Artikel 4 van de EU AI-verordening verplicht aanbieders en gebruiksverantwoordelijken van AI-systemen maatregelen te nemen voor een toereikend niveau van AI-geletterdheid bij hun personeel. De wet schrijft geen vaste trainingsvormen voor, maar stelt wel dat het kennisniveau moet aansluiten bij de technische kennis, ervaring, opleiding en de context van gebruik van de betrokken persoon. Dat betekent dat een medewerker die alleen een chatbot gebruikt een fundamenteel ander kennisniveau nodig heeft dan een compliance-officer of een AI-ontwikkelaar. Een helder rollenraamwerk helpt organisaties dit onderscheid operationeel te maken.
Waarom differentiatie verplicht is
Overweging 20 van de verordening verduidelijkt dat AI-geletterdheid per actor kan variëren. De kennis die een aanbieder nodig heeft bij de ontwikkelingsfase verschilt van de kennis die een gebruiksverantwoordelijke inzet bij het toezicht op een geautomatiseerd beslissingsproces. Voor betrokken personen, degenen op wie een AI-systeem wordt toegepast, gaat het om begrijpen hoe AI-ondersteunde beslissingen hen raken. De Europese Commissie bevestigt dat een "one size fits all"-aanpak niet volstaat: de organisatierol, de risicocategorie van het systeem en het bestaande kennisniveau van de medewerker bepalen samen wat toereikend is.
Vier rollen als vertrekpunt
Voor de praktische invulling van artikel 4 zijn vier organisatierollen bruikbaar als startpunt. Deze rollen overlappen met de actoren die de verordening noemt (aanbieder, gebruiksverantwoordelijke, operator) en sluiten aan bij de SAIG-niveaus.
Eindgebruiker werkt dagelijks met een AI-toepassing, zoals een generatief schrijfhulpmiddel of een AI-ondersteund planningssysteem, maar is niet betrokken bij de inrichting of het beheer ervan. Vereiste geletterdheid omvat basiskennis over hoe het systeem werkt, herkenning van onjuiste of bevooroordeelde uitkomsten, kennis van de interne gebruiksregels en bewustzijn van wanneer menselijke beoordeling noodzakelijk is.
Operator of functioneel beheerder configureert en beheert AI-systemen binnen de organisatie, stelt parameters in en bewaakt de werking. Dit vereist diepgaandere kennis van de technische werking, de grenzen van het systeem, escalatieprocedures en de relevante transparantievereisten uit artikel 13 van de verordening.
Compliance- en risicofunctionaris beoordeelt of de inzet van AI-systemen voldoet aan de verordening en andere toepasselijke regelgeving, waaronder de AVG. Dit vereist grondige kennis van de risicocategorieën uit de verordening, de verplichtingen voor hoog-risico systemen (Bijlage III), de fundamentele-rechtenimpactbeoordeling en de regels voor menselijk toezicht (artikel 14) en transparantie.
Bestuurder of eindverantwoordelijke stelt het kader vast waarbinnen AI wordt ingezet, neemt beslissingen over aanschaf en stelt het beleid vast. Vereiste geletterdheid betreft het strategische risicobewustzijn, de aansprakelijkheidsstructuur onder de verordening, de governance-eisen en de boete-exposure bij niet-naleving.
Wat de AP verwacht van organisaties
De Autoriteit Persoonsgegevens heeft een iteratief vier-stappenmodel gepubliceerd voor het structureel opbouwen van AI-geletterdheid: identificeren, doelen bepalen, uitvoeren en evalueren. De AP benadrukt dat AI-geletterdheid geen eenmalig project is, maar een continu proces dat op bestuurs- of directieniveau moet worden vastgesteld en dat budget vereist. Organisaties moeten documenteren welke maatregelen zijn genomen, hoewel de Europese Commissie bevestigt dat geen certificaat vereist is: interne registratie van trainingen en voortgang volstaat als aantoonbaarheid.
Koppeling aan het SAIG-stelsel
Het SAIG-stelsel onderscheidt certificeringsniveaus die aansluiten op het rollenraamwerk hierboven. Een eindgebruiker die alleen met laag-risico toepassingen werkt, zal in de regel met een lager SAIG-niveau kunnen volstaan dan een compliance-officer die hoog-risico systemen beoordeelt. Bij de keuze van het passende SAIG-niveau spelen drie factoren een rol die artikel 4 ook noemt: de technische kennis en ervaring van de medewerker, de context van het AI-systeem, en de personen of groepen op wie het systeem van toepassing is. Hoe groter de mogelijke impact op betrokkenen, hoe hoger het vereiste kennisniveau.
Aanbieders versus gebruiksverantwoordelijken
Naast interne rollen is het voor organisaties van belang te bepalen welke juridische positie zij innemen. Een aanbieder, een partij die een AI-systeem ontwikkelt of op de markt brengt onder eigen naam, draagt bredere verantwoordelijkheid dan een gebruiksverantwoordelijke die een bestaand systeem inzet. Beide zijn gehouden aan artikel 4, maar de vereiste diepgang van kennis verschilt. Een organisatie die zowel aanbieder als gebruiksverantwoordelijke is, moet voor beide posities maatregelen treffen. Dit onderscheid heeft directe gevolgen voor de inrichting van het rollenraamwerk en de keuze van het passende SAIG-niveau per functie.
Praktische stappen voor implementatie
Een werkbaar implementatiepad begint met een inventarisatie van de AI-systemen in gebruik, inclusief hun risicocategorie en de functies die ermee werken. Vervolgens stelt de organisatie per rolgroep een competentieprofiel op met bijbehorend leerdoel. De Digitale Overheid onderscheidt drie praktische niveaus: medewerkers die AI ontwikkelen of inkopen, medewerkers die verantwoordelijkheid dragen voor het gebruik, en alle medewerkers met AI-gerelateerde taken. Dit sluit aan bij de benadering van de AP, waarbij de verplichting zich uitstrekt tot zzp'ers en opdrachtnemers die namens de organisatie met AI-systemen werken. Handhaving door nationale markttoezichthouders is van toepassing met ingang van 2 augustus 2026.