GovCompass
Kennisbank
Guide

Regulatory sandboxes: uitgebreide uitleg

Bijgewerkt: juni 2026 — volledige herziening naar Validai-kwaliteitsstandaard

Inleiding: de sandbox als innovatie-instrument

Een regulatory sandbox is een gecontroleerde testomgeving waar organisaties innovatieve AI-systemen kunnen ontwikkelen en valideren met begeleiding van de toezichthouder (ACM) en met tijdelijke vrijstelling van bepaalde compliance-verplichtingen. De sandbox is geen "compliance-vakantie" — het is een gestructureerd traject waarbij risico's worden gemonitord en deelnemers aan specifieke verplichtingen worden gehouden.

Deze gids neemt u stap voor stap door het sandbox-traject: van de beslissing om aan te melden tot het eindrapport en de stap naar commercieel gebruik.

Stap 1: Beoordeel of de sandbox voor u relevant is

De sandbox is nuttig als:

  • U een nieuw hoog-risico AI-systeem ontwikkelt en wilt testen in een echte context vóór marktintroductie
  • U specifieke compliance-vragen heeft die u via de toezichthouder wilt verhelderen
  • U de conformiteitsassessment wilt starten maar nog niet alle benodigde documentatie heeft
  • Uw organisatie mkb of startup is en profiteert van prioritaire toegang en begeleiding

De sandbox is minder nuttig als:

  • U een bestaand systeem van een provider inzet zonder eigen ontwikkeling
  • U al een volwassen product heeft dat klaar is voor conformiteitsassessment
  • Uw tijdlijn korter is dan 3 maanden (aanmelding en selectie kosten tijd)

Stap 2: Bereid uw aanmelding voor

De aanmelding bij de ACM-sandbox vereist een projectdossier. Bereid de volgende documenten voor:

Projectbeschrijving (verplicht):

  • Beschrijving van het AI-systeem: wat doet het, voor wie, in welke context?
  • Classificatie: waarom is dit hoog-risico AI (welke Bijlage III-categorie)?
  • Testdoelstellingen: wat wilt u in de sandbox valideren?
  • Tijdlijn: hoe lang duurt de test, wat zijn de milestones?

Risico-analyse (verplicht):

  • Welke risico's voor betrokkenen zijn voorzienbaar?
  • Welke mitigerende maatregelen zijn al ingevoerd?
  • Welke risico's rechtvaardigen de gevraagde vrijstellingen?

Gevraagde vrijstellingen (verplicht):

  • Welke specifieke verplichtingen vraagt u tijdelijk buiten toepassing te laten?
  • Waarom zijn deze vrijstellingen noodzakelijk voor de test?
  • Hoe beschermt u betrokkenen ondanks de vrijstelling?

Organisatiebeschrijving (verplicht):

  • Rechtsvorm, omvang, sector
  • Bestaande AI-expertise in het team
  • Eerdere compliance-ervaringen (indien relevant)

Stap 3: Dien de aanmelding in

Aanmeldingen worden ingediend via het ACM-portaal (acm.nl, sectie AI). De ACM heeft twee aanmeldwindows per jaar: een in het voorjaar (februari-maart) en een in het najaar (september-oktober).

Na indiening ontvangt u binnen 3 weken een bevestiging van ontvangst. De selectieprocedure duurt 6-8 weken. U ontvangt schriftelijk bericht over toelating of afwijzing, met motivering bij afwijzing.

Selectiecriteria: De ACM beoordeelt aanmeldingen op: (1) innovativiteit van het AI-systeem, (2) proportionaliteit van de risico's, (3) kwaliteit van de risicoanalyse, en (4) haalbaarheid van de sandbox-doelstellingen. Mkb en startups krijgen prioriteit bij gelijke kwalificatie.

Stap 4: Start de sandbox — verplichtingen tijdens deelname

Na toelating tekent u een sandbox-overeenkomst met de ACM. Hierin staan uw specifieke sandbox-verplichtingen. Generiek gelden:

Maandelijkse voortgangsrapportage: U rapporteert maandelijks aan uw ACM-contactpersoon over: testvoortgang, geconstateerde risico's, eventuele incidenten, en afwijkingen van het sandbox-plan.

Directe incidentmelding: Ernstige incidenten of onverwachte risico's meldt u onmiddellijk aan de ACM (ongeacht de 15-dagentermijn van Art. 73). In de sandbox verwacht de ACM proactieve communicatie.

Bescherming van testdeelnemers: Personen die worden blootgesteld aan het AI-systeem tijdens de sandbox moeten worden geïnformeerd (Art. 61), tenzij de ACM expliciet toestemming heeft gegeven voor niet-geïnformeerde testing. Dergelijke toestemming is uitzonderlijk en vereist sterke rechtvaardiging.

Medewerking aan ACM-onderzoek: De ACM kan op ieder moment informatie opvragen en een bezoek brengen. U verleent volledige medewerking.

Stap 5: Beheer uw testomgeving

Een veelgemaakte fout in sandboxes is dat de testomgeving niet voldoende is afgescheiden van de productieomgeving. Zorg voor:

  • Technische afscheiding: testdata mag niet per ongeluk in productiesystemen terechtkomen
  • Dataminimalisatie: gebruik zo weinig mogelijk persoonsgegevens; gebruik geanonimiseerde of gesynthetiseerde data waar de test dit toelaat
  • Toegangscontrole: alleen geautoriseerde medewerkers hebben toegang tot het sandbox-systeem
  • Logging: log alle test-interacties vanaf dag 1 — u heeft deze data nodig voor het eindrapport

Stap 6: Sluit af met een sterk eindrapport

Art. 62 verplicht tot een eindrapport binnen 30 dagen na afloop van de sandbox. Een goed eindrapport bevat:

  1. Samenvatting van de testdoelstellingen en in hoeverre die zijn bereikt
  2. Beschrijving van het AI-systeem na de sandbox (hoe heeft het zich ontwikkeld?)
  3. Geïdentificeerde risico's en hoe die zijn gemitigeerd
  4. Prestatiemetrieken: nauwkeurigheid, fairness, betrouwbaarheid
  5. Lessen voor de reguliere compliance (welke verplichtingen zijn nu begrijpelijker?)
  6. Aanbevelingen voor de toezichthouder (optioneel maar gewaardeerd)
  7. Plan voor post-sandbox compliance: hoe voldoet u aan alle verplichtingen na de sandbox?

Het eindrapport is niet alleen een verplicht document — het is de basis voor uw conformiteitsassessment en technische documentatie bij de latere definitieve ingebruikname.

Stap 7: Van sandbox naar markt

Na de sandbox moet het systeem volledig in overeenstemming worden gebracht met alle EU AI Act-verplichtingen vóór commercieel gebruik. De sandbox-ervaring versnelt dit: u heeft al risicoanalyse-documentatie, testresultaten en ACM-begeleiding gehad.

Gebruik het sandbox-eindrapport als input voor:

  • De technische documentatie (Art. 11)
  • De conformiteitsassessment (Art. 43)
  • Het post-market monitoring plan (Art. 72)
  • De FRIA (Art. 27, indien van toepassing)

Valkuilen bij sandbox-deelname

Valkuil 1 — Sandbox als compliance-vertraging: Sommige organisaties melden zich aan voor een sandbox om de compliance-deadline uit te stellen. De ACM is hier alert op: een aanmelding die louter gericht lijkt op uitstel wordt afgewezen.

Valkuil 2 — Onvoldoende testprotocol: Een sandbox zonder gestructureerd testprotocol levert geen bruikbare resultaten. Definieer vóór aanvang welke hypotheses u test en hoe u succes meet.

Valkuil 3 — AVG-overtredingen in de sandbox: De sandbox creëert geen AVG-uitzonderingen. Behandel persoonsgegevens van testdeelnemers met dezelfde zorgvuldigheid als in productie.

Samenvatting

Een regulatory sandbox is een waardevol instrument voor organisaties die innovatieve AI-systemen ontwikkelen en daarvoor begeleiding en tijdelijke flexibiliteit nodig hebben. De sleutel tot succes: een grondige aanmelding, proactieve communicatie met de ACM, en een sterk eindrapport dat de basis legt voor definitieve compliance.