De gesprekken die ik de afgelopen maanden voer over de EU AI Act verlopen bijna allemaal hetzelfde. Er is een juridische afdeling die de vereisten in kaart brengt. Er is een compliance-team dat een gap-analyse maakt. Er zijn workshops waarin wordt vastgesteld welke AI-toepassingen onder welke risicocategorie vallen. En er is een bestuur dat vraagt wanneer het “af” is. Die laatste vraag verraadt precies het probleem. Compliance is niet iets wat je afrondt. Het is een manier van werken die je inricht. En als je het goed doet, is de EU AI Act niet je einddoel maar het startpunt van AI-governance die je organisatie sterker maakt dan de wet vraagt.
De afvinkreflex: waarom EU AI Act-compliance een kostenpost blijft
De natuurlijke reactie op nieuwe regelgeving is afvinken. Wat moeten we doen. Welke documentatie moeten we hebben. Welke risicobeoordeling is vereist. Dat is begrijpelijk, want organisaties worden overspoeld met regels en hebben beperkte capaciteit. Het is ook precies de manier waarop compliance een kostenpost blijft in plaats van een investering. Je voldoet aan de letter van de wet, maar je verandert niets wezenlijks aan hoe je met AI omgaat. Het document is er. Het gedrag is hetzelfde.
Ik kom het overal tegen. Advocatenkantoren die hun AI-toepassingen keurig classificeren, zonder na te denken over wat er gebeurt als een AI-tool een juridisch advies genereert dat niet klopt. Onderwijsinstellingen die de risicobeoordeling op orde hebben, zonder te bespreken hoe docenten omgaan met AI-gegenereerde beoordelingen. Financiële instellingen waar de compliance-afdeling alles heeft gedocumenteerd, terwijl de mensen die dagelijks met AI werken niet weten dat die documentatie bestaat.
In mijn boek Modern leiderschap is geen algoritme noem ik dit schijnethiek: het verschil tussen wat je op papier wilt en hoe je zorgt dat het ook gebeurt. Niet omdat de intentie slecht is, maar omdat niemand de stap heeft gezet van document naar gedrag.
Wat de EU AI Act je organisatie eigenlijk oplevert
De EU AI Act stelt vragen die de meeste organisaties zichzelf niet stellen. Welke AI-systemen gebruik je eigenlijk? Wie is verantwoordelijk voor de output? Hoe beoordeel je de risico’s? Wat doe je als het misgaat? Die vragen zijn niet alleen juridisch relevant. Ze zijn organisatorisch essentieel. Een organisatie die ze serieus beantwoordt, heeft niet alleen een compliance-dossier. Die heeft een helder beeld van hoe technologie door de organisatie loopt, waar de risico’s zitten, en wie waarvoor verantwoordelijk is. Dat is precies de basis die je nodig hebt om AI goed te laten werken.
De organisaties die de EU AI Act als kans benutten, gebruiken de vereisten als aanleiding voor gesprekken die ze anders niet zouden voeren. Over rollen en verantwoordelijkheden. Over wat er gebeurt als een algoritme een beslissing neemt die achteraf niet klopt. Over hoe je transparantie organiseert in de dagelijkse praktijk, niet in een document. Die gesprekken zijn waardevoller dan de documentatie die eruit voortkomt. Documentatie veroudert. Het vermogen om die gesprekken te voeren, niet.
Van compliance naar AI-governance die werkt
AI-governance is meer dan voldoen aan de EU AI Act. Het is het geheel van cultuur en structuren waarmee je organisatie technologie stuurt, controleert en bijstuurt, ook als er geen toezichthouder meekijkt. Compliance is daarvan het startpunt. Governance die echt werkt gaat verder: over de cultuur die je bouwt rondom technologie, en over de structuren die ervoor zorgen dat mensen kunnen ingrijpen als dat nodig is, niet in theorie maar in de praktijk. Dat los je niet op met een juridische gap-analyse. Dat vraagt om wat ik in het boek vertrouwensarchitectuur noem: een organisatie-inrichting waarin verificatie normaal is, waarin escalatie laagdrempelig is, en waarin transparantie geen extra inspanning kost maar ingebouwd zit in hoe je werkt.
Kijk naar de budgetten van mislukte AI-transformaties en je vindt steeds dezelfde verdeling: ongeveer 40 procent naar technologie, ongeveer 30 naar processen, de resterende 30 naar mensen en cultuur. De implementaties die wel renderen draaien die verdeling om. Meer in mensen en cultuur, minder in tools. Dat is de 40-30-30-inversie, een van de verdeelregels uit het boek waar je als leider concreet mee kunt sturen. Compliance afdwingen kun je. Cultuur afdwingen kun je niet. Die bouw je door te zaaien: investeren in het fundament voordat je er technologie op zet. Wat dat concreet vraagt van jou als leider beschreef ik eerder in hoe je als leider ruimte, vertrouwen en richting brengt in de nieuwe technologische wereld.
De EU AI Act geeft je een concrete aanleiding om dat nu te doen. Niet als juridische verplichting, maar als strategische keuze. De vraag is niet of je er “klaar mee” bent. De vraag is of je de gelegenheid benut om iets te bouwen dat je verder brengt dan alleen de volgende audit.
Veelgestelde vragen over de EU AI Act en AI-governance
Is de EU AI Act een kostenpost of een investering?
Dat bepaal je zelf. Wie de wet afvinkt, houdt een kostenpost over: documentatie die veroudert en gedrag dat niet verandert. Wie de vereisten gebruikt als aanleiding voor de gesprekken over verantwoordelijkheid, transparantie en ingrijpen, bouwt een fundament waar AI op rendeert.
Wat is het verschil tussen EU AI Act-compliance en AI-governance?
Compliance is voldoen aan de wet: risicoclassificatie, documentatie, verplichte beoordelingen. AI-governance is breder en doorlopend: de cultuur en structuren waarmee je organisatie technologie stuurt en bijstuurt, ook waar de wet niets voorschrijft. Compliance kun je afdwingen, governance moet je bouwen.
Waar begin je met AI-governance?
Begin met de vragen die de EU AI Act toch al stelt: welke AI-systemen gebruik je, wie is verantwoordelijk voor de output, wat gebeurt er als het misgaat. Beantwoord ze serieus in plaats van administratief. En verdeel je budget bewust: meer naar mensen en cultuur dan naar tools.
Hoe je vertrouwensarchitectuur bouwt en hoe de verdeelregels werken waarmee je AI laat renderen door in mensen te investeren, werk ik uit in Modern leiderschap is geen algoritme (2026). Verkrijgbaar via Managementboek.




