Art. 26.1, gebruik AI volgens de instructies van de aanbieder

Bijgewerkt: juni 2026

Inleiding: de basisregel voor hoog-risico AI-inzet

Art. 26.1 EU AI Act formuleert de meest fundamentele deployer-verplichting: hoog-risicorisicoIn de termen van de EU AI Act de combinatie van de waarschijnlijkheid dat een schade optreedt en de ernst ervan als dat gebeurt. De schakel tussen een principe (via de schade die het zou schenden) en een control (de maatregel die het vermindert). Het benoemen van de schade en het inschatten van het risico is op grond van Art. 9 vereist voordat een maatregel wordt gekozen. Zie schade, control, restrisico.Open full entry → AI-systemen mogen alleen worden ingezet overeenkomstig de gebruiksinstructies die de provider heeft verstrekt. Dit klinkt simpel, maar de juridische implicaties zijn verstrekkend. De gebruiksinstructies bepalen de grens van uw aansprakelijkheid, en overschrijding ervan kan die aansprakelijkheid volledig naar u verschuiven.

De verplichting omvat drie componenten die elk afzonderlijk moeten worden nageleefd: (1) het beschikken over de gebruiksinstructies, (2) het actief naleven ervan, en (3) het documenteren van dat naleven.

Juridische context: Art. 26.1 in de systematiek van de wet

Art. 26 bevat negen deployer-verplichtingen. Art. 26.1 is bewust als eerste geplaatst: het is het fundament waarop de overige verplichtingen steunen. Overweging 79 verduidelijkt de rolverdeling: de provider draagt verantwoordelijkheid voor het ontwerp en de documentatie van het systeem; de deployer draagt verantwoordelijkheid voor het correcte gebruik. De provider kan niet aansprakelijk worden gesteld als de deployer zijn systeem buiten de instructies heeft ingezet.

Wat moeten de gebruiksinstructies bevatten?

Art. 13.3 EU AI Act bepaalt de minimumeisen. Als deployer heeft u het recht op al deze informatie en kunt u die eisen contractueel afdwingen:

• De identiteit en contactgegevens van de provider
• De kenmerken, mogelijkheden en beperkingen, inclusief bekende omstandigheden die prestaties negatief beïnvloeden
• De technische maatregelen voor menselijk toezichtmenselijk toezichtHet ingebouwde vermogen van een mens om een AI-systeem te monitoren, erin in te grijpen, het te overrulen of stil te leggen, alleen betekenisvol wanneer de mens de bevoegdheid, de informatie en de tijd heeft om te handelen. Zie principe, human-in-the-loop, human-on-the-loop.Open full entry → (Art. 14)
• De vereiste inputdata inclusief technische specificaties
• De beoogde doelgroep en het beoogde gebruiksdoel
• Omstandigheden waaronder het systeem niet of beperkt betrouwbaar is
• Prestatiemetrieken en betrouwbaarheidsdrempels
• Verwachte levensduur en aanbevolen onderhoud

Wat valt er NIET onder als gebruiksinstructie: Marketingmateriaal en algemene FAQ's zijn géén gebruiksinstructies in de zin van Art. 13.3. Accepteer geen AI-contract zonder formele, gespecificeerde instructies.

Configuratiebevoegdheid: waar eindigt "conform instructies"?

Art. 26.1 verbiedt gebruik buiten de instructies, maar sluit configuratie niet uit.

Toegestane configuratie: Aanpassen van drempelwaarden binnen de door de provider gespecificeerde bandbreedte; beperken tot een subset van de beoogde doelgroep; koppelen aan inputvelden die de provider heeft voorzien.

Verboden aanpassing: Hertrainen op eigen data zonder toestemming; inzetten voor een gebruiksdoel dat niet in de instructies staat; uitschakelen van menselijk-toezicht-interfaces; inzetten voor een risicogroep die de provider heeft uitgesloten.

Grensgebied, purpose creep: Een systeem dat voor één doeleinde werd aangeschaft maar gaandeweg ook voor andere doeleinden wordt ingezet. Controleer bij elke uitbreiding van het gebruik expliciet of de instructies dit toestaan.

Deployer-specifieke implicaties

Bij inkoop: Neem een contractclausule op die de provider verplicht om actuele gebruiksinstructies conform Art. 13.3 te leveren, én die bepaalt dat de provider u informeert bij elke materiële update van het systeem.

Bij implementatie: Stel een intern gebruik-protocol op dat de gebruiksinstructies vertaalt naar werkprocedures. Het protocol moet expliciet de grenzen van het gebruik beschrijven: voor welke doelgroepen, voor welke beslissingen, met welke drempelwaarden.

Bij wijzigingen: Elke wijziging in hoe u het systeem inzet vereist herbevestiging dat dit gebruik binnen de instructies valt. Documenteer dit beslismoment.

Documentatieplicht

Minimaal vereist:

1. Actueel exemplaar van de gebruiksinstructies inclusief versienummer en ontvangstdatum
2. Intern gebruik-protocol dat aantoont hoe de instructies zijn vertaald naar de organisatiepraktijk
3. Change log van wijzigingen in het gebruik met per wijziging een aantekening of de instructies dit toestaan
4. Trainingsrecords (Art. 4) die aantonen dat medewerkers de instructies kennen

Handhaving en sancties

Niet-naleving van Art. 26.1 valt onder Art. 99.4: boetes tot €15.000.000 of 3% van de wereldwijde jaaromzet. Als een hoog-risico AI-systeemAI-systeemEen machinaal systeem dat voor expliciete of impliciete doelen uit invoer afleidt hoe het uitvoer genereert, voorspellingen, inhoud, aanbevelingen of beslissingen, die fysieke of virtuele omgevingen kunnen beïnvloeden. De OESO-achtige definitie die de EU AI Act volgt. Zie algoritme, machine learning.Open full entry → schadeschadeDe concrete schade die een AI-systeem kan aanrichten en die een principe van verantwoorde AI beoogt te voorkomen: in de termen van de EU AI Act schade aan iemands gezondheid, veiligheid of grondrechten. Schade is de brug tussen een abstract principe en een bestuurbaar risico; governance wordt operationeel op het moment dat een organisatie de specifieke schades benoemt die ze wil voorkomen. Voor eerlijkheid is een schade dat een groep stelselmatig slechtere uitkomsten krijgt vanwege een kenmerk dat niet had mogen meetellen. Zie principe, risico.Open full entry → veroorzaakt en u kunt niet aantonen dat u conform de instructies handelde, wordt u als deployer primair aansprakelijk gehouden.

Veelgestelde vragen

V: Onze provider geeft alleen een online handleiding. Is dat voldoende?
A: Nee, als de handleiding niet alle elementen van Art. 13.3 bevat. Bewaar altijd een offline kopie, een website kan veranderen.

V: Wij hebben het systeem licht geconfigureerd. Valt dat onder "buiten de instructies"?
A: Configuratie binnen de door de provider voorziene parameters is toegestaan. Documenteer welke opties u heeft gebruikt en dat deze binnen de gespecificeerde bandbreedte vallen.

V: De provider heeft zijn systeem geüpdateerd zonder ons te informeren. Wie is aansprakelijk?
A: Als de provider u niet heeft geïnformeerd over een materiële update en u als gevolg daarvan het systeem niet meer conform de gewijzigde instructies heeft ingezet, heeft u een aanspraak op de provider. Neem een notificatieplicht bij updates op in uw contract.

Checklist: Art. 26.1 compliance

1. Beschikt u voor elk hoog-risico AI-systeem over formele gebruiksinstructies die voldoen aan Art. 13.3?
2. Zijn de instructies geversioned en gedateerd, en bewaart u een offline kopie?
3. Is er een intern gebruik-protocol dat de instructies vertaalt naar concrete werkprocedures?
4. Zijn alle medewerkers aantoonbaar getraind op de instructies (Art. 4)?
5. Bevat uw leverancierscontract een verplichting voor de provider om u bij updates te informeren?
6. Heeft u een change log van alle wijzigingen in het gebruik?
7. Wordt bij elke wijziging in het gebruik expliciet gecontroleerd of deze binnen de instructies valt?
8. Kunt u bij een audit door de toezichthouder aantonen dat uw gebruik steeds conform de instructies is geweest?