Art. 26.1 — Gebruik AI volgens de instructies van de aanbieder

Bijgewerkt: juni 2026 — volledige herziening naar Validai-kwaliteitsstandaard

Inleiding: de basisregel voor hoog-risico AI-inzet

Art. 26.1 EU AI Act formuleert de meest fundamentele deployer-verplichting: hoog-risico AI-systemen mogen alleen worden ingezet overeenkomstig de gebruiksinstructies die de provider heeft verstrekt. Dit klinkt simpel, maar de juridische implicaties zijn verstrekkend. De gebruiksinstructies bepalen de grens van uw aansprakelijkheid — en overschrijding ervan kan die aansprakelijkheid volledig naar u verschuiven.

De verplichting omvat drie componenten die elk afzonderlijk moeten worden nageleefd: (1) het beschikken over de gebruiksinstructies, (2) het actief naleven ervan, en (3) het documenteren van dat naleven.

Juridische context: Art. 26.1 in de systematiek van de wet

Art. 26 bevat negen deployer-verplichtingen. Art. 26.1 is bewust als eerste geplaatst: het is het fundament waarop de overige verplichtingen steunen. Considerans 79 verduidelijkt de rolverdeling: de provider draagt verantwoordelijkheid voor het ontwerp en de documentatie van het systeem; de deployer draagt verantwoordelijkheid voor het correcte gebruik. De provider kan niet aansprakelijk worden gesteld als de deployer zijn systeem buiten de instructies heeft ingezet.

Wat moeten de gebruiksinstructies bevatten?

Art. 13.3 EU AI Act bepaalt de minimumeisen. Als deployer heeft u het recht op al deze informatie en kunt u die eisen contractueel afdwingen:

• De identiteit en contactgegevens van de provider
• De kenmerken, mogelijkheden en beperkingen, inclusief bekende omstandigheden die prestaties negatief beïnvloeden
• De technische maatregelen voor menselijk toezicht (Art. 14)
• De vereiste inputdata inclusief technische specificaties
• De beoogde doelgroep en het beoogde gebruiksdoel
• Omstandigheden waaronder het systeem niet of beperkt betrouwbaar is
• Prestatiemetrieken en betrouwbaarheidsdrempels
• Verwachte levensduur en aanbevolen onderhoud

Wat valt er NIET onder als gebruiksinstructie: Marketingmateriaal en algemene FAQ's zijn géén gebruiksinstructies in de zin van Art. 13.3. Accepteer geen AI-contract zonder formele, gespecificeerde instructies.

Configuratiebevoegdheid: waar eindigt "conform instructies"?

Art. 26.1 verbiedt gebruik buiten de instructies, maar sluit configuratie niet uit.

Toegestane configuratie: Aanpassen van drempelwaarden binnen de door de provider gespecificeerde bandbreedte; beperken tot een subset van de beoogde doelgroep; koppelen aan inputvelden die de provider heeft voorzien.

Verboden aanpassing: Hertrainen op eigen data zonder toestemming; inzetten voor een gebruiksdoel dat niet in de instructies staat; uitschakelen van menselijk-toezicht-interfaces; inzetten voor een risicogroep die de provider heeft uitgesloten.

Grensgebied — purpose creep: Een systeem dat voor één doeleinde werd aangeschaft maar gaandeweg ook voor andere doeleinden wordt ingezet. Controleer bij elke uitbreiding van het gebruik expliciet of de instructies dit toestaan.

Deployer-specifieke implicaties

Bij inkoop: Neem een contractclausule op die de provider verplicht om actuele gebruiksinstructies conform Art. 13.3 te leveren, én die bepaalt dat de provider u informeert bij elke materiële update van het systeem.

Bij implementatie: Stel een intern gebruik-protocol op dat de gebruiksinstructies vertaalt naar werkprocedures. Het protocol moet expliciet de grenzen van het gebruik beschrijven: voor welke doelgroepen, voor welke beslissingen, met welke drempelwaarden.

Bij wijzigingen: Elke wijziging in hoe u het systeem inzet vereist herbevestiging dat dit gebruik binnen de instructies valt. Documenteer dit beslismoment.

Documentatieplicht

Minimaal vereist:

1. Actueel exemplaar van de gebruiksinstructies inclusief versienummer en ontvangstdatum
2. Intern gebruik-protocol dat aantoont hoe de instructies zijn vertaald naar de organisatiepraktijk
3. Change log van wijzigingen in het gebruik met per wijziging een aantekening of de instructies dit toestaan
4. Trainingsrecords (Art. 4) die aantonen dat medewerkers de instructies kennen

Handhaving en sancties

Niet-naleving van Art. 26.1 valt onder Art. 99.4: boetes tot €15.000.000 of 3% van de wereldwijde jaaromzet. Als een hoog-risico AI-systeem schade veroorzaakt en u kunt niet aantonen dat u conform de instructies handelde, wordt u als deployer primair aansprakelijk gehouden.

Veelgestelde vragen

V: Onze provider geeft alleen een online handleiding. Is dat voldoende?
A: Nee, als de handleiding niet alle elementen van Art. 13.3 bevat. Bewaar altijd een offline kopie — een website kan veranderen.

V: Wij hebben het systeem licht geconfigureerd. Valt dat onder "buiten de instructies"?
A: Configuratie binnen de door de provider voorziene parameters is toegestaan. Documenteer welke opties u heeft gebruikt en dat deze binnen de gespecificeerde bandbreedte vallen.

V: De provider heeft zijn systeem geüpdateerd zonder ons te informeren. Wie is aansprakelijk?
A: Als de provider u niet heeft geïnformeerd over een materiële update en u als gevolg daarvan het systeem niet meer conform de gewijzigde instructies heeft ingezet, heeft u een aanspraak op de provider. Neem een notificatieplicht bij updates op in uw contract.

Checklist: Art. 26.1 compliance

1. Beschikt u voor elk hoog-risico AI-systeem over formele gebruiksinstructies die voldoen aan Art. 13.3?
2. Zijn de instructies geversioned en gedateerd, en bewaart u een offline kopie?
3. Is er een intern gebruik-protocol dat de instructies vertaalt naar concrete werkprocedures?
4. Zijn alle medewerkers aantoonbaar getraind op de instructies (Art. 4)?
5. Bevat uw leverancierscontract een verplichting voor de provider om u bij updates te informeren?
6. Heeft u een change log van alle wijzigingen in het gebruik?
7. Wordt bij elke wijziging in het gebruik expliciet gecontroleerd of deze binnen de instructies valt?
8. Kunt u bij een ACM-audit aantonen dat uw gebruik steeds conform de instructies is geweest?