Eerste stappen: EU AI Act voor deployers

Je gebruikt AI-systemen en de EU AI Act geldt voor jou. Maar waar begin je? Deze gids leidt je in acht concrete stappen naar een solide compliance-basis.

Stap 1, inventariseer alle AI-systemen

Vraag per afdeling: "gebruiken jullie software die automatisch beslissingen neemt of aanbevelingen doet?" Vergeet niet minder zichtbare tools: HR-systemen, planningstools, fraudedetectie, chatbots.

Stap 2, classificeer elk systeem

Toets elk systeem aan Art. 5 (verboden?) en Art. 6 + Bijlage IIIBijlage IIIDe lijst van de EU AI Act met hoog-risico-toepassingsgebieden: biometrie, kritieke infrastructuur, onderwijs, werk, essentiële diensten, rechtshandhaving, migratie, justitie. Zie conformiteitsbeoordeling, conformiteitsverklaring.Open full entry → (hoog-risicorisicoIn de termen van de EU AI Act de combinatie van de waarschijnlijkheid dat een schade optreedt en de ernst ervan als dat gebeurt. De schakel tussen een principe (via de schade die het zou schenden) en een control (de maatregel die het vermindert). Het benoemen van de schade en het inschatten van het risico is op grond van Art. 9 vereist voordat een maatregel wordt gekozen. Zie schade, control, restrisico.Open full entry →?). Leg de classificatie vast met onderbouwing.

Stap 3, focus op hoog-risico

Hoog-risico systemen vereisen de meeste aandacht. Prioriteer je inspanning op basis van de classificatie.

Stap 4, verifieer leveranciers

Vraag bij elke leverancier van hoog-risico AI op: instructions for use (Art. 13), conformiteitsverklaringconformiteitsverklaringDe ondertekende verklaring van de aanbieder dat een hoog-risico-AI-systeem aan de eisen van de AI Act voldoet, opgesteld voordat het systeem op de markt wordt gebracht. Zie aanbieder, conformiteitsbeoordeling.Open full entry → en EU-database registratienummer.

Stap 5, voer deployer assessment uit

Beoordeel elk hoog-risico systeem op de acht secties van het deployer assessment: governancegovernanceHet stelsel waarmee een organisatie zichzelf bestuurt: corporate governance, risicobeheer, compliance, verantwoordingslijnen, risicobereidheid en het besturingsmodel. Het bestaat over alles wat de organisatie doet, voor en los van AI. AI governance is ditzelfde stelsel, uitgebreid voor AI. Zie AI governance, governance design, executie.Open full entry →, data, menselijk toezichtmenselijk toezichtHet ingebouwde vermogen van een mens om een AI-systeem te monitoren, erin in te grijpen, het te overrulen of stil te leggen, alleen betekenisvol wanneer de mens de bevoegdheid, de informatie en de tijd heeft om te handelen. Zie principe, human-in-the-loop, human-on-the-loop.Open full entry →, monitoring, transparantietransparantieOpenheid over het feit dát AI wordt gebruikt en hoe het in het algemeen werkt: openbaarmakingen, documentatie, kennisgevingen. Vormt een paar met uitlegbaarheid, die over individuele uitkomsten gaat. Zie uitlegbaarheid, principe.Open full entry →, registratie, incident-procedure en AI literacy.

Stap 6, voer FRIA uit indien verplicht

Controleer of je FRIAFRIAFundamental Rights Impact Assessment, vereist van publieke organen en bepaalde private gebruiksverantwoordelijken voordat ze sommige hoog-risico-AI-systemen onder de EU AI Act gebruiken. Zie grondrechten-impactassessment, gebruiksverantwoordelijke.Open full entry →-plichtig bent (Art. 27). Zo ja: voer de FRIA uit vóór ingebruikname en combineer waar mogelijk met de DPIADPIAData Protection Impact Assessment, vereist vóór verwerking met waarschijnlijk hoog risico (systematische profilering met aanzienlijke gevolgen, grootschalige bijzondere categorieën, publieke monitoring); AI-ontwikkeling roept het voortdurend op. Zie impactassessment, profilering.Open full entry →.

Stap 7, bouw je audit trail op

Documenteer alle stappen in een onmuteerbare audit trail. Begin nu, een goede audit trail bouw je niet achteraf.

Stap 8, train je medewerkers

AI Literacy (Art. 4) is al verplicht sinds februari 2025. Inventariseer welke medewerkers training nodig hebben en documenteer de afronding.