GovCompass
Kennisbank
AnalysisAccountabilityHuman oversight

De AI Officer: waarom elke organisatie deze sleutelfunctie nodig heeft

Door Michel Venniker· · Afgestemd op de geconsolideerde EU AI Act, inclusief de Omnibus-wijzigingen van 2026.

De AI Officer is de organisatiebrede regisseur van verantwoord AI-gebruik, breder dan een compliance-rol: de functie omvat AI-strategie, ethiek, risico en geletterdheid. De EU AI Act (Art. 26) maakt de coördinerende functie noodzakelijk, maar de behoefte aan een AI Officer reikt verder dan de wet zelf.

Vijf jaar geleden was de functie van Data Protection Officer (DPO) bij de meeste organisaties onbekend. Vandaag staat hij in vrijwel elk organogram, met een duidelijk mandaat, een gestructureerde methode en een erkende professionele gemeenschap. De Europese wetgever heeft die kanteling bewust geforceerd via artikel 37 van de AVG.

De AI Officer volgt een vergelijkbaar pad, maar is fundamenteel een bredere rol. Waar de DPO primair een compliance-functionaris is die de naleving van privacywetgeving bewaakt, is de AI Officer de organisatiebrede regisseur van verantwoord en strategisch AI-gebruik. Compliance met de EU AI Act is een belangrijk onderdeel van die rol, maar zeker niet het enige.

Wat maakt de AI Officer breder dan een compliance-functie?

De vergelijking met de CISO (Chief Information Security Officer) is verhelderend. Een CISO werkt niet alleen om te voldoen aan de AVG of NIS2, hij of zij bouwt aan informatiebeveiliging als strategisch vermogen van de organisatie: cultuur, architectuur, risicobeheer én wettelijke naleving tegelijk. De AI Officer doet hetzelfde voor kunstmatige intelligentie.

Dat betekent dat de AI Officer vier lagen bedient die samen het volledige spectrum van verantwoord AI-gebruik afdekken:

Laag 1, strategie en beleid

De AI Officer formuleert, in samenwerking met de directie, het AI-beleid van de organisatie: welke AI-toepassingen zijn toegestaan, onder welke voorwaarden, en met welke ethische grenzen? Dit beleid vertaalt de missie en waarden van de organisatie naar concrete spelregels voor de inzet van AI. Het is geen juridisch document, maar een strategisch kader dat richting geeft aan inkopers, productmanagers, IT-teams en eindgebruikers.

Laag 2, ethiek en waarden

AI-systemen kunnen discrimineren, manipuleren en onbedoeld schade veroorzaken, ook zonder een wettelijke grens te overschrijden. De AI Officer bewaakt de ethische dimensie van AI-gebruik: zijn de uitkomsten van onze systemen eerlijk? Worden betrokkenen transparant geïnformeerd? Hoe gaan we om met algoritmische beslissingen die mensen raken? Dit vraagt om een structureel ethisch toetsingsproces, niet als eenmalig project, maar als doorlopende praktijk.

Laag 3, risicobeheer en compliance

Hier raakt de AI Officer aan de EU AI Act. Artikel 26 legt deployers van hoog-risico AI-systemen een reeks concrete verplichtingen op: menselijk toezicht borgen, inputdata bewaken, incidenten rapporteren, leveranciersdocumentatie opvragen en bewaren. De AI Officer coördineert de naleving van al deze verplichtingen en bouwt de compliance-dossiers die een toezichthouder verwacht. Maar risicobeheer stopt niet bij de wet: de AI Officer identificeert ook operationele, reputationele en strategische risico's die buiten de wettelijke definitie van 'hoog-risico' vallen.

Laag 4, AI-volwassenheid en cultuur

Een AI Officer die alleen dossiers beheert, mist de helft van de impact. De functie heeft ook een intern mobiliserende rol: het vergroten van AI-geletterdheid in de organisatie (Art. 4 EU AI Act verplicht dit al), het opbouwen van kennis bij leidinggevenden, en het creëren van een cultuur waarin medewerkers AI-risico's durven te signaleren. Organisaties die dit goed doen, ontdekken risico's intern, in plaats van via een toezichthouder of een incident.

De parallel met de DPO: overeenkomsten én verschillen

De AI Officer deelt met de DPO een aantal structurele kenmerken:

  • Brede kennisbasis vereist, Juridische kennis alleen is onvoldoende. Wie AI-governance serieus neemt, begrijpt ook hoe ML-modellen werken, welke biases in trainingsdata kunnen zitten, en hoe AI-architectuurkeuzes de risicoprofielen van systemen bepalen.
  • Onafhankelijkheid essentieel, Net zoals een DPO niet door de verwerkingsverantwoordelijke kan worden geïnstrueerd in zijn toezichtsfunctie, moet de AI Officer de bevoegdheid hebben om classificaties te contesteren, inkoopbeslissingen te bevragen en projecten te stoppen wanneer risico's onvoldoende zijn afgedekt.
  • Intern of extern invulbaar, Grote organisaties benoemen een interne AI Officer; kleinere organisaties besteden de functie uit aan gespecialiseerde bureaus. Beide zijn legitiem, mits het mandaat en de bevoegdheden formeel zijn vastgelegd.

Het cruciale verschil: de DPO is een wettelijk verplichte functie voor een afgebakende categorie organisaties. De AI Officer is, vooralsnog, geen wettelijk verplichte functie, maar een strategische noodzaak voor elke organisatie die AI structureel inzet. De EU AI Act dwingt indirect tot de aanwezigheid van iemand die de verplichtingen coördineert; de werkelijke behoefte aan een AI Officer is echter breder dan die wetgeving.

Wat doet een AI Officer concreet?

De dagelijkse taken zijn te verdelen in vijf clusters:

1. AI-register en classificatie

De AI Officer beheert het AI-register, het levende overzicht van alle AI-systemen die de organisatie inzet, per afdeling, per leverancier, per beoogd gebruik. Per systeem wordt de risicoklasse bepaald op basis van Artikel 6 en Bijlage III van de EU AI Act. Onjuiste classificatie is zelf een overtreding, en de verantwoordelijkheid voor een correcte classificatie ligt bij de organisatie, niet bij de leverancier.

2. compliance-dossiervorming

Voor elk hoog-risico systeem coördineert de AI Officer de opbouw van een compliance-dossier: de deployerdeployerAn organization using an AI system under its own authority in its activities — carrying operator duties: use per instructions, oversight, input relevance, monitoring, notices.Open full entry →-beoordeling (Art. 26), de Fundamental Rights Impact Assessmentimpact assessmentThe design-time discipline of describing a system, mapping stakeholders, identifying harms, rating probability × severity, choosing mitigations and documenting a signed decision — the skeleton under DPIAs, FRIAs and AIAs.Open full entry → (Art. 27), leveranciersdocumentatie en toezichtregisters. De AI Officer is niet altijd de uitvoerder, maar wel altijd de regisseur die borgt dat alle onderdelen aanwezig en actueel zijn.

3. ethische toetsing van nieuwe AI-toepassingen

Voor elke nieuwe AI-toepassing, of het nu een aangekochte SaaS-tool of een intern ontwikkeld model is, voert de AI Officer een gestructureerde ethische toetsing uit. Wie wordt geraakt door de uitkomsten van dit systeem? Zijn die uitkomsten transparant en verklaarbaar? Is er voldoende menselijk toezicht? Deze vragen zijn niet optioneel, ze vormen de basis voor verantwoord AI-gebruik.

4. AI-geletterdheid en interne kennisopbouw

Artikel 4 van de EU AI Act verplicht organisaties sinds 2 februari 2025 om medewerkers die met AI werken aantoonbaar AI-geletterd te maken. De AI Officer coördineert dit trainingsprogramma, registreert wie welke training heeft gevolgd, en zorgt dat de kennis actueel blijft naarmate de technologie evolueert. Maar AI-geletterdheid gaat verder dan wetgeving: het is de basis voor een organisatie die AI-risico's intern herkent en beheert.

5. toezicht op AI in het inkoopproces

Veel AI-risico's komen de organisatie binnen via de inkoopketen. De AI Officer borgt dat bij de aanschaf van nieuwe AI-systemen de juiste vragen aan leveranciers worden gesteld: wat is de risicoklasse van dit systeem, is er een CE-verklaring of conformiteitsassessment beschikbaar, wat staat er in de gebruiksinstructies? AI-governance begint aan de contracttafel, niet bij go-live.

Praktische eerste stappen voor organisaties

U hoeft niet te wachten op een definitieve functiebeschrijving om te beginnen. De volgende stappen zijn direct uitvoerbaar:

  1. Wijs een trekker aan, Geef iemand intern de AI Officer-rol, ook al is het aanvankelijk een neventaak. Zonder eigenaarschap blijft governance steken bij goede voornemens.
  2. Inventariseer alle AI-systemen, Per afdeling, per leverancier, per beoogd gebruik. Inclusief shadow AIshadow AIAI tools adopted by staff or business units outside official channels and governance — the predictable product of processes that are too heavy or too slow.Open full entry → (ChatGPT, Copilot, niche SaaS-tools). Dit is de onmisbare basis voor elke volgende stap.
  3. Formuleer een AI-beleid, Eén pagina is genoeg om te starten: welke AI-toepassingen zijn toegestaan, wat zijn de ethische grenzen, wie heeft goedkeuringsrecht voor nieuwe systemen?
  4. Start AI-geletterdheidstraining, De verplichting is nu van kracht. Registreer trainingen en bewaar presentielijsten (Art. 4 EU AI Act).
  5. Documenteer elke beslissing, Elke classificatie, elke toetsing, elke toezichtactie, gedateerd en bewaard. Dit is het bewijs dat u nodig heeft bij een audit.

Waarom de AI Officer blijft

De opkomst van de AI Officer is geen hype. Het is een direct gevolg van een technologie die diep in organisaties doordringt, gecombineerd met wetgeving die al van kracht is. Organisaties die nu investeren in de kennis, de structuur en het mandaat, bouwen een vermogen op dat bestand is tegen verdere regelgevingswijzigingen en dat betrouwbaarheid uitstraalt naar klanten, medewerkers en toezichthouders.

WetsverwijzingenArt. 4Art. 26Art. 27

Meer over Accountability

Art. 10 EU AI Act: data en datagovernance voor hoog-risico AI

Reference

Art. 10 vereist dat de trainings-, validatie- en testdata voor hoog-risico AI-systemen voldoet aan kwaliteitscriteria: relevant, voldoende representatief, en zo foutloos en volledig mogelijk voor het beoogde doel. Het vereist ook gedocumenteerde datagovernance over verzameling, voorbereiding, bias-onderzoek en het mitigeren van lacunes, en het staat de beperkte verwerking van bijzondere persoonsgegevens toe waar strikt noodzakelijk om bias te detecteren en corrigeren, onder waarborgen.

Art. 12 EU AI Act: registratie en logging voor hoog-risico AI

Reference

Art. 12 vereist dat hoog-risico AI-systemen technisch de automatische registratie van gebeurtenissen (logs) over hun levensduur mogelijk maken. De logging moet de traceerbaarheid van het functioneren van het systeem mogelijk maken op een niveau passend bij het beoogde doel, post-market monitoring ondersteunen, en helpen situaties te identificeren die tot risico of een substantiële wijziging kunnen leiden. Het is een ontwerpverplichting voor de provider die het systeem door constructie auditeerbaar maakt.

Art. 19 EU AI Act: het bewaren van de automatisch gegenereerde logs

Reference

Art. 19 verplicht providers van hoog-risico AI-systemen om de logs die het systeem automatisch genereert (onder Art. 12) te bewaren zolang ze die onder controle hebben, voor een periode passend bij het beoogde doel en minimaal zes maanden, tenzij andere wetgeving een langere termijn vereist. Het is de bewaar-tegenhanger van de Art. 12-logging-capaciteit, en werkt naast de deployer-bewaarplicht in Art. 26.6.

Art. 26.1, gebruik AI volgens de instructies van de aanbieder

Reference

Art. 26.1 EU AI Act verplicht deployers om hoog-risico AI-systemen uitsluitend in te zetten conform de gebruiksinstructies van de provider. De verplichting omvat drie componenten: het beschikken over de instructies (conform Art. 13.3), het actief naleven ervan, en het documenteren van dat naleven. Inzet buiten de instructies kan de aansprakelijkheid volledig naar de deployer verschuiven.

Meer over Human oversight

Art. 14 EU AI Act: hoog-risico AI ontwerpen voor menselijk toezicht

Reference

Art. 14 vereist dat providers hoog-risico AI-systemen zo ontwerpen en bouwen dat ze tijdens gebruik effectief door mensen kunnen worden overzien. Het systeem moet een toezichthouder in staat stellen de mogelijkheden en grenzen te begrijpen, op afwijkingen te letten, automation bias te weerstaan, outputs juist te interpreteren, te besluiten het systeem niet te gebruiken, en in te grijpen of het te stoppen via een noodstop (Art. 14(4)(e)). Het is de ontwerpverplichting die de deployer-toezichtsplicht van Art. 26.2 mogelijk maakt.

Art. 26.2, menselijk toezicht: wijs competente mensen aan

Reference

Art. 26.2 EU AI Act verplicht deployers om het menselijk toezicht te implementeren dat de provider heeft voorzien (Art. 14). Het toezicht is alleen geldig als de toezichthouder voldoende AI-geletterd is (Art. 4), de bevoegdheid heeft om de AI-output te overrulen, en niet zo overbelast is dat de beoordeling louter routinematig wordt. Formeel toezicht zonder inhoudelijke beoordeling voldoet niet.

Art. 27, FRIA: Fundamental Rights Impact Assessment

Reference

Art. 27 verplicht bepaalde deployers, publieke instanties en private deployers in afgebakende sectoren zoals krediet en verzekeringen, om vóór de inzet van een hoog-risico AI-systeem een Fundamental Rights Impact Assessment (FRIA) uit te voeren, die de impact op grondrechten en de mitigerende maatregelen onderzoekt.

Art. 4, AI literacy: zorg dat je team AI begrijpt

Reference

Art. 4 verplicht organisaties sinds 2 februari 2025 om te zorgen voor een voldoende niveau van AI-geletterdheid bij medewerkers die AI-systemen bedienen of gebruiken, in verhouding tot het systeem en de rol. De verplichting geldt voor alle AI-inzet, niet alleen hoog-risico, en moet aantoonbaar zijn.