GovCompass
Kennisbank
ReferencePrivacySafety & reliability

Art. 26.4, input-data: zorg voor relevante en representatieve data

Door Michel Venniker· · Afgestemd op de geconsolideerde EU AI Act, inclusief de Omnibus-wijzigingen van 2026.

Art. 26.4 verplicht deployers van hoog-risico AI om te borgen dat de inputdata relevant en voldoende representatief is voor het beoogde doel van het systeem. De deployer is verantwoordelijk voor de datakwaliteit in gebruik, ook al stelt de provider de specificaties vast onder Art. 10.

Bijgewerkt: juni 2026

Inleiding: de deployer als databewaker

Hoog-risico AI-systemen zijn zo goed als de data die er in gaat. Art. 26.4 EU AI Act legt de verantwoordelijkheid voor inputdatakwaliteit expliciet bij de deployerdeployerAn organization using an AI system under its own authority in its activities — carrying operator duties: use per instructions, oversight, input relevance, monitoring, notices.Open full entry →: u bent verplicht om te waarborgen dat de data die u aan het systeem aanlevert, voldoet aan de specificaties en instructies van de providerproviderThe actor who develops an AI system (or has it developed) and places it on the market or into service under its own name — carrying manufacturer-style duties: design controls, documentation, conformity.Open full entry →. Dit is geen technische vanzelfsprekendheid, het is een juridische plicht met handhavingsrisico.

De verplichting geldt naast de datakwaliteitseis van Art. 10, die zich richt op de provider (trainingsdata). Art. 26.4 richt zich op de inferentie-fase: de data die uw systeem daadwerkelijk verwerkt bij elke beslissing. Een model dat perfect is getraind, kan volledig ontsporen als de inputdata niet klopt.

Juridische context: Art. 26.4 in samenhang met Art. 10

Art. 10 verplicht providers om hoog-risico AI-systemen te trainen op data die voldoet aan hoge kwaliteitseisen: relevant, representatief, vrij van fouten en volledig. Art. 26.4 verplicht deployers om dezelfde kwaliteitsstandaard te handhaven voor de inputdata die zij operationeel inzetten.

Overweging 91 stelt dat de kwaliteit van inputdata een kritieke determinant is voor de betrouwbaarheid en non-discriminerende werking van hoog-risico AI. Als een systeem wordt gevoed met verouderde, incomplete of biased data, kunnen de resultaten systematisch onjuist zijn, ook als het model zelf correct functioneert.

Welke inputdata valt onder Art. 26.4?

Art. 26.4 richt zich op alle data die de deployer aanlevert aan het hoog-risico AI-systeem als input voor beslissingen. Afhankelijk van het type systeem kan dit zijn:

  • Persoonsgegevens (naam, adres, gedragsdata, biometrische data)
  • Documentdata (cv's, medische dossiers, financiële overzichten)
  • Sensordata (camerabeelden, IoT-signalen, GPS-coördinaten)
  • Transactiedata (betalingshistorie, gebruik van diensten)
  • Contextdata (tijdstip, locatie, toesteltype)

Wat valt er NIET onder Art. 26.4: Data die het systeem zelf genereert of ophaalt (zoals webscraping door het model) is de verantwoordelijkheid van de provider, niet van de deployer. Wél is de deployer verantwoordelijk voor de configuratie die bepaalt welke externe bronnen het systeem mag raadplegen.

Concrete verplichtingen voor deployers

1. Specificaties kennen en toepassen: De gebruiksinstructies van de provider (Art. 13.3) moeten de vereiste inputdata beschrijven: formaat, volledigheid, actualiteit, toegestane waarden. De deployer moet deze specificaties vertalen naar interne databeheerprocessen.

2. Datakwaliteitscontroles implementeren: Vóórdat data wordt ingevoerd in het AI-systeem, moet de deployer technische en/of procedurele controles uitvoeren. Voorbeelden: validatieregels die onvolledigheid of outliers signaleren, data-enrichment om ontbrekende velden aan te vullen, deduplicatie om dubbele records te voorkomen.

3. Actualiteit waarborgen: Veel hoog-risico systemen zijn gevoelig voor verouderde data. Een kredietbeoordelingsmodel dat wordt gevoed met financiële data van 2 jaar geleden, produceert onbetrouwbare scores. De deployer moet refreshfrequenties vaststellen en bewaken.

4. Representativiteit bewaken: Als de deployer het systeem inzet voor een populatie die niet vertegenwoordigd is in de trainingsdata van de provider, moet de deployer de provider hiervan op de hoogte stellen (Art. 26.5) en eventuele bias actief monitoren.

Interactie met de AVG

De meeste hoog-risico AI-systemen verwerken persoonsgegevens. Art. 26.4 EU AI Act en de datakwaliteitsbeginsel van Art. 5.1.d AVG (juistheid) lopen parallel. Een deployer die onnauwkeurige persoonsgegevens invoert in een AI-systeem schendt zowel Art. 26.4 EU AI Act als Art. 5.1.d AVG.

Praktische implicatie: als uw DPIADPIAData Protection Impact Assessment — required before likely-high-risk processing (systematic profiling with significant effects, large-scale special categories, public monitoring); AI development triggers it constantly.Open full entry → (Art. 35 AVG) gebreken in inputdatakwaliteit identificeert, moet u die ook adresseren in uw Art. 26.4-maatregelen. De twee compliance-trajecten overlappen hier.

Grensgevallen en praktijkdilemma's

Ontbrekende data: Wat doet u als verplichte inputvelden ontbreken? De provider-instructies moeten hier uitsluitsel over geven: is het systeem nog betrouwbaar bij partieel ontbrekende data, of moet de casus worden geëscaleerd naar handmatige verwerking? Als de instructies dit niet regelen, eis dit dan bij de provider.

Historisch biased data: Als uw bestaande databestanden historische bias bevatten (bijv. HR-data uit een periode met discriminatoire selectiepraktijken), mag u deze data niet ongewijzigd als inputdata gebruiken. Overleg met de provider over data-correctie of -uitsluiting.

Real-time vs. batch: Bij real-time systemen (bijv. fraudedetectie) is kwaliteitscontrole vóór inzending soms niet praktisch. Implementeer dan controles achteraf en een correctieprocedure voor gevallen waarbij de inputdata achteraf onjuist blijkt.

Handhaving en sancties

Niet-naleving van Art. 26.4 valt onder Art. 99.4: boetes tot €15.000.000 of 3% van de wereldwijde jaaromzet. De toezichthouder kan ook van de deployer eisen dat het gebruik van het systeem wordt opgeschort totdat adequate datakwaliteitsborging is aangetoond.

Veelgestelde vragen

V: Onze data wordt aangeleverd door een derde partij. Wie is verantwoordelijk voor de kwaliteit?
A: De deployer blijft verantwoordelijk voor de inputdata die hij aan het AI-systeem aanlevert, ongeacht de herkomst. U kunt contractueel kwaliteitsgaranties eisen van uw dataleverancier, maar de Art. 26.4-verplichting rust op u. Implementeer altijd een eigen kwaliteitscontrole op ontvangen data voordat u deze aan het AI-systeem doorgeeft.

V: Het AI-systeem werkt met real-time sensordata. Hoe controleer ik die vóór inzending?
A: Bij real-time sensordata zijn pre-inzending-controles beperkt tot range-checks en outlier-detectie. Implementeer aanvullend een monitoring-systeem dat anomalieën in inputdata signaleert (Art. 26.5) en een rollback-procedure voor gevallen waarbij corrupte sensordata is verwerkt.

Checklist: Art. 26.4 compliance

  1. Beschikt u voor elk hoog-risico AI-systeem over de inputdata-specificaties van de provider?
  2. Zijn er technische validatieregels die inputdata toetsen op volledigheid, formaat en plausibiliteit?
  3. Is er een vastgestelde refreshfrequentie voor tijdsgevoelige inputdata?
  4. Is er een procedure voor het geval verplichte inputvelden ontbreken?
  5. Worden datakwaliteitsincidenten (foutieve input die AI-beslissingen heeft beïnvloed) geregistreerd?
  6. Is de inputdata gecontroleerd op historische bias die discriminerende outputs kan veroorzaken?
  7. Voldoen uw inputdata-processen aan Art. 5.1.d AVG (juistheid van persoonsgegevens)?
WetsverwijzingenArt. 26

Meer over Privacy

Art. 10 EU AI Act: data en datagovernance voor hoog-risico AI

Reference

Art. 10 vereist dat de trainings-, validatie- en testdata voor hoog-risico AI-systemen voldoet aan kwaliteitscriteria: relevant, voldoende representatief, en zo foutloos en volledig mogelijk voor het beoogde doel. Het vereist ook gedocumenteerde datagovernance over verzameling, voorbereiding, bias-onderzoek en het mitigeren van lacunes, en het staat de beperkte verwerking van bijzondere persoonsgegevens toe waar strikt noodzakelijk om bias te detecteren en corrigeren, onder waarborgen.

Art. 26.9, DPIA: koppeling tussen AI Act en AVG

Reference

Art. 26.9 koppelt de EU AI Act aan de AVG: waar een gegevensbeschermingseffectbeoordeling (DPIA) vereist is onder AVG Art. 35, moeten deployers van hoog-risico AI de informatie uit de provider-documentatie gebruiken om die beoordeling te onderbouwen.

Compliance op control-niveau: de EU AI Act als geïnstrumenteerd systeem

Analysis

Compliance op control-niveau betekent voldoen aan de EU AI Act via ingebouwde, bewezen controls in plaats van beleidsdocumenten. De technische artikelen vertalen direct naar systeem-controls: onveranderlijke logs (Art. 12, 19), een noodstop (Art. 14(4)(e)), datamaskering vóór het model (Art. 10), configureerbare blokkeerbeleid (Art. 26), risicoscoring en incidentmelding binnen de termijn (Art. 9, 73), en workspace-isolatie met rolgebaseerde toegang (Art. 14, 26). Compliance op dit niveau is een geïnstrumenteerd systeem, geen beleid als PDF.

AI Act en AVG: hoe verhouden ze zich tot elkaar?

Guide

De EU AI Act en de AVG zijn complementaire maar niet identieke kaders voor AI-systemen die persoonsgegevens verwerken. Ze overlappen op transparantie, datakwaliteit, geautomatiseerde besluitvorming en impactassessments (DPIA en FRIA), maar verschillen in reikwijdte, toezicht en sanctieregime. De efficiënte aanpak is integratie: één gecombineerde DPIA/FRIA en één set leverancierscontracten.

Meer over Safety & reliability

Art. 14 EU AI Act: hoog-risico AI ontwerpen voor menselijk toezicht

Reference

Art. 14 vereist dat providers hoog-risico AI-systemen zo ontwerpen en bouwen dat ze tijdens gebruik effectief door mensen kunnen worden overzien. Het systeem moet een toezichthouder in staat stellen de mogelijkheden en grenzen te begrijpen, op afwijkingen te letten, automation bias te weerstaan, outputs juist te interpreteren, te besluiten het systeem niet te gebruiken, en in te grijpen of het te stoppen via een noodstop (Art. 14(4)(e)). Het is de ontwerpverplichting die de deployer-toezichtsplicht van Art. 26.2 mogelijk maakt.

Art. 26.5, monitoring: houd de werking van je AI in de gaten

Reference

Art. 26.5 verplicht deployers van hoog-risico AI om de werking van het systeem te monitoren aan de hand van de provider-instructies en om risico's en ernstige incidenten te melden. Monitoring is het vroegsignaleringsmechanisme dat aansluit op de incidentmelding van Art. 73.

Art. 5, verboden AI-praktijken

Reference

Art. 5 somt de acht verboden AI-praktijken op, waaronder subliminale manipulatie, exploitatie van kwetsbare groepen, social scoring en het ongericht scrapen van gezichtsopnamen. Deze verboden zijn absoluut, gelden voor elke organisatie ongeacht grootte, en zijn van kracht sinds 2 februari 2025.

Art. 6, classificatie: is jouw AI-systeem hoog-risico?

Reference

Art. 6 bepaalt hoe een hoog-risico AI-systeem wordt geclassificeerd: een systeem is hoog-risico als het een veiligheidscomponent is van een product onder Bijlage I, of binnen een van de Bijlage III-toepassingen valt. Onjuiste classificatie is zelf een overtreding, en de verantwoordelijkheid ligt bij de organisatie, niet bij de leverancier.