GovCompass
Kennisbank
ReferenceSafety & reliability

Art. 26.5, monitoring: houd de werking van je AI in de gaten

Door Michel Venniker· · Afgestemd op de geconsolideerde EU AI Act, inclusief de Omnibus-wijzigingen van 2026.

Art. 26.5 verplicht deployers van hoog-risico AI om de werking van het systeem te monitoren aan de hand van de provider-instructies en om risico's en ernstige incidenten te melden. Monitoring is het vroegsignaleringsmechanisme dat aansluit op de incidentmelding van Art. 73.

Bijgewerkt: juni 2026

Inleiding: monitoring als continue compliance-plicht

Hoog-risico AI-systemen zijn geen statische tools, ze opereren in dynamische omgevingen, verwerken steeds nieuwe data en produceren beslissingen met reële gevolgen voor mensen. Art. 26.5 EU AI Act erkent dit door deployers te verplichten het systeem actief te monitoren in de operationele context. Compliance is niet afgerond bij ingebruikname; het is een doorlopende verantwoordelijkheid.

Art. 26.5 verplicht deployers om: (1) de werking van het AI-systeem te monitoren op basis van de gebruiksinstructies, (2) afwijkingen van de verwachte prestaties te signaleren, en (3) relevante bevindingen te melden aan de providerproviderThe actor who develops an AI system (or has it developed) and places it on the market or into service under its own name — carrying manufacturer-style duties: design controls, documentation, conformity.Open full entry → en, bij risico's voor derden, aan de bevoegde autoriteit.

Juridische context: Art. 26.5 en Art. 72

Art. 26.5 is de deployerdeployerAn organization using an AI system under its own authority in its activities — carrying operator duties: use per instructions, oversight, input relevance, monitoring, notices.Open full entry →-pendant van Art. 72, dat providers verplicht tot post-market monitoringpost-market monitoringProvider-side duty to systematically collect and act on experience from systems in use — the product-regulation half of continuous monitoring.Open full entry → van hun systemen. Providers moeten een post-market monitoring plan opstellen; deployers moeten actief bijdragen aan de informatieverzameling in hun specifieke context.

Overweging 93 stelt dat deployers in een unieke positie zijn: zij kennen de operationele context, de eindgebruikers en de specifieke populatie waarop het systeem wordt ingezet. Afwijkingen die in de productieomgeving optreden, zijn voor de provider vaak onzichtbaar zonder feedback van de deployer. Art. 26.5 formuleert deze informatieplicht juridisch.

Wat moet gemonitord worden?

De gebruiksinstructies van de provider moeten specificeren welke prestatieparameters relevant zijn voor dit systeem. In het algemeen omvat monitoring bij hoog-risico AI:

Prestatiemonitoring:

  • Nauwkeurigheid van voorspellingen of classificaties over tijd
  • Vertrouwensscores en de distributie ervan
  • Foutpercentages (false positives / false negatives) per subgroep
  • Responsetijden en systeembeschikbaarheid

FairnessfairnessThe responsible-AI principle that systems should not create or reinforce unjust discrimination; operationalised through bias testing, representative data and per-group thresholds — with multiple, mutually incompatible mathematical definitions.Open full entry →-monitoring:

  • Vergelijkende analyse van uitkomsten per demografische groep (geslacht, leeftijd, etniciteit)
  • Detectie van disproportionele impact op kwetsbare groepen
  • Trend-analyse: verslechtert de fairness over tijd?

Driftmonitoring:

  • Concept driftconcept driftA change in the real-world relationship between inputs and outcomes (fraud patterns evolve), as opposed to data drift, where the inputs themselves change.Open full entry →: verandert de relatie tussen inputvariabelen en het te voorspellen fenomeen?
  • Data drift: wijzigt de verdeling van inputdata significant ten opzichte van de trainingsdata?
  • Distributieverschuivingen die op modelveroudering kunnen duiden

Monitoringfrequentie en -methode

De provider-instructies bepalen de minimale monitoringfrequentie. Aanvullend geldt als uitgangspunt: hoe groter de impact van individuele AI-beslissingen, hoe hogere de monitoringfrequentie. Een hoog-risico systeem dat dagelijks honderden kredietbeslissingen neemt, vraagt om dagelijkse of wekelijkse monitoring. Een systeem dat maandelijks enkele beoordelingen uitvoert, kan volstaan met maandelijkse reviews.

Praktische monitoringmethoden:

  • Geautomatiseerde dashboards die real-time KPIs tonen (aanbevolen voor hoge-volume systemen)
  • Steekproefgewijze handmatige review van AI-beslissingen door een onafhankelijke medewerker
  • Vergelijkende analyse van AI-beslissingen versus handmatige beslissingen in parallelle cases
  • Klachtenanalyse: signaleren betrokkenen disproportioneel nadeel van AI-beslissingen?

Wanneer moet u de provider informeren?

Art. 26.5 verplicht deployers om afwijkingen aan de provider te melden. De gebruiksinstructies moeten beschrijven wat als "afwijking" geldt. Algemene meldingsdrempels zijn:

  • Prestatiemetrieken die buiten de door de provider gespecificeerde bandbreedte vallen
  • Systematische fouten die een bepaalde subgroep disproportioneel treffen
  • Onverwacht systeemgedrag dat niet door de provider was voorzien
  • Gevallen waarbij het systeem beslissingen produceert die aantoonbaar onjuist zijn

Naast de provider moet de deployer bij ernstige incidents ook de nationale toezichthouder informeren conform Art. 73 EU AI Act.

Deployer-specifieke implicaties

Monitoring-verantwoordelijkheid bij meerdere deployers: Als een hoog-risico AI-systeem door meerdere deployers wordt ingezet (bijv. een cloudplatform), draagt elke deployer een eigen monitoringverplichting voor zijn specifieke toepassingsomgeving. U kunt niet verwijzen naar monitoring door andere deployers.

Koppeling aan logretentie (Art. 26.6): Monitoring is alleen zinvol als de logs beschikbaar zijn voor analyse. Zorg dat uw monitoring-setup gebruik maakt van de logs die het systeem genereert (Art. 12) en die u conform Art. 26.6 bewaart.

Documentatie voor de toezichthouder: Leg uw monitoringresultaten vast: datum van review, gemeten metrieken, vergelijking met normen, geconstateerde afwijkingen, acties ondernomen. Dit is uw bewijs van due diligence bij een incident.

Handhaving en sancties

Niet-naleving van Art. 26.5 valt onder Art. 99.4: boetes tot €15.000.000 of 3% van de wereldwijde jaaromzet. Bij incidenten waarbij inadequate monitoring een rol speelde, is de deployer primair aansprakelijk.

Veelgestelde vragen

V: Onze provider levert geen monitoringtools. Moeten wij die zelf bouwen?
A: De provider is verplicht om de technische middelen voor monitoring te leveren (Art. 13.3, Art. 72). Als die ontbreken, kunt u de provider contractueel aanspreken. Intussen kunt u zelf basic monitoring opzetten via steekproefsgewijze handmatige review en klachtenanalyse, dit is niet ideaal maar beter dan geen monitoring.

V: Hoe detecteer ik concept drift als ik geen toegang heb tot de modelinternals?
A: Concept drift is detecteerbaar via output-analyse: monitort u of de uitkomstdistributie van het model over tijd significant verandert zonder dat de inputpopulatie verandert. Een plotselinge stijging van positieve scores bij een kredietmodel zonder duidelijke populatiewijziging kan duiden op drift. Meld dit aan de provider.

Checklist: Art. 26.5 compliance

  1. Beschikt u voor elk hoog-risico AI-systeem over een schriftelijk monitoringplan met frequentie en metrieken?
  2. Worden prestatiemetrieken periodiek vergeleken met de door de provider gespecificeerde normen?
  3. Worden fairness-metrieken gemonitord (uitkomsten per demografische subgroep)?
  4. Is er een procedure voor het melden van afwijkingen aan de provider?
  5. Worden monitoringresultaten en -acties gedocumenteerd?
  6. Is er een drempel gedefinieerd waarboven een bevinding als "incident" wordt gekwalificeerd (Art. 73)?
  7. Wordt klachtdata van betrokkenen systematisch geanalyseerd als monitoring-input?
WetsverwijzingenArt. 26

Meer over Safety & reliability

Art. 14 EU AI Act: hoog-risico AI ontwerpen voor menselijk toezicht

Reference

Art. 14 vereist dat providers hoog-risico AI-systemen zo ontwerpen en bouwen dat ze tijdens gebruik effectief door mensen kunnen worden overzien. Het systeem moet een toezichthouder in staat stellen de mogelijkheden en grenzen te begrijpen, op afwijkingen te letten, automation bias te weerstaan, outputs juist te interpreteren, te besluiten het systeem niet te gebruiken, en in te grijpen of het te stoppen via een noodstop (Art. 14(4)(e)). Het is de ontwerpverplichting die de deployer-toezichtsplicht van Art. 26.2 mogelijk maakt.

Art. 26.4, input-data: zorg voor relevante en representatieve data

Reference

Art. 26.4 verplicht deployers van hoog-risico AI om te borgen dat de inputdata relevant en voldoende representatief is voor het beoogde doel van het systeem. De deployer is verantwoordelijk voor de datakwaliteit in gebruik, ook al stelt de provider de specificaties vast onder Art. 10.

Art. 5, verboden AI-praktijken

Reference

Art. 5 somt de acht verboden AI-praktijken op, waaronder subliminale manipulatie, exploitatie van kwetsbare groepen, social scoring en het ongericht scrapen van gezichtsopnamen. Deze verboden zijn absoluut, gelden voor elke organisatie ongeacht grootte, en zijn van kracht sinds 2 februari 2025.

Art. 6, classificatie: is jouw AI-systeem hoog-risico?

Reference

Art. 6 bepaalt hoe een hoog-risico AI-systeem wordt geclassificeerd: een systeem is hoog-risico als het een veiligheidscomponent is van een product onder Bijlage I, of binnen een van de Bijlage III-toepassingen valt. Onjuiste classificatie is zelf een overtreding, en de verantwoordelijkheid ligt bij de organisatie, niet bij de leverancier.