GovCompass
Kennisbank
GuideAccountability

Regulatory sandboxes: uitgebreide uitleg

Door Michel Venniker· · Afgestemd op de geconsolideerde EU AI Act, inclusief de Omnibus-wijzigingen van 2026.

Deelnemen aan een nationale AI regulatory sandbox onder Art. 57-63 verloopt via een gestructureerd pad: bereid een projectdossier voor, dien in tijdens een aanmeldwindow, teken een sandbox-overeenkomst met de toezichthouder, rapporteer voortgang en incidenten tijdens het testen, en lever een eindrapport op dat de basis legt voor volledige compliance.

Bijgewerkt: juni 2026

Inleiding: de sandbox als innovatie-instrument

Een regulatory sandbox is een gecontroleerde testomgeving waar organisaties innovatieve AI-systemen kunnen ontwikkelen en valideren met begeleiding van de toezichthouder en met tijdelijke vrijstelling van bepaalde compliance-verplichtingen. De sandbox is geen "compliance-vakantie", het is een gestructureerd traject waarbij risico's worden gemonitord en deelnemers aan specifieke verplichtingen worden gehouden.

Deze gids neemt u stap voor stap door het sandbox-traject: van de beslissing om aan te melden tot het eindrapport en de stap naar commercieel gebruik.

Stap 1: beoordeel of de sandbox voor u relevant is

De sandbox is nuttig als:

  • U een nieuw hoog-risico AI-systeem ontwikkelt en wilt testen in een echte context vóór marktintroductie
  • U specifieke compliance-vragen heeft die u via de toezichthouder wilt verhelderen
  • U de conformiteitsassessment wilt starten maar nog niet alle benodigde documentatie heeft
  • Uw organisatie mkb of startup is en profiteert van prioritaire toegang en begeleiding

De sandbox is minder nuttig als:

  • U een bestaand systeem van een providerproviderThe actor who develops an AI system (or has it developed) and places it on the market or into service under its own name — carrying manufacturer-style duties: design controls, documentation, conformity.Open full entry → inzet zonder eigen ontwikkeling
  • U al een volwassen product heeft dat klaar is voor conformiteitsassessment
  • Uw tijdlijn korter is dan 3 maanden (aanmelding en selectie kosten tijd)

Stap 2: bereid uw aanmelding voor

De aanmelding bij de nationale sandbox vereist een projectdossier. Bereid de volgende documenten voor:

Projectbeschrijving (verplicht):

  • Beschrijving van het AI-systeem: wat doet het, voor wie, in welke context?
  • Classificatie: waarom is dit hoog-risico AI (welke Bijlage III-categorie)?
  • Testdoelstellingen: wat wilt u in de sandbox valideren?
  • Tijdlijn: hoe lang duurt de test, wat zijn de milestones?

Risico-analyse (verplicht):

  • Welke risico's voor betrokkenen zijn voorzienbaar?
  • Welke mitigerende maatregelen zijn al ingevoerd?
  • Welke risico's rechtvaardigen de gevraagde vrijstellingen?

Gevraagde vrijstellingen (verplicht):

  • Welke specifieke verplichtingen vraagt u tijdelijk buiten toepassing te laten?
  • Waarom zijn deze vrijstellingen noodzakelijk voor de test?
  • Hoe beschermt u betrokkenen ondanks de vrijstelling?

Organisatiebeschrijving (verplicht):

  • Rechtsvorm, omvang, sector
  • Bestaande AI-expertise in het team
  • Eerdere compliance-ervaringen (indien relevant)

Stap 3: dien de aanmelding in

Aanmeldingen worden ingediend via het portaal van de toezichthouder. Er zijn twee aanmeldwindows per jaar: een in het voorjaar (februari-maart) en een in het najaar (september-oktober).

Na indiening ontvangt u binnen 3 weken een bevestiging van ontvangst. De selectieprocedure duurt 6-8 weken. U ontvangt schriftelijk bericht over toelating of afwijzing, met motivering bij afwijzing.

Selectiecriteria: De toezichthouder beoordeelt aanmeldingen op: (1) innovativiteit van het AI-systeem, (2) proportionaliteit van de risico's, (3) kwaliteit van de risicoanalyse, en (4) haalbaarheid van de sandbox-doelstellingen. Mkb en startups krijgen prioriteit bij gelijke kwalificatie.

Stap 4: start de sandbox, verplichtingen tijdens deelname

Na toelating tekent u een sandbox-overeenkomst met de toezichthouder. Hierin staan uw specifieke sandbox-verplichtingen. Generiek gelden:

Maandelijkse voortgangsrapportage: U rapporteert maandelijks aan uw contactpersoon bij de toezichthouder over: testvoortgang, geconstateerde risico's, eventuele incidenten, en afwijkingen van het sandbox-plan.

Directe incidentmelding: Ernstige incidenten of onverwachte risico's meldt u onmiddellijk aan de toezichthouder (ongeacht de 15-dagentermijn van Art. 73). In de sandbox verwacht de toezichthouder proactieve communicatie.

Bescherming van testdeelnemers: Personen die worden blootgesteld aan het AI-systeem tijdens de sandbox moeten worden geïnformeerd (Art. 61), tenzij de toezichthouder expliciet toestemming heeft gegeven voor niet-geïnformeerde testing. Dergelijke toestemming is uitzonderlijk en vereist sterke rechtvaardiging.

Medewerking aan onderzoek door de toezichthouder: De toezichthouder kan op ieder moment informatie opvragen en een bezoek brengen. U verleent volledige medewerking.

Stap 5: beheer uw testomgeving

Een veelgemaakte fout in sandboxes is dat de testomgeving niet voldoende is afgescheiden van de productieomgeving. Zorg voor:

  • Technische afscheiding: testdata mag niet per ongeluk in productiesystemen terechtkomen
  • Dataminimalisatie: gebruik zo weinig mogelijk persoonsgegevens; gebruik geanonimiseerde of gesynthetiseerde data waar de test dit toelaat
  • Toegangscontrole: alleen geautoriseerde medewerkers hebben toegang tot het sandbox-systeem
  • Logging: log alle test-interacties vanaf dag 1, u heeft deze data nodig voor het eindrapport

Stap 6: sluit af met een sterk eindrapport

Art. 62 verplicht tot een eindrapport binnen 30 dagen na afloop van de sandbox. Een goed eindrapport bevat:

  1. Samenvatting van de testdoelstellingen en in hoeverre die zijn bereikt
  2. Beschrijving van het AI-systeem na de sandbox (hoe heeft het zich ontwikkeld?)
  3. Geïdentificeerde risico's en hoe die zijn gemitigeerd
  4. Prestatiemetrieken: nauwkeurigheid, fairnessfairnessThe responsible-AI principle that systems should not create or reinforce unjust discrimination; operationalised through bias testing, representative data and per-group thresholds — with multiple, mutually incompatible mathematical definitions.Open full entry →, betrouwbaarheid
  5. Lessen voor de reguliere compliance (welke verplichtingen zijn nu begrijpelijker?)
  6. Aanbevelingen voor de toezichthouder (optioneel maar gewaardeerd)
  7. Plan voor post-sandbox compliance: hoe voldoet u aan alle verplichtingen na de sandbox?

Het eindrapport is niet alleen een verplicht document, het is de basis voor uw conformiteitsassessment en technische documentatie bij de latere definitieve ingebruikname.

Stap 7: van sandbox naar markt

Na de sandbox moet het systeem volledig in overeenstemming worden gebracht met alle EU AI Act-verplichtingen vóór commercieel gebruik. De sandbox-ervaring versnelt dit: u heeft al risicoanalyse-documentatie, testresultaten en begeleiding van de toezichthouder gehad.

Gebruik het sandbox-eindrapport als input voor:

  • De technische documentatie (Art. 11)
  • De conformiteitsassessment (Art. 43)
  • Het post-market monitoringpost-market monitoringProvider-side duty to systematically collect and act on experience from systems in use — the product-regulation half of continuous monitoring.Open full entry → plan (Art. 72)
  • De FRIAFRIAFundamental Rights Impact Assessment — required of public bodies and certain private deployers before using some high-risk AI systems under the EU AI Act.Open full entry → (Art. 27, indien van toepassing)

Valkuilen bij sandbox-deelname

Valkuil 1, Sandbox als compliance-vertraging: Sommige organisaties melden zich aan voor een sandbox om de compliance-deadline uit te stellen. De toezichthouder is hier alert op: een aanmelding die louter gericht lijkt op uitstel wordt afgewezen.

Valkuil 2, Onvoldoende testprotocol: Een sandbox zonder gestructureerd testprotocol levert geen bruikbare resultaten. Definieer vóór aanvang welke hypotheses u test en hoe u succes meet.

Valkuil 3, AVG-overtredingen in de sandbox: De sandbox creëert geen AVG-uitzonderingen. Behandel persoonsgegevens van testdeelnemers met dezelfde zorgvuldigheid als in productie.

Samenvatting

Een regulatory sandbox is een waardevol instrument voor organisaties die innovatieve AI-systemen ontwikkelen en daarvoor begeleiding en tijdelijke flexibiliteit nodig hebben. De sleutel tot succes: een grondige aanmelding, proactieve communicatie met de toezichthouder, en een sterk eindrapport dat de basis legt voor definitieve compliance.

WetsverwijzingenArt. 57Art. 58Art. 61

Meer over Accountability

Art. 10 EU AI Act: data en datagovernance voor hoog-risico AI

Reference

Art. 10 vereist dat de trainings-, validatie- en testdata voor hoog-risico AI-systemen voldoet aan kwaliteitscriteria: relevant, voldoende representatief, en zo foutloos en volledig mogelijk voor het beoogde doel. Het vereist ook gedocumenteerde datagovernance over verzameling, voorbereiding, bias-onderzoek en het mitigeren van lacunes, en het staat de beperkte verwerking van bijzondere persoonsgegevens toe waar strikt noodzakelijk om bias te detecteren en corrigeren, onder waarborgen.

Art. 12 EU AI Act: registratie en logging voor hoog-risico AI

Reference

Art. 12 vereist dat hoog-risico AI-systemen technisch de automatische registratie van gebeurtenissen (logs) over hun levensduur mogelijk maken. De logging moet de traceerbaarheid van het functioneren van het systeem mogelijk maken op een niveau passend bij het beoogde doel, post-market monitoring ondersteunen, en helpen situaties te identificeren die tot risico of een substantiële wijziging kunnen leiden. Het is een ontwerpverplichting voor de provider die het systeem door constructie auditeerbaar maakt.

Art. 19 EU AI Act: het bewaren van de automatisch gegenereerde logs

Reference

Art. 19 verplicht providers van hoog-risico AI-systemen om de logs die het systeem automatisch genereert (onder Art. 12) te bewaren zolang ze die onder controle hebben, voor een periode passend bij het beoogde doel en minimaal zes maanden, tenzij andere wetgeving een langere termijn vereist. Het is de bewaar-tegenhanger van de Art. 12-logging-capaciteit, en werkt naast de deployer-bewaarplicht in Art. 26.6.

Art. 26.1, gebruik AI volgens de instructies van de aanbieder

Reference

Art. 26.1 EU AI Act verplicht deployers om hoog-risico AI-systemen uitsluitend in te zetten conform de gebruiksinstructies van de provider. De verplichting omvat drie componenten: het beschikken over de instructies (conform Art. 13.3), het actief naleven ervan, en het documenteren van dat naleven. Inzet buiten de instructies kan de aansprakelijkheid volledig naar de deployer verschuiven.