GovCompass
Kennisbank
Analysis

Regulatory sandboxes: test je AI veilig onder toezicht

Bijgewerkt: juni 2026 — volledige herziening naar Validai-kwaliteitsstandaard

Inleiding: ruimte voor innovatie binnen de wet

De EU AI Act erkent dat compliance-verplichtingen innovatie kunnen vertragen — met name voor kleinere organisaties die experimentele AI-systemen willen ontwikkelen. Art. 57-63 EU AI Act introduceren regulatory sandboxes: gestructureerde omgevingen die worden opgezet door nationale toezichthouders (in Nederland: de ACM) waar deelnemers AI-systemen kunnen ontwikkelen, testen en valideren onder begeleiding van de toezichthouder, met tijdelijke vrijstelling van bepaalde verplichtingen die de test zouden belemmeren.

Een regulatory sandbox is geen "compliance-vrije zone". Het is een gecontroleerde testomgeving waarbij de toezichthouder actief betrokken is, risico's worden gemonitord, en deelnemers aan hun sandbox-specifieke verplichtingen worden gehouden.

Juridische basis: Art. 57-63 EU AI Act

Art. 57.1 verplicht lidstaten om vóór 2 augustus 2026 ten minste één nationale regulatory sandbox op te zetten. De sandbox staat open voor kleinere bedrijven en startups, maar ook voor grotere organisaties met innovatieve AI-projecten kunnen toegang krijgen.

Art. 57.3 bepaalt dat deelname aan een sandbox geen negatieve gevolgen heeft voor de toezichthouder-relatie van de deelnemer: deelnemers worden niet "gemarkeerd" als risicovol louter vanwege hun deelname. Dit principe van vertrouwelijkheid en non-punitiviteit is essentieel voor de aantrekkelijkheid van sandboxes.

Welke verplichtingen kunnen tijdelijk worden vrijgesteld?

Art. 59 bepaalt welke verplichtingen in een sandbox tijdelijk buiten toepassing kunnen worden gesteld. Dit zijn met name:

  • Delen van de conformiteitsassessment-procedure (Art. 43)
  • Bepaalde technische documentatie-eisen (Art. 11)
  • Registratie in de EU-database vóór testing (Art. 49)
  • Bepaalde kwaliteitsbeheer-eisen (Art. 17)

Wat kan NIET worden vrijgesteld:

  • Art. 5 (verboden AI-praktijken) — absolute verboden gelden ook in de sandbox
  • Art. 10 (datakwaliteit) — data moet ook in de sandbox aan kwaliteitseisen voldoen
  • Privacywetgeving (AVG) — de sandbox creëert geen uitzonderingen op de AVG
  • Sectorspecifieke regelgeving (MDR, Wft, etc.) — tenzij die sector ook een sandbox-regime heeft

Wie kan deelnemen?

Art. 57.2 geeft prioriteit aan:

  • Kleine en middelgrote ondernemingen (mkb) en startups
  • Organisaties die AI-systemen ontwikkelen voor publieke dienstverlening
  • Onderzoeksinstellingen met een toepassingsgericht AI-project

Grote corporaties hebben lagere prioriteit maar zijn niet uitgesloten. Criteria voor toelating worden per sandbox door de nationale toezichthouder vastgesteld.

De Nederlandse AI Regulatory Sandbox

De ACM heeft in samenwerking met de AP en het Ministerie van EZK in 2025 een nationale AI regulatory sandbox gelanceerd. Kenmerken:

  • Aanmeldprocedure: digitaal via acm.nl, met een projectbeschrijving, beschrijving van de AI-systemen, verwachte risico's en mitigaties, en de specifieke vrijstellingen die worden gevraagd
  • Duur: standaard 12 maanden, verlengbaar met maximaal 12 maanden (Art. 60.4)
  • Begeleiding: aangewezen ACM-contactpersoon die gedurende de sandbox begeleidt en adviseert
  • Eindrapport: deelnemers moeten na afloop een rapport opstellen met bevindingen, risico's en aanbevelingen (Art. 62)

Verplichtingen tijdens deelname

Deelname aan een sandbox is geen blanco cheque. Deelnemers zijn verplicht:

  1. Het sandbox-plan na te leven (beschrijving van het systeem, testomgeving, doelstellingen)
  2. Ernstige incidenten en onverwachte risico's onmiddellijk te melden aan de ACM
  3. Alle informatie beschikbaar te stellen die de ACM nodig heeft voor toezicht
  4. De privacy en grondrechten van testdeelnemers te beschermen
  5. Het systeem na afloop van de sandbox te laten overeenstemmen met de reguliere verplichtingen vóór commercieel gebruik

Na de sandbox: van test naar markt

Art. 62 verplicht deelnemers om na afloop van de sandbox een eindrapport op te stellen. Dit rapport documenteert de testresultaten, geïdentificeerde risico's, getroffen mitigaties en aanbevelingen voor toekomstige regulering. Het eindrapport is onderdeel van het compliance-dossier bij de latere definitieve ingebruikname van het systeem.

Na de sandbox moeten deelnemers de systemen die zij commercieel willen exploiteren volledig in overeenstemming brengen met alle EU AI Act-verplichtingen. De sandbox-ervaringen — inclusief het eindrapport — zijn waardevolle input voor de conformiteitsassessment en de technische documentatie.

Sandbox voor deployers vs. providers

Regulatory sandboxes zijn primair gericht op providers die nieuwe AI-systemen ontwikkelen. Voor deployers die bestaande systemen willen testen in een specifieke inzetcontext, zijn sandboxes minder relevant. Deployers kunnen echter deelnemen als zij het systeem zelf (mede-)ontwikkelen of significant aanpassen (waardoor zij ook provider worden conform Art. 25).

Veelgestelde vragen

V: Kunnen wij tijdens de sandbox al inkomsten genereren uit het AI-systeem?
A: In beginsel nee. Een sandbox is bedoeld voor ontwikkeling en testing, niet voor commerciële exploitatie. Beperkte pilotgebruik met expliciete toestemming van de ACM is mogelijk, maar bredere commercialisering vereist volledige compliance.

V: Wat gebeurt er als wij tijdens de sandbox een ernstig incident veroorzaken?
A: De volledige meldplicht van Art. 73 geldt ook in de sandbox. Bovendien kan de ACM de sandbox-status intrekken. De aansprakelijkheidsrisico's zijn dezelfde als buiten de sandbox voor wat betreft de schade die deelnemers veroorzaken.

V: Moeten testdeelnemers (personen die het systeem testen) worden geïnformeerd?
A: Ja. Art. 61 vereist dat personen die in de sandbox worden blootgesteld aan een AI-systeem daarover worden geïnformeerd, tenzij dit de test onmogelijk maakt en er expliciete toestemming is van de ACM voor niet-geïnformeerde testing.

Checklist: regulatory sandbox overwegingen

  1. Bevindt uw AI-project zich in een ontwikkelings- of testfase waarbij sandbox-vrijstellingen toegevoegde waarde hebben?
  2. Is uw organisatie mkb of startup (prioriteit bij toewijzing)?
  3. Heeft u een duidelijke beschrijving van de AI-systemen, de testomgeving en de gevraagde vrijstellingen?
  4. Bent u bereid de sandbox-verplichtingen na te leven (incidentmelding, ACM-medewerking, eindrapport)?
  5. Is er een plan om het systeem na de sandbox volledig EU AI Act-conform te maken?
  6. Is de AVG-compliance gewaarborgd voor de testperiode?