De verborgen documentatieplicht van Artikel 4 EU AI Act: wat moet er in het AI-geletterdheid dossier voor HR en L&D
    Wetten en regels

    De verborgen documentatieplicht van Artikel 4 EU AI Act: wat moet er in het AI-geletterdheid dossier voor HR en L&D

    Ferry Hoes

    Ferry Hoes

    19 mei 2026

    De EU AI Act vraagt sinds 2 februari 2025 dat organisaties zorgen voor "voldoende AI-geletterdheid" bij medewerkers die met AI werken. De meeste HR-managers weten dat nu. Wat veel minder bekend is: de wet vraagt ook dat je kunt aantonen wat je daarvoor gedaan hebt.

    Trainen is niet genoeg. Trainen zonder dossier is alsof het niet gebeurd is.

    Dit artikel beantwoordt de vraag waar geen enkele aanbieder bij stilstaat: wat moet er precies in het Artikel 4-dossier zitten, en hoe bouw je dat op een manier waar een toezichthouder mee uit de voeten kan?

    Waar de documentatieplicht vandaan komt

    Artikel 4 van Verordening (EU) 2024/1689 noemt geen documentatieplicht in zoveel woorden. Maar de Europese Commissie heeft via de officiële AI Office Q&A en webinars expliciet bevestigd dat organisaties moeten kunnen "aantonen, niet beweren" dat ze maatregelen hebben genomen.

    De juridische logica:

    • Artikel 4 verplicht organisaties "maatregelen" te nemen voor voldoende AI-geletterdheid
    • De algemene boete-systematiek van de AI Act (Artikel 99, lid 7) noemt de "mate van medewerking met de toezichthouder" als verzwarende of verzachtende factor
    • Voor hoog-risico systemen (Annex III) geldt parallel Artikel 14 lid 4, dat eist dat personen belast met menselijk toezicht "de noodzakelijke competentie, training en autoriteit" hebben — een eis die zonder dossier niet aantoonbaar is

    Het resultaat: in de praktijk werkt Artikel 4 als een documentatieplicht. Bij inspectie ligt de bewijslast bij de organisatie. Geen dossier, geen verdediging.

    Wanneer wordt het dossier opgevraagd

    Drie momenten zijn relevant.

    Bij een AI-gerelateerd incident. Een datalek door verkeerde AI-prompts, een discriminerende recruitment-uitkomst, een AI-besluit dat fout uitpakt. De toezichthouder zal vragen: hoe waren medewerkers opgeleid om dit te voorkomen?

    Bij toezicht op andere AI Act-verplichtingen. Een hoog-risico systeem onder Annex III wordt sowieso geïnspecteerd. Artikel 4 hoort daar dan automatisch bij. Een organisatie die hoog-risico AI inzet, kan niet steunen op een goede technische documentatie als de competentie van de mensen niet aantoonbaar is.

    Bij verzwarende factor in andere boetes. Wanneer een organisatie wordt beboet voor een andere AI Act-overtreding, kan onvoldoende AI-geletterdheid de hoogte van de boete beïnvloeden. Een dossier laat zien dat de organisatie haar plichten serieus nam.

    De handhaving van Artikel 4 zelf start formeel op 2 augustus 2026, samen met de hoofdregels van de wet. Vanaf die datum krijgen nationale markttoezichthouders bevoegdheid om bij niet-voldoen op te treden.

    Wat een werkbaar Artikel 4-dossier bevat

    Op basis van de officiële Commissie-uitleg, de AI Office Q&A en het "Living Repository of AI Literacy Practices" zijn er vijf onderdelen die structureel terugkomen.

    1. Een AI-inventarisatie

    De basis. Een actueel overzicht van alle AI-systemen die binnen de organisatie worden gebruikt. Dit gaat verder dan de officieel ingekochte tools.

    Het overzicht omvat:

    • Eigen AI-systemen, intern ontwikkeld
    • Ingekochte AI-tools (zelfstandig en als feature in bestaande software)
    • SaaS-producten met AI-functionaliteit (denk aan AI-features in CRM, HR-software, kantoorsoftware)
    • AI-tools die medewerkers zelf zijn gaan gebruiken (de zogenaamde schaduw-AI)

    Per systeem wordt vastgelegd: leverancier, doel, gebruikers, risico-classificatie volgens de AI Act, en datum van inventarisatie.

    2. Een rol-gebaseerde mapping

    Welke medewerkers gebruiken welke AI, met welke diepte? Dit is de schakel tussen de inventarisatie en de training.

    Een mapping bevat:

    • Per rol of functiegroep: welke AI-systemen worden gebruikt
    • Het type interactie: passief gebruik, actief promoten/instrueren, beoordelen van AI-output, of operationele controle
    • De context van gebruik: laag risico (interne efficiëntie) tot hoog risico (besluiten over personen)
    • De groepen op wie de AI wordt toegepast: alleen medewerkers, of ook klanten, sollicitanten, patiënten

    De Commissie noemt deze drie dimensies expliciet in Artikel 4 zelf: technische basis, context, en betroffen personen. Een dossier dat deze dimensies niet zichtbaar maakt, mist de kern van de wet.

    3. Training records met proportionaliteits-onderbouwing

    Niet alleen een aanwezigheidslijst. De Commissie heeft expliciet gesteld dat "aanwezigheidsregistratie alleen onvoldoende is". Toezichthouders zullen willen zien dat de training paste bij de rol.

    Per medewerker of rol-groep:

    • Welke training is gevolgd, wanneer, door welke aanbieder
    • De inhoudelijke modules en onderwerpen
    • De duur en het format (klassikaal, online, werksessie, coaching)
    • De rationale: waarom deze training bij deze rol past, gegeven de drie dimensies uit Artikel 4
    • De evaluatie: hoe wordt vastgesteld dat de training effect had

    Dat laatste punt is belangrijk en wordt door veel aanbieders vergeten. Artikel 4 verplicht niet tot toetsing, maar de wet vraagt wel om aantoonbare maatregelen. Een training zonder enige indicatie van effect levert geen sterk dossier.

    4. Een programma-document met onderhoudsritme

    AI ontwikkelt sneller dan elk training-programma kan bijhouden. De Commissie heeft daarom benadrukt dat het programma "actueel en herzien" moet zijn.

    Het programma-document beschrijft:

    • De strategische keuze voor de aanpak (waarom deze structuur)
    • De herzieningscyclus (bijvoorbeeld halfjaarlijkse review, jaarlijkse opfris)
    • De trigger-momenten waarop training extra wordt aangepast (nieuwe AI-tool ingezet, wettelijke wijziging, incident in de sector)
    • De governance: wie is verantwoordelijk voor onderhoud, wie tekent reviews af

    Een organisatie die in 2025 een eenmalige training gaf en het dossier sinds dan niet heeft aangeraakt, voldoet in 2026 niet. Een organisatie die laat zien dat ze actief beheert, wel.

    5. Bewijs van proportionaliteit

    Het minst tastbare maar juridisch het belangrijkste onderdeel. Hier laat de organisatie zien dat ze de drie Artikel 4-dimensies heeft afgewogen.

    Dit kan bestaan uit:

    • De inventarisatie-analyse: welke risico's zijn aangetroffen, en hoe vertalen die naar training-noodzaak
    • De keuze-rationale: waarom deze training, niet die andere
    • De differentiatie: hoe verschillen de programma's tussen lage- en hoge-risico rollen
    • Een dossier-summary van twee tot vijf pagina's, dat een toezichthouder snel kan doorlezen

    Een goed proportionaliteits-bewijs is wat een dossier verandert van een verzameling losse stukken in een verdedigbaar geheel.

    Welke documenten ontbreken in de meeste organisaties

    Veel HR-afdelingen hebben wel iets, maar niet wat de wet verwacht. De meest voorkomende gaten:

    Geen schaduw-AI in de inventarisatie. De officiële tool-lijst staat in IT, maar het werkelijke gebruik (ChatGPT op privé-account, AI-features in dagelijkse software) is nergens vastgelegd. Toezichthouders zullen hier expliciet naar vragen.

    Wel training records, geen mapping. Een lijst medewerkers die module X hebben gevolgd, zonder de link naar wat hun AI-werk werkelijk is. Een toezichthouder kan dan niet zien of de juiste mensen het juiste hebben geleerd.

    Geen onderhoudsplan. Een dossier uit begin 2025 dat sinds dan niet is geüpdate. Dat duidt op een eenmalige actie, niet op een programma.

    Geen rationale. Vooral kleine en middelgrote organisaties slaan dit over. De training is gekocht, gevolgd, gearchiveerd. Maar de vraag waarom juist deze training paste bij deze organisatie, is nergens beantwoord. Bij inspectie is dat het zwakke punt.

    De link met hoog-risico AI

    Voor organisaties die hoog-risico AI-systemen inzetten (Annex III: recruitment, kredietscoring, kritieke infrastructuur, en meer) is het dossier extra belangrijk.

    Artikel 14 lid 4 van de AI Act stelt dat personen die menselijk toezicht uitvoeren op hoog-risico AI "de noodzakelijke competentie, training en autoriteit" moeten hebben. Dat is een afzonderlijke verplichting, maar zonder Artikel 4-dossier is hij niet aantoonbaar.

    Voor deze organisaties is het Artikel 4-dossier dus dubbel relevant: het voldoet aan Artikel 4 zelf, en het levert bewijs voor Artikel 14 lid 4. Eén dossier, twee compliance-vragen tegelijk afgedekt.

    Praktische aanpak: vier stappen om vandaag te starten

    Het dossier hoeft niet perfect te zijn, maar het moet bestaan en moet groeien. De Commissie heeft expliciet aangegeven dat een basis-dossier dat actief wordt onderhouden, beter is dan wachten op een perfecte aanpak.

    Stap 1. Inventariseer in twee weken

    Niet maandenlang voorbereiden. Loop vier of vijf afdelingen langs, vraag rechtstreeks welke AI-tools worden gebruikt, en leg het vast. Schaduw-AI komt naar boven via gesprekken, niet via formulieren. Een eerste versie is altijd onvolledig. Beter een onvolledige versie nu dan een complete versie over een jaar.

    Stap 2. Maak een mapping in een dag

    Met de inventarisatie in de hand, koppel medewerkers aan tools en aan risico-niveaus. Voor de meeste mkb-organisaties past dit op één pagina. Voor grotere organisaties kost het meer iteraties, maar de logica blijft gelijk.

    Stap 3. Documenteer wat er al gedaan is

    Veel organisaties hebben al iets gedaan: een workshop, een e-mail van de directie, een intern artikel. Leg dat vast. Het is bewijs van maatregelen, ook als het niet "officiële training" heet. Het dossier laat de richting zien, niet alleen de eindstand.

    Stap 4. Plan het onderhoud

    Beslis nu wanneer de eerstvolgende review komt. Halfjaarlijks is een redelijke standaard. Schrijf het op, zet het in de agenda van de eigenaar. Een toezichthouder ziet onmiddellijk het verschil tussen een statisch dossier en een levend programma.

    Wat AIGA hieraan toevoegt

    Dit is niet alleen een vraag over training-inhoud. Het is een vraag over administratie, structuur en bewijslast. AIGA is opgezet als platform dat training en dossier in één levert: per medewerker een aantoonbaar leertraject, met inventarisatie, rol-mapping, content, evaluatie en onderhoudsritme in één omgeving. De documentatieplicht wordt dan een product van het systeem, niet een aparte extra opgave voor HR.

    Het verschil tussen een aanbieder die alleen modules levert en een aanbieder die ook de bewijslast voor de toezichthouder regelt, is precies waar Artikel 4 in de praktijk over gaat.

    Tot slot

    Voor HR en L&D verandert Artikel 4 het werk. Het is niet meer voldoende om de juiste training in te kopen. De juiste training moet ook aantoonbaar zijn, gedragen door een dossier dat een toezichthouder kan lezen.

    De goede HR-afdelingen van 2026 zijn niet die met de meeste gevolgde modules. Het zijn die met het sterkste dossier. Wie nu begint, heeft tot 2 augustus 2026 om dat dossier op te bouwen. Wie wacht, bouwt onder druk.

    Wil je weten hoe je in jouw organisatie een Artikel 4-dossier opbouwt dat houdbaar is voor de toezichthouder? Doe de gratis AI-Risicoscan en zie binnen vijf minuten welke onderdelen al staan en welke nog ontbreken.

    Bronnen

    Ferry Hoes

    Ferry Hoes

    Ferry Hoes is veelgevraagd spreker en trainer op het gebied van AI-geletterdheid. Hij staat meermaals per maand op het podium voor organisaties zoals a.s.r., VodafoneZiggo en verschillende ministeries. In 2020 won hij de Anti-Discriminatie AI-Hackathon van de Nederlandse overheid.

    Deel dit artikel:LinkedInX / Twitter

    Vorig artikel

    Aanbieder of gebruiksverantwoordelijke? De rol die al je EU AI Act-verplichtingen bepaalt (en hoe je er ongemerkt in verschuift)

    Volgend artikel

    EU AI Act, GDPR en NIS2: drie wetten, één AI-systeem, drie boetes tegelijk

    Klaar om je team te certificeren?

    Bekijk de AI-geletterdheid training of doe eerst de gratis gereedheidscan.

    Bekijk de trainingDoe de scan