GovCompass
Kennisbank
ReferenceAccountabilityFairnessPrivacy

Art. 10 EU AI Act: data en datagovernance voor hoog-risico AI

Door Michel Venniker· · Afgestemd op de geconsolideerde EU AI Act, inclusief de Omnibus-wijzigingen van 2026.

Art. 10 vereist dat de trainings-, validatie- en testdata voor hoog-risico AI-systemen voldoet aan kwaliteitscriteria: relevant, voldoende representatief, en zo foutloos en volledig mogelijk voor het beoogde doel. Het vereist ook gedocumenteerde datagovernance over verzameling, voorbereiding, bias-onderzoek en het mitigeren van lacunes, en het staat de beperkte verwerking van bijzondere persoonsgegevens toe waar strikt noodzakelijk om bias te detecteren en corrigeren, onder waarborgen.

Bijgewerkt: juni 2026

Dit is een expliciete providerproviderThe actor who develops an AI system (or has it developed) and places it on the market or into service under its own name — carrying manufacturer-style duties: design controls, documentation, conformity.Open full entry →-verplichting onder de EU AI Act. Ze rust op degene die het hoog-risico AI-systeem ontwikkelt of op de markt brengt. Deployers dragen een verwante inputdata-plicht onder Art. 26.4.

Inleiding: data als de bron van de meeste AI-risico's

De meeste faalwijzen waar de EU AI Act zich zorgen over maakt, ontstaan in de data. Een vertekende uitkomst is meestal een vertekende dataset die zich via een model uit. Een privacy-blootstelling is meestal data die niet verzameld, bewaard of gebruikt had mogen worden. Een prestatiefout is vaak een trainingsset die de populatie die het systeem bedient niet meer representeert. Art. 10 is de verplichting die het risico bij de bron aanpakt, door kwaliteits- en governance-eisen te stellen aan de data waarop hoog-risico AI-systemen worden gebouwd en gedraaid.

Art. 10 geldt primair voor providers, die het systeem ontwikkelen en de training ervan beheersen. Maar de logica reikt ook tot deployers, omdat de inputdata die een deployerdeployerAn organization using an AI system under its own authority in its activities — carrying operator duties: use per instructions, oversight, input relevance, monitoring, notices.Open full entry → in gebruik aanlevert moet voldoen aan de voorwaarden die de provider specificeerde, een plicht die apart verschijnt als de deployer-verplichting in Art. 26.4.

Wat de data moet zijn

Art. 10 vereist dat trainings-, validatie- en testdatasets onderworpen zijn aan passende datagovernance en voldoen aan kwaliteitscriteria. De datasets moeten zijn:

  • Relevant voor het beoogde doel van het systeem.
  • Voldoende representatief voor de personen en situaties waarop het systeem zal worden gebruikt, zodat het systeem niet goed presteert voor de ene groep en slecht voor de andere.
  • Zo foutloos en zo volledig mogelijk met het oog op het beoogde doel.
  • Passend in hun statistische eigenschappen, ook voor de groepen die het systeem beoogt te raken.

Dit zijn geen absolute normen. Het artikel kwalificeert ze met "voor zover mogelijk" en "met het oog op het beoogde doel", wat betekent dat de provider een beredeneerd en gedocumenteerd oordeel moet vellen over welk kwaliteitsniveau toereikend is voor de inzet van het gebruiksgeval, in plaats van een vaste numerieke grens te halen.

Wat de governance moet bestrijken

Naast de kwaliteit van de data zelf vereist Art. 10 gedocumenteerde datagovernance- en beheerpraktijken. Deze bestrijken de ontwerpkeuzes en de data-herkomst, het verzamelproces en de provenance, de voorbereidingsoperaties zoals labelling en cleaning, de formulering van aannames over wat de data meet, een beoordeling of de data beschikbaar, geschikt en toereikend is, en een onderzoek naar mogelijke biases die gezondheid, veiligheid of grondrechten kunnen raken, samen met maatregelen om die biases te detecteren, voorkomen en mitigeren.

Dit is het governance-spoor dat een conformiteitsbeoordeling verwacht: niet alleen een schone dataset, maar een gedocumenteerd verslag van waar die vandaan kwam, hoe die is voorbereid, wat is aangenomen, en hoe naar bias is gezocht en die is aangepakt.

De bepaling over bijzondere persoonsgegevens en de real-time data-invalshoek

Art. 10(5) bevat een belangrijke en vaak verkeerd gelezen bepaling. Om bias te detecteren en corrigeren mogen providers bij uitzondering bijzondere categorieën persoonsgegevens verwerken, de gevoelige data die de AVG anders beperkt, maar alleen waar strikt noodzakelijk, en onder waarborgen: de bias kan niet worden gedetecteerd door andere data te verwerken, de data is onderworpen aan technische beperkingen op hergebruik, beveiligings- en privacybeschermende maatregelen gelden, en de data wordt gewist zodra de bias is gecorrigeerd of de bewaartermijn afloopt.

Deze bepaling is ook waar de operationele invalshoek van gegevensbescherming op het gebruikspunt binnenkomt. Voor systemen die data in real time verwerken, is de discipline om gevoelige data te minimaliseren en te maskeren vóór die het model bereikt, de operationele uitdrukking van hetzelfde principe: verwerk de minst gevoelige data die nodig is, bescherm wat verwerkt moet worden, en documenteer waarom. Gevoelige data die op inputniveau wordt gemaskeerd of geredigeerd, vóór ze het model bereikt, is een concrete control die zowel de Art. 10-datagovernance-verplichting als het minimalisatiebeginsel van de AVG dient.

Waarom het ertoe doet

Datagovernance-fouten zijn dubbel blootgesteld, omdat dezelfde dataset zowel een fairnessfairnessThe responsible-AI principle that systems should not create or reinforce unjust discrimination; operationalised through bias testing, representative data and per-group thresholds — with multiple, mutually incompatible mathematical definitions.Open full entry →-gebrek als een privacy-gebrek kan dragen, en de twee worden gehandhaafd door verschillende delen van de wet. Een trainingsset die één groep oververtegenwoordigt, creëert een Art. 10-kwaliteitsfout en een fairness-risico binnen het risicobeheerssysteem, terwijl dezelfde set, als die persoonsgegevens bevat die niet verzameld hadden mogen worden, een AVG-blootstelling creëert. Datagovernance goed aanpakken sluit meerdere risico's tegelijk; ze verwaarlozen opent er meerdere tegelijk.

Datakwaliteit en governance besturen

De controls behandelen data als een beheerd bezit met een gedocumenteerde levenscyclus, niet als een ruwe input die toevallig beschikbaar is.

Het kernartefact is een datablad (data sheet) per dataset, dat de herkomst en provenance vastlegt, de omvang en populatiekenmerken, de uitgevoerde voorbereidings- en labellingoperaties, de gemaakte aannames, het uitgevoerde bias-onderzoek en de bevindingen, en de bekende beperkingen. Dit blad wordt onderdeel van de technische documentatie en is het bewijs dat een conformiteitsbeoordeling onderzoekt.

Voor systemen die persoonsgegevens verwerken, integreren de datagovernance-controls met de bestaande AVG-controls van de organisatie in plaats van parallel te lopen: één minimalisatiediscipline, één grondslagenanalyse, één bewaarschema, toegepast op de AI-datalevenscyclus. Waar bijzondere persoonsgegevens worden verwerkt onder de Art. 10(5)-uitzondering, worden de strikt-noodzaak-onderbouwing en de waarborgen gedocumenteerd vóórdat de verwerking begint, niet achteraf gereconstrueerd.

Checklist

  1. Is er een gedocumenteerd datablad voor elke trainings-, validatie- en testdataset, met herkomst, voorbereiding en beperkingen?
  2. Is elke dataset beoordeeld op relevantie, representativiteit, foutmarge en volledigheid tegen het beoogde doel, met het oordeel gedocumenteerd?
  3. Is elke dataset onderzocht op biases die gezondheid, veiligheid of grondrechten kunnen raken, met de mitigerende maatregelen vastgelegd?
  4. Waar bijzondere persoonsgegevens worden verwerkt om bias te detecteren of corrigeren, is de strikt-noodzaak-onderbouwing gedocumenteerd en zijn de Art. 10(5)-waarborgen aanwezig?
  5. Voor systemen die persoonsgegevens in real time verwerken, wordt gevoelige data geminimaliseerd of gemaskeerd vóór die het model bereikt?
  6. Integreren de datagovernance-controls met de bestaande AVG-controls van de organisatie in plaats van die te dupliceren?
WetsverwijzingenArt. 10Art. 9GDPR

Meer over Accountability

Art. 12 EU AI Act: registratie en logging voor hoog-risico AI

Reference

Art. 12 vereist dat hoog-risico AI-systemen technisch de automatische registratie van gebeurtenissen (logs) over hun levensduur mogelijk maken. De logging moet de traceerbaarheid van het functioneren van het systeem mogelijk maken op een niveau passend bij het beoogde doel, post-market monitoring ondersteunen, en helpen situaties te identificeren die tot risico of een substantiële wijziging kunnen leiden. Het is een ontwerpverplichting voor de provider die het systeem door constructie auditeerbaar maakt.

Art. 19 EU AI Act: het bewaren van de automatisch gegenereerde logs

Reference

Art. 19 verplicht providers van hoog-risico AI-systemen om de logs die het systeem automatisch genereert (onder Art. 12) te bewaren zolang ze die onder controle hebben, voor een periode passend bij het beoogde doel en minimaal zes maanden, tenzij andere wetgeving een langere termijn vereist. Het is de bewaar-tegenhanger van de Art. 12-logging-capaciteit, en werkt naast de deployer-bewaarplicht in Art. 26.6.

Art. 26.1, gebruik AI volgens de instructies van de aanbieder

Reference

Art. 26.1 EU AI Act verplicht deployers om hoog-risico AI-systemen uitsluitend in te zetten conform de gebruiksinstructies van de provider. De verplichting omvat drie componenten: het beschikken over de instructies (conform Art. 13.3), het actief naleven ervan, en het documenteren van dat naleven. Inzet buiten de instructies kan de aansprakelijkheid volledig naar de deployer verschuiven.

Art. 26.6, log-retentie: bewaar logs minimaal 6 maanden

Reference

Art. 26.6 verplicht deployers van hoog-risico AI om de door het systeem gegenereerde logs minimaal zes maanden te bewaren, tenzij andere wetgeving een langere termijn vereist. De logs zijn het primaire bewijs dat het systeem conform de instructies is ingezet.

Meer over Fairness

Art. 5, verboden AI-praktijken

Reference

Art. 5 somt de acht verboden AI-praktijken op, waaronder subliminale manipulatie, exploitatie van kwetsbare groepen, social scoring en het ongericht scrapen van gezichtsopnamen. Deze verboden zijn absoluut, gelden voor elke organisatie ongeacht grootte, en zijn van kracht sinds 2 februari 2025.

AI in werving en selectie: risico's, bias en wat de EU AI Act nu al van u vraagt

Analysis

FRIA uitvoeren: stap-voor-stap handleiding

Guide

Een Fundamental Rights Impact Assessment (FRIA) onder Art. 27 wordt stap voor stap uitgevoerd: beschrijf het systeem en het doel, identificeer de betrokken personen, beoordeel de impact op elke grondrechtendimensie, bepaal de mitigerende maatregelen, en documenteer het restrisico vóór de inzet.

Meer over Privacy

Art. 26.4, input-data: zorg voor relevante en representatieve data

Reference

Art. 26.4 verplicht deployers van hoog-risico AI om te borgen dat de inputdata relevant en voldoende representatief is voor het beoogde doel van het systeem. De deployer is verantwoordelijk voor de datakwaliteit in gebruik, ook al stelt de provider de specificaties vast onder Art. 10.

Art. 26.9, DPIA: koppeling tussen AI Act en AVG

Reference

Art. 26.9 koppelt de EU AI Act aan de AVG: waar een gegevensbeschermingseffectbeoordeling (DPIA) vereist is onder AVG Art. 35, moeten deployers van hoog-risico AI de informatie uit de provider-documentatie gebruiken om die beoordeling te onderbouwen.

Compliance op control-niveau: de EU AI Act als geïnstrumenteerd systeem

Analysis

Compliance op control-niveau betekent voldoen aan de EU AI Act via ingebouwde, bewezen controls in plaats van beleidsdocumenten. De technische artikelen vertalen direct naar systeem-controls: onveranderlijke logs (Art. 12, 19), een noodstop (Art. 14(4)(e)), datamaskering vóór het model (Art. 10), configureerbare blokkeerbeleid (Art. 26), risicoscoring en incidentmelding binnen de termijn (Art. 9, 73), en workspace-isolatie met rolgebaseerde toegang (Art. 14, 26). Compliance op dit niveau is een geïnstrumenteerd systeem, geen beleid als PDF.

AI Act en AVG: hoe verhouden ze zich tot elkaar?

Guide

De EU AI Act en de AVG zijn complementaire maar niet identieke kaders voor AI-systemen die persoonsgegevens verwerken. Ze overlappen op transparantie, datakwaliteit, geautomatiseerde besluitvorming en impactassessments (DPIA en FRIA), maar verschillen in reikwijdte, toezicht en sanctieregime. De efficiënte aanpak is integratie: één gecombineerde DPIA/FRIA en één set leverancierscontracten.