GovCompass
Kennisbank
Guide

Provider-verplichtingen: een overzicht voor MKB

Bijgewerkt: juni 2026 — inclusief AI Omnibus Akkoord vereenvoudigingen

Inleiding: provider-verplichtingen voor mkb

Als u als mkb-bedrijf een hoog-risico AI-systeem ontwikkelt — voor eigen gebruik of voor de markt — draagt u de volledige provider-verplichtingen van Art. 8-17 EU AI Act. Deze verplichtingen zijn aanzienlijk: ze omvatten risicobeheer, datakwaliteit, technische documentatie, logging, transparantie, menselijk toezicht, nauwkeurigheid en een kwaliteitsmanagementsysteem.

Het AI Omnibus Akkoord (mei 2026) heeft vereenvoudigingen ingevoerd voor micro-ondernemingen (<10 medewerkers, <€2 mln), maar voor de meeste mkb-bedrijven gelden de volledige verplichtingen. Deze gids legt de negen kernverplichtingen uit en geeft praktische handvatten voor mkb-implementatie.

Verplichting 1: Risicobeheerssysteem (Art. 9)

Art. 9 verplicht providers tot het opzetten van een doorlopend risicobeheerssysteem gedurende de gehele levenscyclus van het hoog-risico AI-systeem. Dit betekent:

  • Identificatie van bekende en voorzienbare risico's voor gezondheid, veiligheid en grondrechten
  • Schatting en evaluatie van die risico's
  • Evaluatie van risico's na marktintroductie (op basis van post-market monitoring data)
  • Implementatie van passende risicobeheersmaatregelen

Mkb-aanpak: Gebruik een risicoregister dat voor elk geïdentificeerd risico bijhoudt: beschrijving, ernst (hoog/medium/laag), kans, mitigerende maatregel, en restrisico na mitigatie. Werk het register bij bij elke significante update van het systeem.

Verplichting 2: Datakwaliteit (Art. 10)

Art. 10 verplicht dat de data die wordt gebruikt voor training, validatie en testing van hoog-risico AI-systemen voldoet aan kwaliteitscriteria: relevant, representatief, vrij van fouten, en volledig — voor zover dat redelijkerwijs haalbaar is.

Aanvullend verplicht Art. 10.2:

  • Dataverzamelingsprocessen te documenteren
  • Relevante kenmerken van de data-populatie te beschrijven
  • Te onderzoeken op biassen die tot discriminatie kunnen leiden
  • Maatregelen te nemen om geïdentificeerde bias te mitigeren

Mkb-aanpak: Maak een datasheet (datablad) per dataset: herkomst, grootte, populatiebeschrijving, bekende beperkingen, bias-checks uitgevoerd. Bewaar dit als onderdeel van de technische documentatie.

Verplichting 3: Technische documentatie (Art. 11 + Bijlage IV)

Art. 11 verplicht providers een uitgebreid technisch document op te stellen vóór marktintroductie en bij te houden gedurende de levenscyclus. Bijlage IV beschrijft de vereiste inhoud in detail.

Kernonderdelen van de technische documentatie:

  • Systeembeschrijving en beoogd gebruik
  • Risicoklasse en classificatiegrondslag
  • Ontwerp- en trainingsproces
  • Beschrijving van training-, validatie- en testdata
  • Risicobeheersmaatregelen
  • Prestatiemetrieken en testresultaten
  • Beperkingen en bekende risico's
  • Wijzigingshistorie

Mkb-vereenvoudiging (Omnibus): Micro-ondernemingen mogen een vereenvoudigd formaat gebruiken. Voor andere mkb geldt de volledige Bijlage IV. Gebruik de EU AI Office-sjablonen om het schrijfwerk te structureren.

Verplichting 4: Logboek (Art. 12)

Art. 12 verplicht dat hoog-risico AI-systemen zijn uitgerust met automatische logging-functionaliteit. De logging moet registreren: het gebruik van het systeem, de verwerkte data (of een referentie), en relevante operationele gebeurtenissen.

Mkb-aanpak: Implementeer logging als technische feature van het systeem, niet als een achteraf-gedachte. De logs moeten exporteerbaar zijn in een standaardformaat (JSON, CSV) zodat deployers hun bewaarverplichting kunnen naleven.

Verplichting 5: Transparantie (Art. 13)

Art. 13 verplicht providers om hoog-risico AI-systemen zo te ontwerpen dat deployers de werking voldoende begrijpen om hun verplichtingen te kunnen nakomen. Art. 13.3 verplicht gedetailleerde gebruiksinstructies (zie het Art. 26.1-artikel voor de vereiste inhoud).

Mkb-aanpak: Schrijf gebruiksinstructies die compleet maar begrijpelijk zijn. Gebruik voorbeelden voor de beschrijving van beperkingen. Test de instructies op een deployer uit uw doelgroep die het systeem nog niet kent.

Verplichting 6: Menselijk toezicht (Art. 14)

Art. 14 verplicht dat hoog-risico AI-systemen zo zijn ontworpen dat toezichthouders de werking kunnen begrijpen, afwijkingen kunnen detecteren, automatisch vertrouwen kunnen vermijden, en het systeem kunnen overrulen of stoppen.

Technische implementatie:

  • Toon vertrouwensscores bij elke output
  • Markeer outputs met lage betrouwbaarheid visueel
  • Implementeer een "override" functie die de toezichthouder in staat stelt de AI-aanbeveling te negeren
  • Implementeer een noodstop (Art. 14.4.e)

Verplichting 7: Nauwkeurigheid, robuustheid en cyberbeveiliging (Art. 15)

Art. 15 verplicht dat hoog-risico AI-systemen een passend niveau van nauwkeurigheid bereiken en behouden, robuust zijn tegen fouten en onvoorziene omstandigheden, en beschermd zijn tegen aanvallen die de prestaties kunnen beïnvloeden.

Mkb-aanpak: Definieer vóór marktintroductie acceptabele prestatiegrenzen (nauwkeurigheid, foutpercentages) en test hierop. Documenteer de testresultaten in de technische documentatie. Beschrijf de cyberbeveiligingsmaatregelen (inputvalidatie, toegangscontrole, logging van aanvalspogingen).

Verplichting 8: Kwaliteitsmanagementsysteem (Art. 17)

Art. 17 verplicht providers tot het opzetten van een kwaliteitsmanagementsysteem (KMS) dat de naleving van de EU AI Act borgt gedurende de gehele levenscyclus.

Mkb-vereenvoudiging (Omnibus voor micro): Micro-ondernemingen mogen volstaan met een proportioneel kwaliteitsbeleid. Voor andere mkb geldt een volledig KMS dat minimaal omvat: beleid voor naleving, procedures voor technische documentatie, procedures voor post-market monitoring, en procedures voor corrigerende maatregelen.

Verplichting 9: Post-market monitoring (Art. 72)

Art. 72 verplicht providers tot een post-market monitoring plan dat actief data verzamelt over de prestaties van het systeem in productie. Deployers leveren input via hun Art. 26.5-verplichtingen.

Mkb-aanpak: Stel een eenvoudig monitoring-plan op dat beschrijft: welke metrieken worden gemonitord, via welk kanaal deployers bevindingen melden, en hoe u reageert op afwijkingen. Maak het plan onderdeel van uw leveranciersovereenkomst.

Samenvatting

Provider-zijn is zwaarder dan deployer-zijn. De negen verplichtingen van Art. 9-17 vereisen een gestructureerde aanpak van ontwerp tot post-markt. Start vroeg met de technische documentatie en het risicobeheerssysteem — deze vormen de kern van alle andere verplichtingen. Gebruik de EU AI Office-sjablonen en de Validai compliance-tools om het werk te structureren.