GovCompass
Kennisbank
ReferenceHuman oversight

Art. 26.2 — Menselijk toezicht: wijs competente mensen aan

Bijgewerkt: juni 2026 — volledige herziening naar Validai-kwaliteitsstandaard

Inleiding: menselijk toezicht als grondrecht-waarborg

Art. 26.2 EU AI Act verplicht deployers van hoog-risico AI-systemen om het menselijk toezicht te implementeren dat de provider heeft voorzien. Dit is geen soft-verplichting — het is de operationele uitvoering van Art. 14, dat providers verplicht om hoog-risico AI-systemen technisch zo te ontwerpen dat mensen de output kunnen begrijpen, bewaken en overrulen. Waar Art. 14 een ontwerpeis is voor providers, is Art. 26.2 een exploitatie-eis voor deployers.

De verplichting geldt vanaf 2 augustus 2026 voor publieke sector en vanaf 2 december 2027 voor standalone Bijlage III-systemen. Maar de praktische voorbereidingstijd — toezichthouders aanwijzen, protocollen opstellen, trainen — maakt vroege implementatie noodzakelijk.

Menselijk toezicht is juridisch leeg zonder twee randvoorwaarden: (1) de toezichthouder heeft voldoende AI-geletterdheid (Art. 4) om te begrijpen wat hij bewaakt, en (2) er zijn duidelijke procedures voor het geval overschrijving of escalatie noodzakelijk is.

Juridische context: Art. 26.2 in relatie tot Art. 14

Art. 14 EU AI Act stelt vier vereisten aan menselijk toezicht bij hoog-risico AI-systemen. De provider moet het systeem zo ontwerpen dat personen die toezicht houden:

  1. De mogelijkheden en beperkingen van het systeem volledig begrijpen
  2. Afwijkingen, storingen en onverwacht gedrag kunnen detecteren
  3. De output niet automatisch vertrouwen of overmatig afhankelijk worden van het systeem
  4. De werking van het systeem kunnen negeren, overrulen of stopzetten

Art. 26.2 vertaalt dit naar een exploitatieplicht: deployers moeten de door de provider geleverde toezichtinterfaces en -procedures daadwerkelijk implementeren. Considerans 85 verduidelijkt dat menselijk toezicht niet louter formeel mag zijn — een toezichthouder die de output automatisch bevestigt zonder inhoudelijke beoordeling voldoet niet aan de eis.

Wie is de toezichthouder?

Art. 14 spreekt over "natuurlijke personen aan wie het gebruik van het hoog-risico AI-systeem is opgedragen". In de deployer-organisatie zijn dat de medewerkers die daadwerkelijk beslissingen nemen op basis van de AI-output. De aanwijzing van toezichthouders is een formele stap die de deployer moet documenteren.

Kenmerken van een effectieve toezichthouder:

  • Beschikt over voldoende AI-geletterdheid conform Art. 4 (specifiek: kennis van de beperkingen van dit systeem)
  • Heeft bevoegdheid om de AI-output te overrulen — dus ook de organisatorische positie om dat te doen
  • Is niet zodanig overbelast dat beoordeling van AI-output louter routinematig is
  • Heeft toegang tot de informatie die nodig is voor een betekenisvolle beoordeling

Wat valt er NIET onder adequate menselijk toezicht: Een medewerker die honderden AI-beslissingen per dag "goedkeurt" zonder inhoudelijke controle is geen effectieve toezichthouder. De ACM zal bij incidents onderzoeken of het toezicht reëel was, niet alleen formeel.

Implementatie: van papier naar praktijk

Stap 1 — Toezichthouders aanwijzen: Stel per hoog-risico AI-systeem schriftelijk vast wie verantwoordelijk is voor menselijk toezicht. Beschrijf de functie, de bevoegdheden en de verwachte tijdsbesteding per beslissing. Een toezichthouder die gemiddeld <30 seconden per beslissing heeft, kan niet inhoudelijk beoordelen.

Stap 2 — Toezichtprotocol opstellen: Beschrijf per AI-systeem: (a) hoe de output wordt gepresenteerd, (b) welke informatie de toezichthouder moet beoordelen, (c) welke criteria voor overschrijving gelden, (d) hoe een overschrijving wordt gedocumenteerd, en (e) wanneer escalatie plaatsvindt.

Stap 3 — Stopzettingsprocedure: Art. 14.4.e verplicht de mogelijkheid om het systeem te stoppen als onverwacht gedrag optreedt. De deployer moet een operationeel "noodstop"-protocol hebben: wie beslist tot stopzetting, hoe snel kan dat, en wat is het alternatieve proces als het AI-systeem buiten gebruik is?

Stap 4 — Training: Toezichthouders moeten aantoonbaar getraind zijn (Art. 4) op: de werking van het systeem, de bekende beperkingen, de criteria voor overschrijving, en de escalatieprocedures.

Automation bias: de grootste praktijkvalkuil

Automation bias — de neiging om AI-output over te nemen zonder kritische evaluatie — is de voornaamste risicofactor voor menselijk toezicht in de praktijk. Considerans 85 erkent dit expliciet. Deployers moeten actief maatregelen treffen om automation bias te voorkomen:

  • Bewust ontwerp van de toezichtinterface: onzekerheid en beperkingen van het model prominently tonen
  • Periodieke audits van overschrijvingspercentages: een overschrijvingspercentage van 0% is verdacht
  • Werkdruk-monitoring: de hoeveelheid beslissingen per tijdseenheid bewaken
  • Intercollegiale toetsing bij hoog-impact beslissingen (vierogenprincipe)

Deployer-specifieke implicaties

Contractuele basis: De gebruiksinstructies van de provider (Art. 13.3) moeten de technische middelen voor menselijk toezicht beschrijven — interfaces, kill-switches, vertrouwensscores. Als de provider dit niet levert, kunt u Art. 26.2 niet naleven. Eis dit bij inkoop.

Documentatie van overschrijvingen: Elke keer dat een toezichthouder de AI-output overrulet, moet dit worden gedocumenteerd: datum, systeem, beslissing, reden voor overschrijving. Dit is zowel voor intern leereffect als voor ACM-verantwoording essentieel.

Hoog-impact domeinen: In HR (selectie), kredietverlening, zorgdiagnostiek en rechtshandhaving is de kwaliteit van menselijk toezicht direct bepalend voor de grondrechten van betrokkenen. De ACM zal hier strenger toetsen.

Handhaving en sancties

Niet-naleving van Art. 26.2 valt onder Art. 99.4: boetes tot €15.000.000 of 3% van de wereldwijde jaaromzet. Bij een incident (schade door een AI-beslissing die niet adequaat menselijk getoetst is) riskeert de deployer ook civiele aansprakelijkheid.

Veelgestelde vragen

V: Mogen we geautomatiseerd beslissingen nemen zonder menselijke tussenkomst voor laag-risico gevallen?
A: Bij hoog-risico AI-systemen is menselijk toezicht verplicht voor iedere individuele beslissing die significante gevolgen heeft voor betrokkenen. Volledig geautomatiseerde besluitvorming zonder menselijke beoordeling is niet toegestaan tenzij het systeem uitdrukkelijk buiten de hoog-risico categorie valt.

V: Onze AI-leverancier heeft geen kill-switch geïmplementeerd. Wat nu?
A: Dit is een wezenlijk gebrek in de naleving van Art. 14 door de provider. U kunt het systeem contractueel niet accepteren als het geen stopzettingsfunctionaliteit biedt. Meld dit als conformiteitsrisico en stel de provider in gebreke.

V: Hoe bewijs ik bij een ACM-audit dat ons toezicht meer dan formeel was?
A: Laat het overschrijvingslogboek zien, de trainingsrecords, het toezichtprotocol, en de werkdrukregistratie. Een realistische ratio van overschrijvingen (ook fouten van het model gedocumenteerd) is overtuigender dan een perfect compliance-dossier zonder enige afwijking.

Checklist: Art. 26.2 compliance

  1. Zijn voor elk hoog-risico AI-systeem specifieke toezichthouders aangewezen met schriftelijke functiebeschrijving?
  2. Beschikken alle toezichthouders over voldoende AI-geletterdheid conform Art. 4?
  3. Is er een schriftelijk toezichtprotocol dat criteria voor overschrijving en escalatie beschrijft?
  4. Worden alle overschrijvingen van AI-output gedocumenteerd met reden?
  5. Is er een operationeel stopzettingsprotocol als het systeem onverwacht gedrag vertoont?
  6. Worden overschrijvingspercentages periodiek geanalyseerd op automation bias?
  7. Is de werkdruk van toezichthouders zodanig dat inhoudelijke beoordeling mogelijk is?
  8. Bevat uw leverancierscontract de verplichting tot toezichtinterfaces conform Art. 14?
WetsverwijzingenArt. 26

Meer over Human oversight

Art. 27 — FRIA: Fundamental Rights Impact Assessment

Reference

AI in werving en selectie: risico's, bias en wat de EU AI Act nu al van u vraagt

Analysis