Art. 26.2, menselijk toezicht: wijs competente mensen aan

Bijgewerkt: juni 2026

Inleiding: menselijk toezicht als grondrecht-waarborg

Art. 26.2 EU AI Act verplicht deployers van hoog-risicorisicoIn de termen van de EU AI Act de combinatie van de waarschijnlijkheid dat een schade optreedt en de ernst ervan als dat gebeurt. De schakel tussen een principe (via de schade die het zou schenden) en een control (de maatregel die het vermindert). Het benoemen van de schade en het inschatten van het risico is op grond van Art. 9 vereist voordat een maatregel wordt gekozen. Zie schade, control, restrisico.Open full entry → AI-systemen om het menselijk toezichtmenselijk toezichtHet ingebouwde vermogen van een mens om een AI-systeem te monitoren, erin in te grijpen, het te overrulen of stil te leggen, alleen betekenisvol wanneer de mens de bevoegdheid, de informatie en de tijd heeft om te handelen. Zie principe, human-in-the-loop, human-on-the-loop.Open full entry → te implementeren dat de provider heeft voorzien. Dit is geen soft-verplichting, het is de operationele uitvoering van Art. 14, dat providers verplicht om hoog-risico AI-systemen technisch zo te ontwerpen dat mensen de output kunnen begrijpen, bewaken en overrulen. Waar Art. 14 een ontwerpeis is voor providers, is Art. 26.2 een exploitatie-eis voor deployers.

De verplichting geldt vanaf 2 december 2027 voor standalone Bijlage IIIBijlage IIIDe lijst van de EU AI Act met hoog-risico-toepassingsgebieden: biometrie, kritieke infrastructuur, onderwijs, werk, essentiële diensten, rechtshandhaving, migratie, justitie. Zie conformiteitsbeoordeling, conformiteitsverklaring.Open full entry →-systemen, in alle sectoren, publiek én privaat. De Omnibus heeft de oorspronkelijke datum van 2 augustus 2026 uitgesteld; er is geen aparte, vervroegde datum voor de overheid (het Omnibus-akkoord is een voorlopig politiek akkoord van mei 2026, met formele aanname verwacht in juli 2026). Maar de praktische voorbereidingstijd, toezichthouders aanwijzen, protocollen opstellen, trainen, maakt vroege implementatie noodzakelijk.

Menselijk toezicht is juridisch leeg zonder twee randvoorwaarden: (1) de toezichthouder heeft voldoende AI-geletterdheidAI-geletterdheidVoldoende begrip van de werking, mogelijkheden en risico's van AI voor de eigen rol, een expliciete verwachting voor medewerkers van aanbieders en gebruiksverantwoordelijken onder de EU AI Act. Zie aanbieder, gebruiksverantwoordelijke.Open full entry → (Art. 4) om te begrijpen wat hij bewaakt, en (2) er zijn duidelijke procedures voor het geval overschrijving of escalatie noodzakelijk is.

Juridische context: Art. 26.2 in relatie tot Art. 14

Art. 14 EU AI Act stelt vier vereisten aan menselijk toezicht bij hoog-risico AI-systemen. De provider moet het systeem zo ontwerpen dat personen die toezicht houden:

1. De mogelijkheden en beperkingen van het systeem volledig begrijpen
2. Afwijkingen, storingen en onverwacht gedrag kunnen detecteren
3. De output niet automatisch vertrouwen of overmatig afhankelijk worden van het systeem
4. De werking van het systeem kunnen negeren, overrulen of stopzetten

Art. 26.2 vertaalt dit naar een exploitatieplicht: deployers moeten de door de provider geleverde toezichtinterfaces en -procedures daadwerkelijk implementeren. Overweging 85 verduidelijkt dat menselijk toezicht niet louter formeel mag zijn, een toezichthouder die de output automatisch bevestigt zonder inhoudelijke beoordeling voldoet niet aan de eis.

Wie is de toezichthouder?

Art. 14 spreekt over "natuurlijke personen aan wie het gebruik van het hoog-risico AI-systeemAI-systeemEen machinaal systeem dat voor expliciete of impliciete doelen uit invoer afleidt hoe het uitvoer genereert, voorspellingen, inhoud, aanbevelingen of beslissingen, die fysieke of virtuele omgevingen kunnen beïnvloeden. De OESO-achtige definitie die de EU AI Act volgt. Zie algoritme, machine learning.Open full entry → is opgedragen". In de deployer-organisatie zijn dat de medewerkers die daadwerkelijk beslissingen nemen op basis van de AI-output. De aanwijzing van toezichthouders is een formele stap die de deployer moet documenteren.

Kenmerken van een effectieve toezichthouder:

• Beschikt over voldoende AI-geletterdheid conform Art. 4 (specifiek: kennis van de beperkingen van dit systeem)
• Heeft bevoegdheid om de AI-output te overrulen, dus ook de organisatorische positie om dat te doen
• Is niet zodanig overbelast dat beoordeling van AI-output louter routinematig is
• Heeft toegang tot de informatie die nodig is voor een betekenisvolle beoordeling

Wat valt er NIET onder adequate menselijk toezicht: Een medewerker die honderden AI-beslissingen per dag "goedkeurt" zonder inhoudelijke controle is geen effectieve toezichthouder. De toezichthouder zal bij incidenten onderzoeken of het toezicht reëel was, niet alleen formeel.

Implementatie: van papier naar praktijk

Stap 1, Toezichthouders aanwijzen: Stel per hoog-risico AI-systeem schriftelijk vast wie verantwoordelijk is voor menselijk toezicht. Beschrijf de functie, de bevoegdheden en de verwachte tijdsbesteding per beslissing. Een toezichthouder die gemiddeld <30 seconden per beslissing heeft, kan niet inhoudelijk beoordelen.

Stap 2, Toezichtprotocol opstellen: Beschrijf per AI-systeem: (a) hoe de output wordt gepresenteerd, (b) welke informatie de toezichthouder moet beoordelen, (c) welke criteria voor overschrijving gelden, (d) hoe een overschrijving wordt gedocumenteerd, en (e) wanneer escalatie plaatsvindt.

Stap 3, Stopzettingsprocedure: Art. 14.4.e verplicht de mogelijkheid om het systeem te stoppen als onverwacht gedrag optreedt. De deployer moet een operationeel "noodstop"-protocol hebben: wie beslist tot stopzetting, hoe snel kan dat, en wat is het alternatieve proces als het AI-systeem buiten gebruik is?

Stap 4, Training: Toezichthouders moeten aantoonbaar getraind zijn (Art. 4) op: de werking van het systeem, de bekende beperkingen, de criteria voor overschrijving, en de escalatieprocedures.

Automation bias: de grootste praktijkvalkuil

Automation biasautomation biasDe menselijke neiging om geautomatiseerde uitkomsten te veel te vertrouwen, een aanbeveling van een systeem aanvaarden zonder het geval echt te wegen, wat het menselijk toezicht uitholt. Zie menselijk toezicht.Open full entry →, de neiging om AI-output over te nemen zonder kritische evaluatie, is de voornaamste risicofactor voor menselijk toezicht in de praktijk. Overweging 85 erkent dit expliciet. Deployers moeten actief maatregelen treffen om automation bias te voorkomen:

• Bewust ontwerp van de toezichtinterface: onzekerheid en beperkingen van het model prominent tonen
• Periodieke audits van overschrijvingspercentages: een overschrijvingspercentage van 0% is verdacht
• Werkdruk-monitoring: de hoeveelheid beslissingen per tijdseenheid bewaken
• Intercollegiale toetsing bij hoog-impact beslissingen (vierogenprincipe)

Deployer-specifieke implicaties

Contractuele basis: De gebruiksinstructies van de provider (Art. 13.3) moeten de technische middelen voor menselijk toezicht beschrijven, interfaces, kill-switches, vertrouwensscores. Als de provider dit niet levert, kunt u Art. 26.2 niet naleven. Eis dit bij inkoop.

Documentatie van overschrijvingen: Elke keer dat een toezichthouder de AI-output overrulet, moet dit worden gedocumenteerd: datum, systeem, beslissing, reden voor overschrijving. Dit is zowel voor intern leereffect als voor verantwoordingverantwoordingHet principe dat een met naam genoemde mens of organisatie verantwoording aflegt voor de uitkomsten van een AI-systeem, via eigenaarschap, documentatie, audit trails en herstel, nooit het systeem zelf. Zie principe, bewijs.Open full entry → richting de toezichthouder essentieel.

Hoog-impact domeinen: In HR (selectie), kredietverlening, zorgdiagnostiek en rechtshandhaving is de kwaliteit van menselijk toezicht direct bepalend voor de grondrechten van betrokkenenbetrokkenenDe individuen of groepen die onderworpen zijn aan of geraakt worden door de uitkomsten of beslissingen van een AI-systeem, en wier rechten het governance-regime beoogt te beschermen. Zie schade, belanghebbendenanalyse.Open full entry →. De toezichthouder zal hier strenger toetsen.

Handhaving en sancties

Niet-naleving van Art. 26.2 valt onder Art. 99.4: boetes tot €15.000.000 of 3% van de wereldwijde jaaromzet. Bij een incident (schadeschadeDe concrete schade die een AI-systeem kan aanrichten en die een principe van verantwoorde AI beoogt te voorkomen: in de termen van de EU AI Act schade aan iemands gezondheid, veiligheid of grondrechten. Schade is de brug tussen een abstract principe en een bestuurbaar risico; governance wordt operationeel op het moment dat een organisatie de specifieke schades benoemt die ze wil voorkomen. Voor eerlijkheid is een schade dat een groep stelselmatig slechtere uitkomsten krijgt vanwege een kenmerk dat niet had mogen meetellen. Zie principe, risico.Open full entry → door een AI-beslissing die niet adequaat menselijk getoetst is) riskeert de deployer ook civiele aansprakelijkheid.

Veelgestelde vragen

V: Mogen we geautomatiseerd beslissingen nemen zonder menselijke tussenkomst voor laag-risico gevallen?
A: Bij hoog-risico AI-systemen is menselijk toezicht verplicht voor iedere individuele beslissing die significante gevolgen heeft voor betrokkenen. Volledig geautomatiseerde besluitvorminggeautomatiseerde besluitvormingBeslissingen die uitsluitend op geautomatiseerde verwerking berusten en rechtsgevolgen of vergelijkbaar aanzienlijke gevolgen hebben, door AVG-artikel 22 beperkt tot drie uitzonderingsgronden, met waarborgen voor menselijke tussenkomst. Zie profilering, menselijk toezicht.Open full entry → zonder menselijke beoordeling is niet toegestaan tenzij het systeem uitdrukkelijk buiten de hoog-risico categorie valt.

V: Onze AI-leverancier heeft geen kill-switch geïmplementeerd. Wat nu?
A: Dit is een wezenlijk gebrek in de naleving van Art. 14 door de provider. U kunt het systeem contractueel niet accepteren als het geen stopzettingsfunctionaliteit biedt. Meld dit als conformiteitsrisico en stel de provider in gebreke.

V: Hoe bewijsbewijsHet concrete bewijs dat een control is ontworpen, geïmplementeerd en werkt: een testrapport, een audit trail, een impactassessment, een monitoringlog. Elke schakel in de governance-keten levert een artefact op, en samen zijn ze wat een organisatie overhandigt aan haar eigen bestuur, een toezichthouder, een klant of een betrokkene om te tonen, niet te zeggen, dat een systeem bestuurd is. De afwezigheid ervan is zelf het falen: een risicoregister zonder testresultaten, of een maatregel die wordt geclaimd zonder validatie, is een governance-gat, geen papierwerk-gat. De sluitende schakel van de governance-keten. Zie control, governance.Open full entry → ik bij een audit dat ons toezicht meer dan formeel was?
A: Laat het overschrijvingslogboek zien, de trainingsrecords, het toezichtprotocol, en de werkdrukregistratie. Een realistische ratio van overschrijvingen (ook fouten van het model gedocumenteerd) is overtuigender dan een perfect compliance-dossier zonder enige afwijking.

Checklist: Art. 26.2 compliance

1. Zijn voor elk hoog-risico AI-systeem specifieke toezichthouders aangewezen met schriftelijke functiebeschrijving?
2. Beschikken alle toezichthouders over voldoende AI-geletterdheid conform Art. 4?
3. Is er een schriftelijk toezichtprotocol dat criteria voor overschrijving en escalatie beschrijft?
4. Worden alle overschrijvingen van AI-output gedocumenteerd met reden?
5. Is er een operationeel stopzettingsprotocol als het systeem onverwacht gedrag vertoont?
6. Worden overschrijvingspercentages periodiek geanalyseerd op automation bias?
7. Is de werkdruk van toezichthouders zodanig dat inhoudelijke beoordeling mogelijk is?
8. Bevat uw leverancierscontract de verplichting tot toezichtinterfaces conform Art. 14?