Art. 73 — Incident-rapportage: meld ernstige incidenten

Bijgewerkt: juni 2026 — volledige herziening naar Validai-kwaliteitsstandaard

Inleiding: incidenten zijn onvermijdelijk — het meldproces is een keuze

Hoog-risico AI-systemen zullen in de praktijk incidenten veroorzaken. Dat is geen pessimisme — het is een realistisch uitgangspunt van de EU AI Act zelf. Art. 73 regelt hoe deployers en providers met die incidenten moeten omgaan: transparant, tijdig en systematisch. Een goed incidentresponse-proces is niet alleen een wettelijke verplichting; het is ook de meest effectieve bescherming tegen aansprakelijkheid bij de ACM.

Art. 73 verplicht deployers om ernstige incidenten en storingen te melden aan de nationale markttoezichthouder (in Nederland: de ACM). De verplichting gaat hand in hand met de logretentie (Art. 26.6) en de monitoringverplichting (Art. 26.5): incidenten kunnen alleen tijdig worden gesignaleerd als u actief monitort en logs bewaart.

Juridische context: Art. 73 in de handhavingsstructuur

Art. 73 staat in Hoofdstuk IX (Post-market monitoring, informatiedeling en markttoezicht). Het is onderdeel van een breder informatiedeelingsysteem: providers hebben een post-market monitoring plicht (Art. 72), deployers hebben een monitoringplicht (Art. 26.5) en een meldplicht bij incidenten (Art. 73). Het informatiekanaal loopt van deployer naar provider én naar de ACM.

Art. 73 werkt naast de meldplicht voor datalekken (AVG Art. 33): een AI-incident dat ook een datalek inhoudt, moet aan zowel de ACM (Art. 73) als de AP (Art. 33 AVG) worden gemeld. De termijnen zijn verschillend.

Wat is een "ernstig incident"?

Art. 3.49 EU AI Act definieert een ernstig incident als een incident of storing in de werking van een hoog-risico AI-systeem dat direct of indirect leidt tot:

• Overlijden of ernstig letsel van een persoon
• Ernstige verstoring van kritieke infrastructuur
• Schending van verplichtingen uit Unierecht ter bescherming van grondrechten
• Ernstige materiële of immateriële schade (inclusief aanzienlijke discriminatie)

Het gaat om directe gevolgen van een fout of onverwacht gedrag van het AI-systeem — niet om incidenten die volledig door menselijke fouten zijn veroorzaakt zonder AI-component.

Wat valt er NIET onder: Suboptimale maar correcte AI-output die achteraf een slechte beslissing blijkt; tijdelijke systeemuitval zonder gevolgen voor betrokkenen; edge cases die binnen de verwachte prestatiemarge van het systeem vallen.

Meldingstermijnen

Art. 73.3 stelt de volgende termijnen:

• Onmiddellijk (zo spoedig mogelijk, uiterlijk binnen 15 dagen): melding aan de ACM van het incident
• Bij overlijden: melding zo spoedig mogelijk, maar uiterlijk 24 uur na constatering dat het incident waarschijnlijk heeft geleid tot overlijden
• Follow-up rapport: binnen 3 maanden na de initiële melding, met beschrijving van oorzaak, corrigerende maatregelen en aanbevelingen

De termijnen gelden vanaf het moment dat de deployer redelijkerwijs op de hoogte had kunnen zijn van het incident — niet alleen vanaf formele constatering. Bewuste vertraging in de detectie of rapportage is een verzwarende omstandigheid bij handhaving.

Wat moet de melding bevatten?

Art. 73.3 bepaalt de minimale inhoud van de initiële melding:

• Naam en contactgegevens van de deployer
• Beschrijving van het incident (wat is er gebeurd, wanneer, welke AI-systeem)
• Categorie en ernst van de schade
• Aantal betrokken personen
• Directe corrigerende maatregelen die al zijn getroffen
• Verwijzing naar de provider van het systeem

Bij de follow-up melding (binnen 3 maanden) voegt u toe:

• Resultaten van het root cause-onderzoek
• Structurele corrigerende maatregelen
• Aanbevelingen voor andere deployers of de provider

Deployer-specifieke implicaties

Incidentresponse-process: Bouw een gestructureerd incidentresponse-process dat beschrijft: (a) wie incidenten kan signaleren en melden (intern), (b) wie beslist of een incident meldingsplichtig is, (c) wie de melding aan de ACM doet, en (d) hoe het root cause-onderzoek wordt gevoerd. Dit process moet schriftelijk zijn vastgelegd en jaarlijks worden geoefend.

Drempelwaarden voor interne escalatie: Definieer interne drempels die lager liggen dan de wettelijke melddrempel. Incidenten die de wettelijke drempel niet bereiken, moeten intern worden geanalyseerd en kunnen indicatoren zijn voor toekomstige ernstige incidenten. Meld ook "near misses" intern.

Informeer de provider: Art. 73.1 verplicht deployers om de provider te informeren over het incident. De provider heeft aanvullende meldverplichtingen (Art. 73.2) en kan corrigerende maatregelen op systeem-niveau doorvoeren. Stel de provider in kennis gelijktijdig met of vóór de ACM-melding.

Koppeling aan logretentie (Art. 26.6): Bij een ACM-onderzoek naar een incident zijn de logs het primaire bewijs. Zorg dat logs van de periode rondom het incident zijn veiliggesteld en niet worden overschreven of verwijderd.

Samenloop met AVG-meldplicht

Als het AI-incident ook een inbreuk in verband met persoonsgegevens (datalek) inhoudt, gelden cumulatieve meldplichten:

• ACM: uiterlijk 15 dagen (Art. 73 EU AI Act)
• AP: uiterlijk 72 uur (Art. 33 AVG)

Coördineer de twee meldingen — ze mogen niet tegenstrijdig zijn. Stem de inhoud af met uw DPO en legal counsel vóór verzending.

Handhaving en sancties

Niet tijdig of niet volledig melden is een zelfstandige overtreding onder Art. 99.4: boetes tot €15.000.000 of 3% van de wereldwijde jaaromzet. Bovendien is vertraagde melding een verzwarende omstandigheid bij de beoordeling van de totale compliance van de deployer.

Veelgestelde vragen

V: Een AI-systeem heeft een foutieve aanbeveling gedaan. Is dat een ernstig incident?
A: Alleen als de foutieve aanbeveling heeft geleid tot de gevolgen beschreven in Art. 3.49 (overlijden, ernstig letsel, grondrechtenschending, ernstige materiële schade). Een foutieve aanbeveling die is gecorrigeerd door menselijk toezicht, zonder nadelige gevolgen, is geen meldingsplichtig incident. Documenteer het wel intern.

V: Wie bij de ACM is het meldpunt voor AI-incidenten?
A: De ACM heeft een digitaal meldpunt voor AI Act-incidenten opgezet als onderdeel van haar AI-toezichtsportaal. Raadpleeg acm.nl voor de actuele meldprocedure en het meldformulier.

V: Moeten wij elk AI-gerelateerde klacht van een betrokkene melden?
A: Nee. Klachten van betrokkenen zijn geen incidenten in de zin van Art. 73, tenzij ze de drempel van Art. 3.49 overstijgen. Wel moet u klachten intern analyseren als potentiële indicatoren van systemische problemen.

Checklist: Art. 73 incidentresponse

1. Is er een schriftelijk incidentresponse-process dat beschrijft wie incidenten signaleert, escaleert en meldt?
2. Zijn interne melddrempels gedefinieerd die lager liggen dan de wettelijke melddrempel?
3. Weet uw team wat de meldingstermijnen zijn (24 uur bij overlijden, 15 dagen standaard)?
4. Is er een procedure voor het veiligstellen van logs bij een incident?
5. Is vastgelegd wie de melding aan de ACM doet en wie de provider informeert?
6. Is er een procedure voor samenloop met de AVG-meldplicht (72 uur bij de AP)?
7. Wordt het incidentresponse-process minimaal jaarlijks geoefend?
8. Worden near-misses intern geregistreerd en geanalyseerd?