktijken gelden al sinds februari 2025, de verplichtingen voor GPAI-modellen sinds augustus 2025, en de zware eisen voor hoog-risico-systemen worden vanaf augustus 2026 afdwingbaar. Wie nu een AI-selectietool of kredietscoremodel gebruikt, heeft minder dan een jaar om de documentatie op orde te krijgen.
Kernpunten
- AI Act software moet drie dingen kunnen: AI-systemen inventariseren, ze classificeren (verboden / hoog-risico / beperkt / minimaal) en de verplichte documentatie genereren.
- De AVG blijft volledig gelden náást de AI Act — elk systeem met persoonsgegevens valt onder beide. Kies daarom een tool die beide registers combineert.
- In Nederland is de Autoriteit Persoonsgegevens aangewezen als coördinerend algoritmetoezichthouder; de RDI en sectorale toezichthouders vullen aan.
- Een aparte AI-Act-suite is voor het mkb zelden nodig; een gecombineerd AVG + AI Act-platform dekt de praktijk.
Wat AI Act software echt moet kunnen
Marketingpagina’s beloven “AI governance”. In de praktijk beslist een handvol functies of een tool standhoudt bij toezicht:
| Functie | Waarom beslissend | Minimale eis |
|---|---|---|
| AI-inventaris | U kunt niets classificeren dat u niet kent | Centrale lijst van alle AI-systemen en modellen |
| Risicoclassificatie | Bepaalt welke verplichtingen gelden | Beslisboom tegen bijlage III AI-verordening |
| FRIA-workflow | Verplicht voor deployers van hoog-risico-AI | Begeleide fundamentele-rechtentoets |
| Koppeling met AVG | Elk AI-systeem raakt persoonsgegevens | Link naar verwerkingsregister en DPIA |
| Logging en menselijk toezicht | Kernverplichtingen art. 14 en art. 12 | Documentatie van toezichtmaatregelen |
| Leveranciersdocumentatie | Providers moeten technische docs leveren | Opslag van conformiteitsbewijs per model |
| Nederlandstalige output | AP, OR en auditors lezen Nederlands | NL-documentgeneratie |
Minder belangrijk dan de marketing suggereert: dashboards vol “AI-ethiek-scores” zonder juridische onderbouwing. Wat telt, is de vraag of u bij een controle kunt aantonen dat een systeem correct is geclassificeerd en dat de verplichte toetsen zijn uitgevoerd.
De Nederlandse toezichtcontext
De AI Act kent geen aparte “AI-boete-autoriteit”. Nederland heeft de handhaving verdeeld: de Autoriteit Persoonsgegevens fungeert als coördinerend toezichthouder op algoritmes en AI, terwijl de RDI en sectorale toezichthouders (zoals DNB en de Inspectie) hun eigen domein bewaken. Die keuze is niet toevallig — de toeslagenaffaire heeft algoritmecontrole in Nederland politiek gevoelig gemaakt, en de AP houdt sindsdien scherp toezicht op risicoprofilering door de overheid.
Voor bedrijven betekent dit dat AI-compliance en AVG-compliance bij dezelfde toezichthouder samenkomen. Een systeem dat CV’s screent of kredietwaardigheid beoordeelt, valt zowel onder de hoog-risico-categorie van de AI Act als onder de rechtsgronden en profileringsregels van de AVG. Een tool die deze twee gescheiden houdt, dwingt u tot dubbel werk.
De handhaving krijgt bovendien tanden. De AI-verordening kent boetes tot 35 miljoen euro of 7 procent van de wereldwijde jaaromzet voor het inzetten van verboden praktijken, en tot 15 miljoen euro of 3 procent voor het schenden van de hoog-risico-verplichtingen. Dat zijn hogere plafonds dan de AVG. Anders dan bij de AVG rust de bewijslast expliciet bij de organisatie: providers en gebruiksverantwoordelijken moeten kunnen aantonen dat een systeem correct is geclassificeerd, dat de conformiteitsbeoordeling is doorlopen en dat menselijk toezicht is ingericht. Zonder gestructureerde documentatie is die bewijslast in de praktijk niet te dragen — en dat is precies waar software het verschil maakt tussen een dossier dat standhoudt en een dossier dat gaten vertoont.
De markt in 2026, tool voor tool
Legiscope — EU-platform dat de AVG-kern automatiseert en AI-systemen in hetzelfde register opneemt, ontwikkeld door juristen in het gegevensbeschermingsrecht. Sterk punt: de AI-inventaris en risicoclassificatie zijn gekoppeld aan het verwerkingsregister en de DPIA, zodat één systeem beide verordeningen dekt. EU-hosting en Nederlandstalige output. Geen losstaande “AI-ethiek”-suite.
OneTrust — de Amerikaanse enterprise-referentie biedt een AI-governance-module bovenop het brede privacyplatform. Krachtig en volledig, maar zwaar: implementaties van maanden, jaarkosten vanaf circa 30.000 euro. Onder de 1.000 medewerkers overgedimensioneerd — zie onze vergelijking Legiscope vs OneTrust.
Credo AI / Holistic AI — gespecialiseerde AI-governance-tools met sterke modelinventaris en bias-testing. Nuttig voor organisaties die veel eigen modellen ontwikkelen, maar ze dekken de AVG-documentatie niet en zijn Engelstalig en VS-georiënteerd.
IBM watsonx.governance — enterprise-tool voor modelmonitoring en governance binnen de IBM-stack. Waardevol voor grote data-science-teams, overkill voor organisaties die vooral ingekochte AI (SaaS) gebruiken.
Generieke AVG-tools zonder AI-module — pakketten zoals PrivacyPerfect of Dastra dekken de AVG goed, maar de AI-Act-functionaliteit is nog beperkt. Toetsen of de AI-classificatie meer is dan een extra veld.
Vergelijkingstabel
| Functie | Legiscope | OneTrust | Credo AI |
|---|---|---|---|
| AI-inventaris | Ja, in AVG-register | Ja, aparte module | Ja, sterk |
| Risicoclassificatie | Beslisboom bijlage III | Ja | Ja |
| FRIA-workflow | Begeleid | Ja | Deels |
| AVG in hetzelfde register | Ja | Ja (breed) | Nee |
| EU-hosting | Ja | Optioneel (VS standaard) | Nee |
| Nederlandstalig | Ja | Deels | Nee |
| Instapprijs | ~99 €/mnd | 30.000+ €/jaar | Op aanvraag |
Eén register voor AVG én AI Act
De belangrijkste keuze is architectuur, geen functielijst. Omdat elk AI-systeem dat persoonsgegevens verwerkt onder beide verordeningen valt, is de logische opzet één register waarin een verwerking, de bijbehorende DPIA én de AI-risicoclassificatie aan elkaar hangen. Zo voorkomt u dat een CV-screeningtool in uw AVG-register als “wervingsverwerking” staat en in een apart AI-systeem als “hoog-risico-model” — met twee versies die uit elkaar lopen.
Diezelfde logica geldt breder: wie naast de AI Act ook met NIS2 te maken heeft, wint bij een platform dat compliance-registers deelt in plaats van vier losse tools. Onze bredere AVG compliance software vergelijking en de gids over AVG-compliancesoftware gaan dieper op die integratie in.
Het onderscheid dat een goede tool moet vastleggen, is dat tussen provider (wie het AI-systeem ontwikkelt of laat ontwikkelen onder eigen naam) en gebruiksverantwoordelijke (wie het systeem inzet). De verplichtingen verschillen fundamenteel: een provider draagt de conformiteitsbeoordeling, de technische documentatie en de CE-markering, terwijl een gebruiksverantwoordelijke vooral de FRIA, het menselijk toezicht en de logging moet borgen. De meeste Nederlandse organisaties zijn gebruiksverantwoordelijke — ze kopen AI in als onderdeel van een SaaS-dienst — maar wie een model finetunet of onder eigen naam aanbiedt, verschuift richting de zwaardere providerrol. Een tool die dit onderscheid niet per systeem registreert, laat u de verkeerde verplichtingen afvinken. Toets in de demo dus of de rolbepaling expliciet is, want daarop hangt de rest van uw AI-Act-dossier.
Zo kiest u in vier stappen
- Inventariseer uw AI eerst. Tel de systemen die beslissingen ondersteunen over mensen — werving, krediet, fraudedetectie, klantsegmentatie. Dat aantal, niet uw medewerkersaantal, bepaalt hoeveel governance u nodig heeft.
- Toets de classificatie-logica. Vraag in de demo een classificatie tegen bijlage III. Een tool die alleen een dropdown “hoog/laag” biedt zonder onderbouwing, levert geen bewijs richting de AP.
- Controleer de AVG-koppeling. Kan het systeem een AI-classificatie linken aan de bestaande verwerking en DPIA? Zo niet, dan koopt u dubbel werk.
- Vraag de totale kosten over drie jaar. Abonnement, onboarding en modules samen — alleen dat getal is vergelijkbaar tussen leveranciers.
Een laatste overweging: koop geen governance-apparaat dat zwaarder is dan uw AI-gebruik rechtvaardigt. De meeste Nederlandse organisaties zetten een handvol AI-systemen in en hebben vooral behoefte aan correcte classificatie en documentatie, niet aan een volledige modelmonitoring-suite. Begin daarom bij de vraag hoeveel AI u werkelijk inzet en met welk risicoprofiel, en schaal de tool daarop — u kunt altijd bijschakelen wanneer uw AI-portfolio groeit.
Veelgestelde vragen
Heb ik aparte AI Act software nodig naast een AVG-tool?
Meestal niet. Omdat vrijwel elk AI-systeem persoonsgegevens verwerkt, valt het onder beide verordeningen. Een platform dat AVG en AI Act in één register combineert, voorkomt dubbele administratie. Alleen organisaties die op grote schaal eigen modellen ontwikkelen en trainen, hebben baat bij een gespecialiseerde governance-tool daarnaast.
Wanneer gelden de AI Act-verplichtingen precies?
De verboden praktijken gelden sinds februari 2025, de GPAI-verplichtingen sinds augustus 2025 en de eisen voor hoog-risico-systemen worden vanaf augustus 2026 afdwingbaar. Organisaties die nu al hoog-risico-AI inzetten, moeten de documentatie en FRIA vóór die datum op orde hebben.
Welke toezichthouder handhaaft de AI Act in Nederland?
De Autoriteit Persoonsgegevens is aangewezen als coördinerend algoritmetoezichthouder, met de RDI en sectorale toezichthouders in ondersteunende rol. Doordat AI-compliance en AVG-compliance bij dezelfde toezichthouder samenkomen, is een geïntegreerde aanpak logisch.
Vervangt software de FRIA-beoordeling?
Nee. De tool structureert en documenteert de fundamentele-rechtentoets, maar de inhoudelijke beoordeling — welke rechten raakt het systeem, welke maatregelen mitigeren dat — blijft mensenwerk. Software zorgt dat die beoordeling volledig, herhaalbaar en aantoonbaar is.
Conclusie
AI Act software is in 2026 geen aparte aankoop meer, maar een uitbreiding van uw AVG-huishouding. De tool die de vergelijking wint, inventariseert uw AI-systemen, classificeert ze onderbouwd tegen bijlage III, begeleidt de FRIA en koppelt dat alles aan het bestaande verwerkingsregister — met EU-hosting en Nederlandstalige output. Legiscope biedt die geïntegreerde aanpak tegen mkb-kosten; OneTrust blijft voorbehouden aan enterprise-formaat; gespecialiseerde AI-governance-tools zijn een aanvulling voor modelbouwers, geen vervanging. Kies op de architectuur — één register voor beide verordeningen — en test in de demo hoe snel een AI-systeem compleet geclassificeerd en gedocumenteerd is.
Zie ook: de AI Act uitgelegd en AI-systemen met een hoog risico.
See Legiscope in action
AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.
Request a demo