GovCompass
Kennisbank
ReferenceAccountabilityHuman oversight

Art. 4, AI literacy: zorg dat je team AI begrijpt

Door Michel Venniker· · Afgestemd op de geconsolideerde EU AI Act, inclusief de Omnibus-wijzigingen van 2026.

Art. 4 verplicht organisaties sinds 2 februari 2025 om te zorgen voor een voldoende niveau van AI-geletterdheid bij medewerkers die AI-systemen bedienen of gebruiken, in verhouding tot het systeem en de rol. De verplichting geldt voor alle AI-inzet, niet alleen hoog-risico, en moet aantoonbaar zijn.

Bijgewerkt: juni 2026

Inleiding: de meest onderschatte verplichting van de EU AI Act

Art. 4 EU AI Act legt een verplichting op die veel organisaties over het hoofd zien: het garanderen van een toereikend niveau van AI-geletterdheid bij iedereen die betrokken is bij de inzet van AI-systemen. De verplichting geldt zowel voor providers als voor deployers, is van kracht sinds 2 februari 2025, en wordt niet geëvenaard door een breed bekende checklist of technische documentatieplicht. Toch is ze juridisch bindend en controleerbaar.

AI-geletterdheid is geen soft skill die u kunt afdoen met een eenmalige e-learning. Art. 4 vraagt om een doorlopend, gedocumenteerd proces dat aansluit op de daadwerkelijke AI-systemen die uw organisatie inzet. Hoe meer invloed een functie heeft op de werking of het toezicht op een AI-systeem, hoe hoger de vereiste geletterdheid.

Voor deployers is Art. 4 het fundament onder Art. 26.2 (menselijk toezicht) en Art. 26.5 (monitoring). Menselijk toezicht is juridisch leeg als de toezichthouder niet begrijpt wat hij bewaakt.

Juridische context: wat zegt Art. 4 precies?

Art. 4 EU AI Act bepaalt dat providers en deployers, rekening houdend met hun respectievelijke rollen, passende maatregelen nemen om te waarborgen dat hun personeel en andere personen die namens hen optreden bij de inzet van AI-systemen, over een voldoende niveau van AI-geletterdheid beschikken. Dit geldt voor technische kennis, ervaring, opleiding en training, en voor het specifieke domein waarin de AI-systemen worden ingezet.

Overweging 20 licht toe dat AI-geletterdheid vereist dat relevante personen de mogelijkheid en het vermogen hebben om te begrijpen hoe AI-systemen werken, welke beperkingen ze hebben, en wat hun impact kan zijn op beslissingen die hen betreffen of die ze nemen. Het gaat dus om functioneel begrip, niet om het kunnen bouwen van modellen.

Wie valt onder de verplichting?

Art. 4 richt zich op "personeel en andere personen die namens hen optreden". In de praktijk omvat dit:

  • Primaire gebruikers: medewerkers die dagelijks werken met het AI-systeem
  • Toezichthouders: managers en compliance officers die verantwoordelijk zijn voor menselijk toezicht op AI-beslissingen (Art. 26.2)
  • Inkopers en contractmanagers: medewerkers die AI-systemen selecteren en leverancierscontracten beheren
  • IT-beheerders: medewerkers die AI-systemen technisch beheren of configureren

Wat valt er NIET onder: Eindgebruikers van een product die toevallig door AI-aanbevelingen worden beïnvloed zijn geen "personen die namens de deployerdeployerAn organization using an AI system under its own authority in its activities — carrying operator duties: use per instructions, oversight, input relevance, monitoring, notices.Open full entry → optreden". Ook raad van bestuur-leden zonder operationele AI-rol vallen niet automatisch onder Art. 4, tenzij zij als ultimate toezichthouder fungeren.

Wat is "voldoende" AI-geletterdheid?

De wet geeft geen exact meetpunt, maar Overweging 20 en de praktijkaanbevelingen van de Europese AI Office bieden houvast. Het gaat om vier dimensies:

1. Technisch begrip (proportioneel aan de rol): Een primaire gebruiker van een hoog-risico AI-systeem voor kredietverlening moet begrijpen hoe het model scores genereert, welke inputvariabelen relevant zijn, en wanneer de output onbetrouwbaar kan zijn.

2. Beperkingenbewustzijn: Elke betrokkene moet de bekende beperkingen van het specifieke systeem kennen: blindspots, bekende bias-risico's, drempelwaarden van betrouwbaarheid, en situaties waarbij handmatige verificatie verplicht is.

3. Impact-bewustzijn: Begrijpen hoe AI-output leidt tot beslissingen, en welke gevolgen die beslissingen hebben voor betrokkenen, met name in hoog-risico context.

4. Escalatieprocedures: Weten wanneer en hoe escalatie plaatsvindt als het AI-systeem onverwacht gedrag vertoont of als een beslissing handmatige overschrijving vereist.

Deployer-specifieke verplichtingen: wat moet u concreet doen?

Stap 1, Rollenmatrix opstellen: Breng in kaart welke functies in uw organisatie betrokken zijn bij welke AI-systemen, en definieer per functie het vereiste geletterdheidsniveau.

Stap 2, Gap-analyse: Bepaal voor elk betrokken persoon of hun huidige kennis voldoet. Dit kan via een interne toets of een assessment van bestaande trainingen.

Stap 3, Trainingsplan: Stel per functiegroep een trainingsplan op. Interne kennissessies door de AI-leverancier zijn vaak de meest effectieve oplossing.

Stap 4, Documentatie: Leg de voltooide trainingen vast inclusief datum, deelnemers en inhoud. Dit is uw bewijs bij een audit door de toezichthouder.

Stap 5, Onderhoud: Bij elke materiële update van een AI-systeem of bij functiewisselingen evalueert u of aanvullende training noodzakelijk is.

Relatie tot andere Art. 26-verplichtingen

Art. 4 is de voorwaarde voor het naleven van meerdere andere deployer-verplichtingen:

  • Art. 26.2 (menselijk toezicht): Zinloos zonder getrainde toezichthouders.
  • Art. 26.5 (monitoring): U kunt afwijkingen niet signaleren als uw team niet weet wat normale output is.
  • Art. 26.1 (gebruik instructies): De instructies zijn pas effectief als uw medewerkers de context begrijpen.

Handhaving en sancties

Niet-naleving van Art. 4 valt onder Art. 99.4 EU AI Act: boetes tot €15.000.000 of 3% van de wereldwijde jaaromzet. In de praktijk zal de toezichthouder Art. 4 handhaven in combinatie met Art. 26.2: een incident waarbij een medewerker een schadelijke AI-beslissing niet heeft onderkend omdat hij onvoldoende was getraind, vormt direct bewijs van niet-naleving van beide artikelen.

Veelgestelde vragen

V: Volstaat een eenmalige training bij indiensttreding?
A: Nee. Art. 4 vereist een doorlopend passend niveau. Bij updates van het systeem, bij functiewijzigingen en bij nieuwe AI-systemen is aanvullende training vereist.

V: Onze AI-leverancier biedt zelf trainingen aan. Volstaat dat?
A: Leverancierstraining is een uitstekend startpunt maar dekt alleen de technische aspecten van het systeem. U bent ook verantwoordelijk voor domein-context. Combineer leverancierstraining met interne contextualisering.

V: Hoe bewijs ik bij een audit door de toezichthouder dat onze training "voldoende" was?
A: Documenteer aanwezigheidsregistratie, trainingsinhoud inclusief behandelde beperkingen, een toets die assimilatie aantoont, en de koppeling tussen training en de specifieke AI-systemen die deelnemers bedienen.

Checklist: Art. 4 compliance

  1. Heeft u een actuele rollenmatrix die per functie aangeeft welke AI-systemen worden gebruikt en welk geletterdheidsniveau vereist is?
  2. Is er voor alle betrokken medewerkers een gap-analyse uitgevoerd?
  3. Zijn er gedocumenteerde trainingen uitgevoerd die de technische werking, beperkingen en escalatieprocedures behandelen?
  4. Zijn de trainingen specifiek genoeg, behandelen ze de concrete AI-systemen die uw medewerkers bedienen?
  5. Bevat elke training een module over de bekende beperkingen van het specifieke systeem?
  6. Zijn er duidelijke escalatieprocedures gedocumenteerd?
  7. Worden trainingen herhaald bij updates of functiewisselingen?
  8. Worden alle trainingen gedocumenteerd met datum, deelnemers en inhoud?
WetsverwijzingenArt. 4

Meer over Accountability

Art. 10 EU AI Act: data en datagovernance voor hoog-risico AI

Reference

Art. 10 vereist dat de trainings-, validatie- en testdata voor hoog-risico AI-systemen voldoet aan kwaliteitscriteria: relevant, voldoende representatief, en zo foutloos en volledig mogelijk voor het beoogde doel. Het vereist ook gedocumenteerde datagovernance over verzameling, voorbereiding, bias-onderzoek en het mitigeren van lacunes, en het staat de beperkte verwerking van bijzondere persoonsgegevens toe waar strikt noodzakelijk om bias te detecteren en corrigeren, onder waarborgen.

Art. 12 EU AI Act: registratie en logging voor hoog-risico AI

Reference

Art. 12 vereist dat hoog-risico AI-systemen technisch de automatische registratie van gebeurtenissen (logs) over hun levensduur mogelijk maken. De logging moet de traceerbaarheid van het functioneren van het systeem mogelijk maken op een niveau passend bij het beoogde doel, post-market monitoring ondersteunen, en helpen situaties te identificeren die tot risico of een substantiële wijziging kunnen leiden. Het is een ontwerpverplichting voor de provider die het systeem door constructie auditeerbaar maakt.

Art. 19 EU AI Act: het bewaren van de automatisch gegenereerde logs

Reference

Art. 19 verplicht providers van hoog-risico AI-systemen om de logs die het systeem automatisch genereert (onder Art. 12) te bewaren zolang ze die onder controle hebben, voor een periode passend bij het beoogde doel en minimaal zes maanden, tenzij andere wetgeving een langere termijn vereist. Het is de bewaar-tegenhanger van de Art. 12-logging-capaciteit, en werkt naast de deployer-bewaarplicht in Art. 26.6.

Art. 26.1, gebruik AI volgens de instructies van de aanbieder

Reference

Art. 26.1 EU AI Act verplicht deployers om hoog-risico AI-systemen uitsluitend in te zetten conform de gebruiksinstructies van de provider. De verplichting omvat drie componenten: het beschikken over de instructies (conform Art. 13.3), het actief naleven ervan, en het documenteren van dat naleven. Inzet buiten de instructies kan de aansprakelijkheid volledig naar de deployer verschuiven.

Meer over Human oversight

Art. 14 EU AI Act: hoog-risico AI ontwerpen voor menselijk toezicht

Reference

Art. 14 vereist dat providers hoog-risico AI-systemen zo ontwerpen en bouwen dat ze tijdens gebruik effectief door mensen kunnen worden overzien. Het systeem moet een toezichthouder in staat stellen de mogelijkheden en grenzen te begrijpen, op afwijkingen te letten, automation bias te weerstaan, outputs juist te interpreteren, te besluiten het systeem niet te gebruiken, en in te grijpen of het te stoppen via een noodstop (Art. 14(4)(e)). Het is de ontwerpverplichting die de deployer-toezichtsplicht van Art. 26.2 mogelijk maakt.

Art. 26.2, menselijk toezicht: wijs competente mensen aan

Reference

Art. 26.2 EU AI Act verplicht deployers om het menselijk toezicht te implementeren dat de provider heeft voorzien (Art. 14). Het toezicht is alleen geldig als de toezichthouder voldoende AI-geletterd is (Art. 4), de bevoegdheid heeft om de AI-output te overrulen, en niet zo overbelast is dat de beoordeling louter routinematig wordt. Formeel toezicht zonder inhoudelijke beoordeling voldoet niet.

Art. 27, FRIA: Fundamental Rights Impact Assessment

Reference

Art. 27 verplicht bepaalde deployers, publieke instanties en private deployers in afgebakende sectoren zoals krediet en verzekeringen, om vóór de inzet van een hoog-risico AI-systeem een Fundamental Rights Impact Assessment (FRIA) uit te voeren, die de impact op grondrechten en de mitigerende maatregelen onderzoekt.

Agentic AI: het besturen van acties, niet alleen beslissingen

Analysis

Data governance vraagt of je de data kunt vertrouwen. AI governance vraagt of je de beslissing kunt vertrouwen. Agentische governance stelt een derde vraag die geen van beide is ontworpen te beantwoorden: kun je beheersen wat het systeem doet? Agentic AI is het achtste GovCompass-element. Het bindt de andere zeven onder de condities die autonomie schept, want een AI-systeem dat namens jou handelt moet alle zeven elementen continu waarborgen, over meerstaps- en multi-agent-ketens, zonder menselijk controlepunt tussen elke stap.