GovCompass
Kennisbank
Guide

Leveranciers-checklist: 10 vragen aan je AI-leverancier

Bijgewerkt: juni 2026 — volledige herziening naar Validai-kwaliteitsstandaard

Inleiding: due diligence als deployer-verplichting

Art. 26.1 EU AI Act verplicht deployers om hoog-risico AI-systemen conform de gebruiksinstructies van de provider in te zetten. Maar vóórdat u die instructies kunt naleven, moet u ze hebben — en moeten ze volledig zijn. Het beoordelen van een AI-leverancier op hun EU AI Act-compliance is daarmee een deployer-verplichting, niet optioneel.

Deze gids biedt een systematische aanpak voor leveranciers-due diligence op basis van de EU AI Act-vereisten. De gids is van toepassing op de aanschaf van elke hoog-risico AI-systeem.

Stap 1: Stel vast of het systeem hoog-risico is

Voordat u de volledige due diligence start, bepaalt u of het systeem van de leverancier als hoog-risico AI kwalificeert (Art. 6 + Bijlage III). Als de leverancier claimt dat het systeem niet hoog-risico is, vraag dan een schriftelijke Art. 6.3-onderbouwing. Controleer die onderbouwing kritisch aan de hand van uw eigen gebruik-context.

Als het systeem hoog-risico is, zijn alle stappen in deze gids verplicht. Als het niet hoog-risico is maar beperkt-risico (Art. 50), geldt een verlicht regime.

Stap 2: Beoordeel de leverancier op Art. 13.3-conformiteit

Vraag bij elke leverancier van een hoog-risico AI-systeem de formele gebruiksinstructies op conform Art. 13.3. Controleer of alle verplichte elementen aanwezig zijn:

Checklist gebruiksinstructies (Art. 13.3):

  • ☐ Naam, handelsnaam en contactgegevens van de provider
  • ☐ Beoogd doel en beoogde gebruiksomgeving
  • ☐ Kenmerken, mogelijkheden en beperkingen van het systeem
  • ☐ Bekende omstandigheden die de prestaties negatief beïnvloeden
  • ☐ Situaties waarbij het systeem niet of beperkt betrouwbaar is
  • ☐ Hardware/software-vereisten
  • ☐ Technische maatregelen voor menselijk toezicht (Art. 14)
  • ☐ Beschrijving van de inputdata-vereisten
  • ☐ Prestatiemetrieken en betrouwbaarheidsdrempels
  • ☐ Verwachte levensduur en onderhoudsinformatie

Als meer dan twee elementen ontbreken: vraag aanvulling alvorens het contract te ondertekenen.

Stap 3: Vraag de conformiteitsverklaring en EU-database registratie op

Conformiteitsverklaring (Art. 47): De provider moet een EU-conformiteitsverklaring hebben opgesteld die bevestigt dat het systeem voldoet aan de eisen van Art. 8-15. Vraag een kopie op en controleer:

  • Is de verklaring ondertekend door een bevoegde vertegenwoordiger?
  • Verwijst de verklaring naar de specifieke versie van het systeem die u aanschaft?
  • Is de toegepaste conformiteitsbeoordelingsprocedure vermeld?

EU-database registratie (Art. 49): Controleer of het systeem geregistreerd staat in de EU AI Act-database. Een hoog-risico systeem dat niet is geregistreerd, is niet conform de wet. U neemt een juridisch risico door dit systeem in te zetten.

Stap 4: Beoordeel de technische documentatie (selectief)

U heeft als deployer recht op inzage in de voor u relevante delen van de technische documentatie (Bijlage IV). U hoeft niet het volledige technische document te doorzien, maar vraag minimaal:

  • Samenvatting prestatiemetrieken: nauwkeurigheid, precisie, recall, F1-score voor uw use case
  • Fairness-rapport: zijn prestaties gelijk voor relevante demografische subgroepen?
  • Bekende beperkingen: in welke situaties presteert het systeem aantoonbaar slechter?
  • Trainingsdata-beschrijving: welke populatie is vertegenwoordigd? Zijn er bekende representativiteitsproblemen?

Stap 5: Toets op Art. 5-verboden

Vraag de leverancier schriftelijk te bevestigen dat het systeem niet onder een van de acht verboden van Art. 5 valt. Specifieke vragen:

  • Maakt het systeem gebruik van technieken die het onderbewustzijn van gebruikers beïnvloeden?
  • Bevat het systeem emotieherkenning-functionaliteit (relevant voor de werkplek of onderwijs)?
  • Maakt het systeem biometrische categoriseringen op basis van gevoelige kenmerken?
  • Is het systeem bruikbaar voor real-time biometrische identificatie in openbare ruimten?

Een leverancier die deze vragen niet schriftelijk wil beantwoorden, is een red flag.

Stap 6: Contractuele waarborgen bedingen

Het leverancierscontract moet de volgende clausules bevatten:

Verplichte clausules:

  • Art. 5-garantie: leverancier garandeert dat het systeem niet onder de verboden van Art. 5 valt
  • Conformiteitsgarantie: leverancier garandeert dat het systeem voldoet aan Art. 8-15 EU AI Act
  • Notificatieplicht bij updates: leverancier informeert u bij elke materiële update die de instructies of prestaties wijzigt, minimaal 30 dagen van tevoren
  • Toegang tot technische documentatie: leverancier verleent u inzage in de voor uw gebruik relevante secties bij redelijk verzoek
  • Logbeschikbaarheid: leverancier garandeert dat u de systeemlogs kunt exporteren en bewaren conform Art. 26.6
  • Ondersteuning bij ACM-audit: leverancier verleent medewerking bij een ACM-onderzoek dat betrekking heeft op zijn systeem
  • Vrijwaring: leverancier vrijwaart u voor schade die voortvloeit uit niet-naleving van zijn provider-verplichtingen

Verwerkersovereenkomst (AVG): Als de leverancier persoonsgegevens verwerkt namens u, sluit dan een verwerkersovereenkomst conform Art. 28 AVG. Dit is een afzonderlijk contract naast de AI Act-leveranciersovereenkomst.

Stap 7: Beoordeel de provider op track record

Naast de documentatie-check beoordeelt u de leverancier op:

  • Incident-history: zijn er bekende AI-incidenten met dit systeem of deze leverancier? Zoek in ACM-publicaties en EU AI Office-berichten.
  • Reactie op kwetsbaarheden: hoe snel reageert de leverancier op gemelde problemen?
  • Klantenreferenties: vraag naar andere deployers van dit systeem in vergelijkbare contexten
  • Financiële stabiliteit: een faillerende AI-leverancier kan uw compliance ondermijnen (geen ondersteuning, geen updates)

Stap 8: Periodieke her-evaluatie

Leveranciers-due diligence is geen eenmalig traject. Herevalueer uw leveranciers:

  • Jaarlijks (standaard)
  • Bij elke materiële update van het systeem
  • Bij incidenten waarbij het systeem betrokken is
  • Bij wijzigingen in de eigendomsstructuur van de leverancier

Samenvatting

Een grondige leveranciers-due diligence beschermt u als deployer tegen aansprakelijkheid voor provider-tekortkomingen. Investeer 2-4 uur in de due diligence vóór contractondertekening — dat is goedkoper dan de kosten van een niet-conform AI-systeem na implementatie.