GovCompass
EN
AI governance
GuideAccountability

Leveranciers-checklist: 10 vragen aan je AI-leverancier

Door GovCompass.ai· Laatst gecontroleerd juni 2026· Afgestemd op de geconsolideerde EU AI Act, inclusief de Omnibus-wijzigingen van 2026.

Een leveranciers-checklist voor AI-inkoop verifieert wat een provider moet leveren voordat u als deployer kunt voldoen: de gebruiksinstructies (Art. 13.3), de conformiteitsverklaring, de risicoclassificatie, de notificatie bij updates, en medewerking bij een toezichtsonderzoek.

Bijgewerkt: juni 2026

Inleiding: due diligence als deployer-verplichting

Art. 26.1 EU AI Act verplicht deployers om hoog-risicorisicoIn de termen van de EU AI Act de combinatie van de waarschijnlijkheid dat een schade optreedt en de ernst ervan als dat gebeurt. De schakel tussen een principe (via de schade die het zou schenden) en een control (de maatregel die het vermindert). Het benoemen van de schade en het inschatten van het risico is op grond van Art. 9 vereist voordat een maatregel wordt gekozen. Zie schade, control, restrisico.Open full entry → AI-systemen conform de gebruiksinstructies van de provider in te zetten. Maar vóórdat u die instructies kunt naleven, moet u ze hebben, en moeten ze volledig zijn. Het beoordelen van een AI-leverancier op hun EU AI Act-compliance is daarmee een deployer-verplichting, niet optioneel.

Deze gids biedt een systematische aanpak voor leveranciers-due diligence op basis van de EU AI Act-vereisten. De gids is van toepassing op de aanschaf van elke hoog-risico AI-systeemAI-systeemEen machinaal systeem dat voor expliciete of impliciete doelen uit invoer afleidt hoe het uitvoer genereert, voorspellingen, inhoud, aanbevelingen of beslissingen, die fysieke of virtuele omgevingen kunnen beïnvloeden. De OESO-achtige definitie die de EU AI Act volgt. Zie algoritme, machine learning.Open full entry →.

Stap 1: stel vast of het systeem hoog-risico is

Voordat u de volledige due diligence start, bepaalt u of het systeem van de leverancier als hoog-risico AI kwalificeert (Art. 6 + Bijlage IIIBijlage IIIDe lijst van de EU AI Act met hoog-risico-toepassingsgebieden: biometrie, kritieke infrastructuur, onderwijs, werk, essentiële diensten, rechtshandhaving, migratie, justitie. Zie conformiteitsbeoordeling, conformiteitsverklaring.Open full entry →). Als de leverancier claimt dat het systeem niet hoog-risico is, vraag dan een schriftelijke Art. 6.3-onderbouwing. Controleer die onderbouwing kritisch aan de hand van uw eigen gebruik-context.

Als het systeem hoog-risico is, zijn alle stappen in deze gids verplicht. Als het niet hoog-risico is maar beperkt-risico (Art. 50), geldt een verlicht regime.

Stap 2: beoordeel de leverancier op Art. 13.3-conformiteit

Vraag bij elke leverancier van een hoog-risico AI-systeem de formele gebruiksinstructies op conform Art. 13.3. Controleer of alle verplichte elementen aanwezig zijn:

Checklist gebruiksinstructies (Art. 13.3):

  • ☐ Naam, handelsnaam en contactgegevens van de provider
  • ☐ Beoogd doel en beoogde gebruiksomgeving
  • ☐ Kenmerken, mogelijkheden en beperkingen van het systeem
  • ☐ Bekende omstandigheden die de prestaties negatief beïnvloeden
  • ☐ Situaties waarbij het systeem niet of beperkt betrouwbaar is
  • ☐ Hardware/software-vereisten
  • ☐ Technische maatregelen voor menselijk toezichtmenselijk toezichtHet ingebouwde vermogen van een mens om een AI-systeem te monitoren, erin in te grijpen, het te overrulen of stil te leggen, alleen betekenisvol wanneer de mens de bevoegdheid, de informatie en de tijd heeft om te handelen. Zie principe, human-in-the-loop, human-on-the-loop.Open full entry → (Art. 14)
  • ☐ Beschrijving van de inputdata-vereisten
  • ☐ Prestatiemetrieken en betrouwbaarheidsdrempels
  • ☐ Verwachte levensduur en onderhoudsinformatie

Als meer dan twee elementen ontbreken: vraag aanvulling alvorens het contract te ondertekenen.

Stap 3: vraag de conformiteitsverklaring en EU-database registratie op

ConformiteitsverklaringconformiteitsverklaringDe ondertekende verklaring van de aanbieder dat een hoog-risico-AI-systeem aan de eisen van de AI Act voldoet, opgesteld voordat het systeem op de markt wordt gebracht. Zie aanbieder, conformiteitsbeoordeling.Open full entry → (Art. 47): De provider moet een EU-conformiteitsverklaring hebben opgesteld die bevestigt dat het systeem voldoet aan de eisen van Art. 8-15. Vraag een kopie op en controleer:

  • Is de verklaring ondertekend door een bevoegde vertegenwoordiger?
  • Verwijst de verklaring naar de specifieke versie van het systeem die u aanschaft?
  • Is de toegepaste conformiteitsbeoordelingsprocedure vermeld?

EU-database registratie (Art. 49): Controleer of het systeem geregistreerd staat in de EU AI Act-database. Een hoog-risico systeem dat niet is geregistreerd, is niet conform de wet. U neemt een juridisch risico door dit systeem in te zetten.

Stap 4: beoordeel de technische documentatie (selectief)

U heeft als deployer recht op inzage in de voor u relevante delen van de technische documentatietechnische documentatieRegistraties die een aanbieder voor een hoog-risico-AI-systeem moet samenstellen en bewaren om conformiteit aan te tonen, met dekking van het ontwerp, de data, het testen, het risicobeheer en de monitoring. Zie aanbieder, bewijs, model card.Open full entry → (Bijlage IV). U hoeft niet het volledige technische document te doorzien, maar vraag minimaal:

  • Samenvatting prestatiemetrieken: nauwkeurigheid, precisie, recall, F1-score voor uw use case
  • Fairness-rapport: zijn prestaties gelijk voor relevante demografische subgroepen?
  • Bekende beperkingen: in welke situaties presteert het systeem aantoonbaar slechter?
  • TrainingsdatatrainingsdataDe data die wordt gebruikt om de parameters van een AI-model te passen; de kwaliteit, de rechtmatige rechten en de representativiteit ervan zijn centrale governance-zorgen. Zie representativiteit, herkomst, datasheet.Open full entry →-beschrijving: welke populatie is vertegenwoordigd? Zijn er bekende representativiteitsproblemen?

Stap 5: toets op Art. 5-verboden

Vraag de leverancier schriftelijk te bevestigen dat het systeem niet onder een van de acht verboden van Art. 5 valt. Specifieke vragen:

  • Maakt het systeem gebruik van technieken die het onderbewustzijn van gebruikers beïnvloeden?
  • Bevat het systeem emotieherkenningemotieherkenningEen AI-systeem dat de emoties van een persoon afleidt uit biometrische gegevens; het gebruik ervan op de werkvloer en in het onderwijs is onder de AI Act beperkt. Zie biometrische categorisering, verboden praktijken.Open full entry →-functionaliteit (relevant voor de werkplek of onderwijs)?
  • Maakt het systeem biometrische categoriseringen op basis van gevoelige kenmerken?
  • Is het systeem bruikbaar voor real-time biometrische identificatie in openbare ruimten?

Een leverancier die deze vragen niet schriftelijk wil beantwoorden, is een red flag.

Stap 6: contractuele waarborgen bedingen

Het leverancierscontract moet de volgende clausules bevatten:

Verplichte clausules:

  • Art. 5-garantie: leverancier garandeert dat het systeem niet onder de verboden van Art. 5 valt
  • Conformiteitsgarantie: leverancier garandeert dat het systeem voldoet aan Art. 8-15 EU AI Act
  • Notificatieplicht bij updates: leverancier informeert u bij elke materiële update die de instructies of prestaties wijzigt, minimaal 30 dagen van tevoren
  • Toegang tot technische documentatie: leverancier verleent u inzage in de voor uw gebruik relevante secties bij redelijk verzoek
  • Logbeschikbaarheid: leverancier garandeert dat u de systeemlogs kunt exporteren en bewaren conform Art. 26.6
  • Ondersteuning bij audit door de toezichthouder: leverancier verleent medewerking bij een onderzoek van de toezichthouder dat betrekking heeft op zijn systeem
  • Vrijwaring: leverancier vrijwaart u voor schadeschadeDe concrete schade die een AI-systeem kan aanrichten en die een principe van verantwoorde AI beoogt te voorkomen: in de termen van de EU AI Act schade aan iemands gezondheid, veiligheid of grondrechten. Schade is de brug tussen een abstract principe en een bestuurbaar risico; governance wordt operationeel op het moment dat een organisatie de specifieke schades benoemt die ze wil voorkomen. Voor eerlijkheid is een schade dat een groep stelselmatig slechtere uitkomsten krijgt vanwege een kenmerk dat niet had mogen meetellen. Zie principe, risico.Open full entry → die voortvloeit uit niet-naleving van zijn provider-verplichtingen

Verwerkersovereenkomst (AVG): Als de leverancier persoonsgegevens verwerkt namens u, sluit dan een verwerkersovereenkomst conform Art. 28 AVG. Dit is een afzonderlijk contract naast de AI Act-leveranciersovereenkomst.

Stap 7: beoordeel de provider op track record

Naast de documentatie-check beoordeelt u de leverancier op:

  • Incident-history: zijn er bekende AI-incidenten met dit systeem of deze leverancier? Zoek in publicaties van de toezichthouder en EU AI Office-berichten.
  • Reactie op kwetsbaarheden: hoe snel reageert de leverancier op gemelde problemen?
  • Klantenreferenties: vraag naar andere deployers van dit systeem in vergelijkbare contexten
  • Financiële stabiliteit: een faillerende AI-leverancier kan uw compliance ondermijnen (geen ondersteuning, geen updates)

Stap 8: periodieke her-evaluatie

Leveranciers-due diligence is geen eenmalig traject. Herevalueer uw leveranciers:

  • Jaarlijks (standaard)
  • Bij elke materiële update van het systeem
  • Bij incidenten waarbij het systeem betrokken is
  • Bij wijzigingen in de eigendomsstructuur van de leverancier

Samenvatting

Een grondige leveranciers-due diligence beschermt u als deployer tegen aansprakelijkheid voor provider-tekortkomingen. Investeer 2-4 uur in de due diligence vóór contractondertekening, dat is goedkoper dan de kosten van een niet-conform AI-systeem na implementatie.

WetsverwijzingenArt. 13Art. 26
Delen Deel op LinkedIn

Meer over Accountability

Art. 10 EU AI Act: data en datagovernance voor hoog-risico AI

Reference

Art. 10 vereist dat de trainings-, validatie- en testdata voor hoog-risico AI-systemen voldoet aan kwaliteitscriteria: relevant, voldoende representatief, en zo foutloos en volledig mogelijk voor het beoogde doel. Het vereist ook gedocumenteerde datagovernance over verzameling, voorbereiding, bias-onderzoek en het mitigeren van lacunes, en het staat de beperkte verwerking van bijzondere persoonsgegevens toe waar strikt noodzakelijk om bias te detecteren en corrigeren, onder waarborgen.

Art. 12 EU AI Act: registratie en logging voor hoog-risico AI

Reference

Art. 12 vereist dat hoog-risico AI-systemen technisch de automatische registratie van gebeurtenissen (logs) over hun levensduur mogelijk maken. De logging moet de traceerbaarheid van het functioneren van het systeem mogelijk maken op een niveau passend bij het beoogde doel, post-market monitoring ondersteunen, en helpen situaties te identificeren die tot risico of een substantiële wijziging kunnen leiden. Het is een ontwerpverplichting voor de provider die het systeem door constructie auditeerbaar maakt.

Art. 19 EU AI Act: het bewaren van de automatisch gegenereerde logs

Reference

Art. 19 verplicht providers van hoog-risico AI-systemen om de logs die het systeem automatisch genereert (onder Art. 12) te bewaren zolang ze die onder controle hebben, voor een periode passend bij het beoogde doel en minimaal zes maanden, tenzij andere wetgeving een langere termijn vereist. Het is de bewaar-tegenhanger van de Art. 12-logging-capaciteit, en werkt naast de deployer-bewaarplicht in Art. 26.6.

Art. 26.1, gebruik AI volgens de instructies van de aanbieder

Reference

Art. 26.1 EU AI Act verplicht deployers om hoog-risico AI-systemen uitsluitend in te zetten conform de gebruiksinstructies van de provider. De verplichting omvat drie componenten: het beschikken over de instructies (conform Art. 13.3), het actief naleven ervan, en het documenteren van dat naleven. Inzet buiten de instructies kan de aansprakelijkheid volledig naar de deployer verschuiven.