EU AI Act en datagovernance: wat Nederlandse organisaties vanaf augustus 2026 moeten regelen
Vanaf 2 augustus 2026 is de EU AI Act volledig van toepassing. De wet stelt harde eisen aan de data die ten grondslag ligt aan AI systemen met een hoog risico. Dit is geen juridisch dossier, dit is een datavraagstuk.
Wat de AI Act in de praktijk betekent
De AI Act classificeert AI systemen naar risico. Hoog risico systemen, zoals modellen die beslissingen nemen over werving, kredietverlening, onderwijs, vitale infrastructuur of overheidsdiensten, krijgen de strengste eisen. Een groot deel van die eisen raakt direct aan datagovernance, niet aan het algoritme zelf.
De kern van de verplichting is eenvoudig te formuleren en lastig te realiseren. U moet kunnen aantonen dat de data waarop uw AI systeem traint, test en opereert representatief is, vrij van relevante bias, compleet genoeg voor het doel, en herleidbaar naar de bron. Dat klinkt als goed datamanagement, maar de meeste organisaties hebben die controle nog niet op orde voor hun klassieke rapportages, laat staan voor AI.
De vijf data eisen die echt bijten
| Eis | Wat u moet aantonen | Waar het vaak misgaat |
|---|---|---|
| Data governance (art. 10) | Herkomst, selectiecriteria, preprocessing, assumpties en bekende beperkingen van trainings-, validatie- en testdata. | Geen centrale lineage, ad hoc scripts, geen documentatie van feature engineering. |
| Representativiteit | Onderbouwing dat de dataset past bij het toepassingsgebied en de populatie die erdoor geraakt wordt. | Trainen op historische data die huidige populatie niet reflecteert. |
| Bias controle | Proces om vooringenomenheid op te sporen, te beperken en periodiek te toetsen. | Geen meetbare definities van fairness per use case. |
| Transparantie (art. 13) | Documentatie die toezichthouders, auditors en gebruikers in staat stelt het systeem te begrijpen. | Kennis zit in hoofden van dataengineers, niet in een registreerbaar artefact. |
| Logging en monitoring (art. 12) | Automatische vastlegging van werking tijdens het gebruik, bewaartermijn redelijkerwijs zes maanden. | Geen logstrategie, geen koppeling aan dataplatform. |
Waarom datamanagement de hoeksteen is
Bijna elke eis in artikel 10 tot en met 15 verwijst impliciet naar capabilities uit de DAMA DMBoK. Data lineage, metadata management, data quality, referentiedata, privacy en security vormen samen het bewijsmateriaal dat u uw AI systeem onder controle heeft. Organisaties die deze fundamenten op orde hebben voor hun BI en financiële rapportages, zijn klaar voor de AI Act. Organisaties die dat niet hebben, lopen vast op het eerste auditmoment.
Wij zien bij Nederlandse klanten drie typische startposities. De eerste groep bouwt AI op siloapplicaties zonder centraal dataplatform. Voor hen is het gesprek niet AI Act compliance, maar eerst een werkend datafundament. De tweede groep heeft een modern platform (Snowflake, Databricks, Microsoft Fabric), maar heeft de governance laag nog niet ingericht. Voor hen is de AI Act een versneller. De derde groep heeft governance en platform op orde en heeft nu vooral behoefte aan een AI specifieke uitbreiding: modelregister, bias monitoring, documentatiegenerator.
Onze aanpak in vier stappen
Stap 1. AI inventarisatie en risicoclassificatie
Wij brengen in kaart welke AI systemen in productie zijn, welke in ontwikkeling, en welke via leveranciers binnenkomen (denk aan copiloten, scoringmodellen van SaaS partijen, automatische beslisondersteuning in CRM). Per systeem classificeren we het risico volgens de AI Act. Doorlooptijd twee tot vier weken.
Stap 2. Data gap analyse per hoog risico systeem
Voor elk systeem in de categorie hoog risico vergelijken we de feitelijke datasituatie met de eisen uit artikel 10. Resultaat is een lijst met concrete gaten, voorzien van impact en inspanning. Doorlooptijd vier tot zes weken.
Stap 3. Governance en technische inrichting
Op basis van de gap analyse richten we de ontbrekende bouwstenen in. Dat kan een modelregister zijn, een lineage oplossing gekoppeld aan uw dataplatform, een biasmonitor, of een documentatie workflow. Wij werken met de tools die u al heeft (erwin, Collibra, Qlik, Snowflake native features) en voegen alleen toe wat echt nodig is.
Stap 4. Auditdossier en continue monitoring
Compliance is geen eenmalig project. Wij leveren een dossierstructuur die past bij de eisen van toezichthouders en zorgen voor automatische verversing van bewijsmateriaal op basis van uw dataplatform. Zo blijft de documentatie actueel zonder dat iemand er handmatig aan hoeft te trekken.
Veelgestelde vragen
Klaar voor de AI Act in augustus 2026?
In een gesprek van een uur bepalen we samen waar u staat, welke systemen prioriteit hebben en hoe uw bestaande dataplatform kan bijdragen aan compliance. Geen sales pitch, wel een concreet vertrekpunt.