GovCompass
Kennisbank
ReferenceHuman oversight

Art. 26.2, menselijk toezicht: wijs competente mensen aan

Door Michel Venniker· · Afgestemd op de geconsolideerde EU AI Act, inclusief de Omnibus-wijzigingen van 2026.

Art. 26.2 EU AI Act verplicht deployers om het menselijk toezicht te implementeren dat de provider heeft voorzien (Art. 14). Het toezicht is alleen geldig als de toezichthouder voldoende AI-geletterd is (Art. 4), de bevoegdheid heeft om de AI-output te overrulen, en niet zo overbelast is dat de beoordeling louter routinematig wordt. Formeel toezicht zonder inhoudelijke beoordeling voldoet niet.

Bijgewerkt: juni 2026

Inleiding: menselijk toezicht als grondrecht-waarborg

Art. 26.2 EU AI Act verplicht deployers van hoog-risico AI-systemen om het menselijk toezicht te implementeren dat de providerproviderThe actor who develops an AI system (or has it developed) and places it on the market or into service under its own name — carrying manufacturer-style duties: design controls, documentation, conformity.Open full entry → heeft voorzien. Dit is geen soft-verplichting, het is de operationele uitvoering van Art. 14, dat providers verplicht om hoog-risico AI-systemen technisch zo te ontwerpen dat mensen de output kunnen begrijpen, bewaken en overrulen. Waar Art. 14 een ontwerpeis is voor providers, is Art. 26.2 een exploitatie-eis voor deployers.

De verplichting geldt vanaf 2 augustus 2026 voor publieke sector en vanaf 2 december 2027 voor standalone Bijlage III-systemen. Maar de praktische voorbereidingstijd, toezichthouders aanwijzen, protocollen opstellen, trainen, maakt vroege implementatie noodzakelijk.

Menselijk toezicht is juridisch leeg zonder twee randvoorwaarden: (1) de toezichthouder heeft voldoende AI-geletterdheid (Art. 4) om te begrijpen wat hij bewaakt, en (2) er zijn duidelijke procedures voor het geval overschrijving of escalatie noodzakelijk is.

Juridische context: Art. 26.2 in relatie tot Art. 14

Art. 14 EU AI Act stelt vier vereisten aan menselijk toezicht bij hoog-risico AI-systemen. De provider moet het systeem zo ontwerpen dat personen die toezicht houden:

  1. De mogelijkheden en beperkingen van het systeem volledig begrijpen
  2. Afwijkingen, storingen en onverwacht gedrag kunnen detecteren
  3. De output niet automatisch vertrouwen of overmatig afhankelijk worden van het systeem
  4. De werking van het systeem kunnen negeren, overrulen of stopzetten

Art. 26.2 vertaalt dit naar een exploitatieplicht: deployers moeten de door de provider geleverde toezichtinterfaces en -procedures daadwerkelijk implementeren. Overweging 85 verduidelijkt dat menselijk toezicht niet louter formeel mag zijn, een toezichthouder die de output automatisch bevestigt zonder inhoudelijke beoordeling voldoet niet aan de eis.

Wie is de toezichthouder?

Art. 14 spreekt over "natuurlijke personen aan wie het gebruik van het hoog-risico AI-systeem is opgedragen". In de deployerdeployerAn organization using an AI system under its own authority in its activities — carrying operator duties: use per instructions, oversight, input relevance, monitoring, notices.Open full entry →-organisatie zijn dat de medewerkers die daadwerkelijk beslissingen nemen op basis van de AI-output. De aanwijzing van toezichthouders is een formele stap die de deployer moet documenteren.

Kenmerken van een effectieve toezichthouder:

  • Beschikt over voldoende AI-geletterdheid conform Art. 4 (specifiek: kennis van de beperkingen van dit systeem)
  • Heeft bevoegdheid om de AI-output te overrulen, dus ook de organisatorische positie om dat te doen
  • Is niet zodanig overbelast dat beoordeling van AI-output louter routinematig is
  • Heeft toegang tot de informatie die nodig is voor een betekenisvolle beoordeling

Wat valt er NIET onder adequate menselijk toezicht: Een medewerker die honderden AI-beslissingen per dag "goedkeurt" zonder inhoudelijke controle is geen effectieve toezichthouder. De toezichthouder zal bij incidenten onderzoeken of het toezicht reëel was, niet alleen formeel.

Implementatie: van papier naar praktijk

Stap 1, Toezichthouders aanwijzen: Stel per hoog-risico AI-systeem schriftelijk vast wie verantwoordelijk is voor menselijk toezicht. Beschrijf de functie, de bevoegdheden en de verwachte tijdsbesteding per beslissing. Een toezichthouder die gemiddeld <30 seconden per beslissing heeft, kan niet inhoudelijk beoordelen.

Stap 2, Toezichtprotocol opstellen: Beschrijf per AI-systeem: (a) hoe de output wordt gepresenteerd, (b) welke informatie de toezichthouder moet beoordelen, (c) welke criteria voor overschrijving gelden, (d) hoe een overschrijving wordt gedocumenteerd, en (e) wanneer escalatie plaatsvindt.

Stap 3, Stopzettingsprocedure: Art. 14.4.e verplicht de mogelijkheid om het systeem te stoppen als onverwacht gedrag optreedt. De deployer moet een operationeel "noodstop"-protocol hebben: wie beslist tot stopzetting, hoe snel kan dat, en wat is het alternatieve proces als het AI-systeem buiten gebruik is?

Stap 4, Training: Toezichthouders moeten aantoonbaar getraind zijn (Art. 4) op: de werking van het systeem, de bekende beperkingen, de criteria voor overschrijving, en de escalatieprocedures.

Automation bias: de grootste praktijkvalkuil

Automation biasautomation biasThe human tendency to over-trust automated outputs — accepting a system's recommendation without genuinely weighing the case, which hollows out human oversight.Open full entry →, de neiging om AI-output over te nemen zonder kritische evaluatie, is de voornaamste risicofactor voor menselijk toezicht in de praktijk. Overweging 85 erkent dit expliciet. Deployers moeten actief maatregelen treffen om automation bias te voorkomen:

  • Bewust ontwerp van de toezichtinterface: onzekerheid en beperkingen van het model prominent tonen
  • Periodieke audits van overschrijvingspercentages: een overschrijvingspercentage van 0% is verdacht
  • Werkdruk-monitoring: de hoeveelheid beslissingen per tijdseenheid bewaken
  • Intercollegiale toetsing bij hoog-impact beslissingen (vierogenprincipe)

Deployer-specifieke implicaties

Contractuele basis: De gebruiksinstructies van de provider (Art. 13.3) moeten de technische middelen voor menselijk toezicht beschrijven, interfaces, kill-switches, vertrouwensscores. Als de provider dit niet levert, kunt u Art. 26.2 niet naleven. Eis dit bij inkoop.

Documentatie van overschrijvingen: Elke keer dat een toezichthouder de AI-output overrulet, moet dit worden gedocumenteerd: datum, systeem, beslissing, reden voor overschrijving. Dit is zowel voor intern leereffect als voor verantwoording richting de toezichthouder essentieel.

Hoog-impact domeinen: In HR (selectie), kredietverlening, zorgdiagnostiek en rechtshandhaving is de kwaliteit van menselijk toezicht direct bepalend voor de grondrechten van betrokkenen. De toezichthouder zal hier strenger toetsen.

Handhaving en sancties

Niet-naleving van Art. 26.2 valt onder Art. 99.4: boetes tot €15.000.000 of 3% van de wereldwijde jaaromzet. Bij een incident (schade door een AI-beslissing die niet adequaat menselijk getoetst is) riskeert de deployer ook civiele aansprakelijkheid.

Veelgestelde vragen

V: Mogen we geautomatiseerd beslissingen nemen zonder menselijke tussenkomst voor laag-risico gevallen?
A: Bij hoog-risico AI-systemen is menselijk toezicht verplicht voor iedere individuele beslissing die significante gevolgen heeft voor betrokkenen. Volledig geautomatiseerde besluitvorming zonder menselijke beoordeling is niet toegestaan tenzij het systeem uitdrukkelijk buiten de hoog-risico categorie valt.

V: Onze AI-leverancier heeft geen kill-switch geïmplementeerd. Wat nu?
A: Dit is een wezenlijk gebrek in de naleving van Art. 14 door de provider. U kunt het systeem contractueel niet accepteren als het geen stopzettingsfunctionaliteit biedt. Meld dit als conformiteitsrisico en stel de provider in gebreke.

V: Hoe bewijs ik bij een audit dat ons toezicht meer dan formeel was?
A: Laat het overschrijvingslogboek zien, de trainingsrecords, het toezichtprotocol, en de werkdrukregistratie. Een realistische ratio van overschrijvingen (ook fouten van het model gedocumenteerd) is overtuigender dan een perfect compliance-dossier zonder enige afwijking.

Checklist: Art. 26.2 compliance

  1. Zijn voor elk hoog-risico AI-systeem specifieke toezichthouders aangewezen met schriftelijke functiebeschrijving?
  2. Beschikken alle toezichthouders over voldoende AI-geletterdheid conform Art. 4?
  3. Is er een schriftelijk toezichtprotocol dat criteria voor overschrijving en escalatie beschrijft?
  4. Worden alle overschrijvingen van AI-output gedocumenteerd met reden?
  5. Is er een operationeel stopzettingsprotocol als het systeem onverwacht gedrag vertoont?
  6. Worden overschrijvingspercentages periodiek geanalyseerd op automation bias?
  7. Is de werkdruk van toezichthouders zodanig dat inhoudelijke beoordeling mogelijk is?
  8. Bevat uw leverancierscontract de verplichting tot toezichtinterfaces conform Art. 14?
WetsverwijzingenArt. 26Art. 14Art. 4

Meer over Human oversight

Art. 14 EU AI Act: hoog-risico AI ontwerpen voor menselijk toezicht

Reference

Art. 14 vereist dat providers hoog-risico AI-systemen zo ontwerpen en bouwen dat ze tijdens gebruik effectief door mensen kunnen worden overzien. Het systeem moet een toezichthouder in staat stellen de mogelijkheden en grenzen te begrijpen, op afwijkingen te letten, automation bias te weerstaan, outputs juist te interpreteren, te besluiten het systeem niet te gebruiken, en in te grijpen of het te stoppen via een noodstop (Art. 14(4)(e)). Het is de ontwerpverplichting die de deployer-toezichtsplicht van Art. 26.2 mogelijk maakt.

Art. 27, FRIA: Fundamental Rights Impact Assessment

Reference

Art. 27 verplicht bepaalde deployers, publieke instanties en private deployers in afgebakende sectoren zoals krediet en verzekeringen, om vóór de inzet van een hoog-risico AI-systeem een Fundamental Rights Impact Assessment (FRIA) uit te voeren, die de impact op grondrechten en de mitigerende maatregelen onderzoekt.

Art. 4, AI literacy: zorg dat je team AI begrijpt

Reference

Art. 4 verplicht organisaties sinds 2 februari 2025 om te zorgen voor een voldoende niveau van AI-geletterdheid bij medewerkers die AI-systemen bedienen of gebruiken, in verhouding tot het systeem en de rol. De verplichting geldt voor alle AI-inzet, niet alleen hoog-risico, en moet aantoonbaar zijn.

Agentic AI: het besturen van acties, niet alleen beslissingen

Analysis

Data governance vraagt of je de data kunt vertrouwen. AI governance vraagt of je de beslissing kunt vertrouwen. Agentische governance stelt een derde vraag die geen van beide is ontworpen te beantwoorden: kun je beheersen wat het systeem doet? Agentic AI is het achtste GovCompass-element. Het bindt de andere zeven onder de condities die autonomie schept, want een AI-systeem dat namens jou handelt moet alle zeven elementen continu waarborgen, over meerstaps- en multi-agent-ketens, zonder menselijk controlepunt tussen elke stap.