EU AI Act

Onder de EU AI Act ontwikkelt een provider een AI-systeem of brengt het onder eigen naam op de markt; een deployer gebruikt een AI-systeem onder zijn gezag in een professionele context. De rollen dragen heel verschillende verplichtingen: providers dragen de zware technische plichten (Art. 9-15, 19, 43, 48, 49, 72), terwijl deployers een lichtere operationele set dragen (Art. 26, 27). Dezelfde organisatie kan beide tegelijk zijn, en je rol per systeem bepalen is de eerste compliance-stap.

Art. 26.1 EU AI Act verplicht deployers om hoog-risico AI-systemen uitsluitend in te zetten conform de gebruiksinstructies van de provider. De verplichting omvat drie componenten: het beschikken over de instructies (conform Art. 13.3), het actief naleven ervan, en het documenteren van dat naleven. Inzet buiten de instructies kan de aansprakelijkheid volledig naar de deployer verschuiven.

Art. 26.2 EU AI Act verplicht deployers om het menselijk toezicht te implementeren dat de provider heeft voorzien (Art. 14). Het toezicht is alleen geldig als de toezichthouder voldoende AI-geletterd is (Art. 4), de bevoegdheid heeft om de AI-output te overrulen, en niet zo overbelast is dat de beoordeling louter routinematig wordt. Formeel toezicht zonder inhoudelijke beoordeling voldoet niet.

Art. 4 verplicht organisaties sinds 2 februari 2025 om te zorgen voor een voldoende niveau van AI-geletterdheid bij medewerkers die AI-systemen bedienen of gebruiken, in verhouding tot het systeem en de rol. De verplichting geldt voor alle AI-inzet, niet alleen hoog-risico, en moet aantoonbaar zijn.

De AI Officer is de organisatiebrede regisseur van verantwoord AI-gebruik, breder dan een compliance-rol: de functie omvat AI-strategie, ethiek, risico en geletterdheid. De EU AI Act (Art. 26) maakt de coördinerende functie noodzakelijk, maar de behoefte aan een AI Officer reikt verder dan de wet zelf.

Voor het mkb is EU AI Act-compliance hanteerbaar maar niet optioneel: de Art. 5-verboden en Art. 4-geletterdheid gelden ongeacht grootte, en mkb-deployers van hoog-risico AI dragen de volledige Art. 26-verplichtingen in proportionele vorm. Micro-ondernemingen krijgen administratieve vereenvoudigingen, geen vrijstellingen.

Een AI-beleid vertaalt de Art. 26-verplichtingen van de EU AI Act naar een werkbaar intern kader. Een EU AI Act-conform beleid bevat ten minste de scope, het Art. 5-verbod, de governance-rollen, het classificatieproces, menselijk toezicht, monitoring en logretentie, transparantie en incidentrespons.

De EU AI Act-verplichtingen per afdeling hangen af van de risicoklasse van het AI-systeem. HR-selectie en kredietscoring zijn hoog-risico (Bijlage III) met de volledige Art. 26-verplichtingen; marketing-AI en chatbots vallen meestal onder de transparantieverplichting van Art. 50. Per systeem bepaalt een Art. 6-analyse de exacte verplichting.

De eerste stappen naar EU AI Act-compliance voor deployers zijn: stel een AI-inventaris op, classificeer elk systeem aan de hand van Art. 6, vraag de provider-documentatie op, start AI-geletterdheidstraining onder Art. 4, en beleg eigenaarschap. Deze stappen leggen de basis voor de Art. 26-verplichtingen.

De EU AI Act treedt gefaseerd in werking tussen 2025 en 2028: de Art. 5-verboden en Art. 4 AI-geletterdheid golden vanaf 2 februari 2025, de Art. 50-transparantieverplichtingen vanaf 2 augustus 2026, en de volledige hoog-risico verplichtingen voor Bijlage III-systemen vanaf 2 december 2027 na de Omnibus-wijzigingen.

Micro-ondernemingen (minder dan 10 medewerkers en maximaal €2 miljoen omzet) hebben onder de EU AI Act recht op vereenvoudigde provider-verplichtingen, zoals beknopte technische documentatie (Art. 11.3) en een proportioneel kwaliteitsbeleid (Art. 17.3). De materiële verplichtingen, zoals het Art. 5-verbod, menselijk toezicht en incidentmelding, blijven onverkort gelden.

Art. 5 somt de acht verboden AI-praktijken op, waaronder subliminale manipulatie, exploitatie van kwetsbare groepen, social scoring en het ongericht scrapen van gezichtsopnamen. Deze verboden zijn absoluut, gelden voor elke organisatie ongeacht grootte, en zijn van kracht sinds 2 februari 2025.

Voor het mkb is EU AI Act-compliance hanteerbaar maar niet optioneel: de Art. 5-verboden en Art. 4-geletterdheid gelden ongeacht grootte, en mkb-deployers van hoog-risico AI dragen de volledige Art. 26-verplichtingen in proportionele vorm. Micro-ondernemingen krijgen administratieve vereenvoudigingen, geen vrijstellingen.

Een AI-beleid vertaalt de Art. 26-verplichtingen van de EU AI Act naar een werkbaar intern kader. Een EU AI Act-conform beleid bevat ten minste de scope, het Art. 5-verbod, de governance-rollen, het classificatieproces, menselijk toezicht, monitoring en logretentie, transparantie en incidentrespons.

De EU AI Act-verplichtingen per afdeling hangen af van de risicoklasse van het AI-systeem. HR-selectie en kredietscoring zijn hoog-risico (Bijlage III) met de volledige Art. 26-verplichtingen; marketing-AI en chatbots vallen meestal onder de transparantieverplichting van Art. 50. Per systeem bepaalt een Art. 6-analyse de exacte verplichting.

De EU AI Act treedt gefaseerd in werking tussen 2025 en 2028: de Art. 5-verboden en Art. 4 AI-geletterdheid golden vanaf 2 februari 2025, de Art. 50-transparantieverplichtingen vanaf 2 augustus 2026, en de volledige hoog-risico verplichtingen voor Bijlage III-systemen vanaf 2 december 2027 na de Omnibus-wijzigingen.

Of een AI-systeem hoog-risico is, hangt af van Art. 6: het is hoog-risico als het een veiligheidscomponent onder Bijlage I is of binnen een Bijlage III-toepassing valt (zoals werkgelegenheid, krediet of essentiële diensten). De uitzondering van Art. 6.3 kan gelden wanneer het systeem slechts een beperkte, niet-doorslaggevende taak vervult.

Micro-ondernemingen (minder dan 10 medewerkers en maximaal €2 miljoen omzet) hebben onder de EU AI Act recht op vereenvoudigde provider-verplichtingen, zoals beknopte technische documentatie (Art. 11.3) en een proportioneel kwaliteitsbeleid (Art. 17.3). De materiële verplichtingen, zoals het Art. 5-verbod, menselijk toezicht en incidentmelding, blijven onverkort gelden.

Art. 6 bepaalt hoe een hoog-risico AI-systeem wordt geclassificeerd: een systeem is hoog-risico als het een veiligheidscomponent is van een product onder Bijlage I, of binnen een van de Bijlage III-toepassingen valt. Onjuiste classificatie is zelf een overtreding, en de verantwoordelijkheid ligt bij de organisatie, niet bij de leverancier.

Data governance vraagt of je de data kunt vertrouwen. AI governance vraagt of je de beslissing kunt vertrouwen. Agentische governance stelt een derde vraag die geen van beide is ontworpen te beantwoorden: kun je beheersen wat het systeem doet? Agentic AI is het achtste GovCompass-element. Het bindt de andere zeven onder de condities die autonomie schept, want een AI-systeem dat namens jou handelt moet alle zeven elementen continu waarborgen, over meerstaps- en multi-agent-ketens, zonder menselijk controlepunt tussen elke stap.

Onder de EU AI Act splitst het opdelen van een autonome workflow over meerdere agents de regulatoire classificatie niet. De draft guidelines van de Commissie over high-risk classificatie, gepubliceerd in mei 2026, stellen dat een complex systeem opgebouwd uit meerdere AI-componenten, inclusief een agentische stack van orchestrators en sub-agents, als geheel wordt beoordeeld. Een orchestrator die sub-agents aanstuurt richting een high-risk beslissing is één high-risk systeem, en het volle gewicht van de high-risk verplichtingen van de Act hecht zich aan de stack, niet aan de onderdelen.

Een AI-beleid vertaalt de Art. 26-verplichtingen van de EU AI Act naar een werkbaar intern kader. Een EU AI Act-conform beleid bevat ten minste de scope, het Art. 5-verbod, de governance-rollen, het classificatieproces, menselijk toezicht, monitoring en logretentie, transparantie en incidentrespons.

De EU AI Act-verplichtingen per afdeling hangen af van de risicoklasse van het AI-systeem. HR-selectie en kredietscoring zijn hoog-risico (Bijlage III) met de volledige Art. 26-verplichtingen; marketing-AI en chatbots vallen meestal onder de transparantieverplichting van Art. 50. Per systeem bepaalt een Art. 6-analyse de exacte verplichting.

De eerste stappen naar EU AI Act-compliance voor deployers zijn: stel een AI-inventaris op, classificeer elk systeem aan de hand van Art. 6, vraag de provider-documentatie op, start AI-geletterdheidstraining onder Art. 4, en beleg eigenaarschap. Deze stappen leggen de basis voor de Art. 26-verplichtingen.

Of een AI-systeem hoog-risico is, hangt af van Art. 6: het is hoog-risico als het een veiligheidscomponent onder Bijlage I is of binnen een Bijlage III-toepassing valt (zoals werkgelegenheid, krediet of essentiële diensten). De uitzondering van Art. 6.3 kan gelden wanneer het systeem slechts een beperkte, niet-doorslaggevende taak vervult.

Art. 10 vereist dat de trainings-, validatie- en testdata voor hoog-risico AI-systemen voldoet aan kwaliteitscriteria: relevant, voldoende representatief, en zo foutloos en volledig mogelijk voor het beoogde doel. Het vereist ook gedocumenteerde datagovernance over verzameling, voorbereiding, bias-onderzoek en het mitigeren van lacunes, en het staat de beperkte verwerking van bijzondere persoonsgegevens toe waar strikt noodzakelijk om bias te detecteren en corrigeren, onder waarborgen.

Art. 9 verplicht providers van hoog-risico AI-systemen om een risicobeheerssysteem op te zetten, te documenteren en te onderhouden dat de gehele levenscyclus bestrijkt. Het is een doorlopend, iteratief proces: identificeer de bekende en voorzienbare risico's, schat ze in en evalueer ze, en tref gerichte mitigerende maatregelen, terwijl je de cyclus bijwerkt naarmate het systeem en de omgeving veranderen. Het is geen eenmalige beoordeling vóór de inzet.

Compliance op control-niveau betekent voldoen aan de EU AI Act via ingebouwde, bewezen controls in plaats van beleidsdocumenten. De technische artikelen vertalen direct naar systeem-controls: onveranderlijke logs (Art. 12, 19), een noodstop (Art. 14(4)(e)), datamaskering vóór het model (Art. 10), configureerbare blokkeerbeleid (Art. 26), risicoscoring en incidentmelding binnen de termijn (Art. 9, 73), en workspace-isolatie met rolgebaseerde toegang (Art. 14, 26). Compliance op dit niveau is een geïnstrumenteerd systeem, geen beleid als PDF.

Onder de EU AI Act splitst het opdelen van een autonome workflow over meerdere agents de regulatoire classificatie niet. De draft guidelines van de Commissie over high-risk classificatie, gepubliceerd in mei 2026, stellen dat een complex systeem opgebouwd uit meerdere AI-componenten, inclusief een agentische stack van orchestrators en sub-agents, als geheel wordt beoordeeld. Een orchestrator die sub-agents aanstuurt richting een high-risk beslissing is één high-risk systeem, en het volle gewicht van de high-risk verplichtingen van de Act hecht zich aan de stack, niet aan de onderdelen.

Een mkb-bedrijf dat zelf een hoog-risico AI-systeem ontwikkelt, draagt de volledige provider-verplichtingen van Art. 8-17 EU AI Act: risicobeheer (Art. 9), datakwaliteit (Art. 10), technische documentatie (Art. 11), logging (Art. 12), transparantie (Art. 13), menselijk toezicht (Art. 14), nauwkeurigheid (Art. 15) en een kwaliteitsmanagementsysteem (Art. 17). Micro-ondernemingen mogen een vereenvoudigd formaat gebruiken.

Art. 10 vereist dat de trainings-, validatie- en testdata voor hoog-risico AI-systemen voldoet aan kwaliteitscriteria: relevant, voldoende representatief, en zo foutloos en volledig mogelijk voor het beoogde doel. Het vereist ook gedocumenteerde datagovernance over verzameling, voorbereiding, bias-onderzoek en het mitigeren van lacunes, en het staat de beperkte verwerking van bijzondere persoonsgegevens toe waar strikt noodzakelijk om bias te detecteren en corrigeren, onder waarborgen.

Art. 9 verplicht providers van hoog-risico AI-systemen om een risicobeheerssysteem op te zetten, te documenteren en te onderhouden dat de gehele levenscyclus bestrijkt. Het is een doorlopend, iteratief proces: identificeer de bekende en voorzienbare risico's, schat ze in en evalueer ze, en tref gerichte mitigerende maatregelen, terwijl je de cyclus bijwerkt naarmate het systeem en de omgeving veranderen. Het is geen eenmalige beoordeling vóór de inzet.

Compliance op control-niveau betekent voldoen aan de EU AI Act via ingebouwde, bewezen controls in plaats van beleidsdocumenten. De technische artikelen vertalen direct naar systeem-controls: onveranderlijke logs (Art. 12, 19), een noodstop (Art. 14(4)(e)), datamaskering vóór het model (Art. 10), configureerbare blokkeerbeleid (Art. 26), risicoscoring en incidentmelding binnen de termijn (Art. 9, 73), en workspace-isolatie met rolgebaseerde toegang (Art. 14, 26). Compliance op dit niveau is een geïnstrumenteerd systeem, geen beleid als PDF.

Een mkb-bedrijf dat zelf een hoog-risico AI-systeem ontwikkelt, draagt de volledige provider-verplichtingen van Art. 8-17 EU AI Act: risicobeheer (Art. 9), datakwaliteit (Art. 10), technische documentatie (Art. 11), logging (Art. 12), transparantie (Art. 13), menselijk toezicht (Art. 14), nauwkeurigheid (Art. 15) en een kwaliteitsmanagementsysteem (Art. 17). Micro-ondernemingen mogen een vereenvoudigd formaat gebruiken.

Onder de EU AI Act splitst het opdelen van een autonome workflow over meerdere agents de regulatoire classificatie niet. De draft guidelines van de Commissie over high-risk classificatie, gepubliceerd in mei 2026, stellen dat een complex systeem opgebouwd uit meerdere AI-componenten, inclusief een agentische stack van orchestrators en sub-agents, als geheel wordt beoordeeld. Een orchestrator die sub-agents aanstuurt richting een high-risk beslissing is één high-risk systeem, en het volle gewicht van de high-risk verplichtingen van de Act hecht zich aan de stack, niet aan de onderdelen.

Een mkb-bedrijf dat zelf een hoog-risico AI-systeem ontwikkelt, draagt de volledige provider-verplichtingen van Art. 8-17 EU AI Act: risicobeheer (Art. 9), datakwaliteit (Art. 10), technische documentatie (Art. 11), logging (Art. 12), transparantie (Art. 13), menselijk toezicht (Art. 14), nauwkeurigheid (Art. 15) en een kwaliteitsmanagementsysteem (Art. 17). Micro-ondernemingen mogen een vereenvoudigd formaat gebruiken.

Micro-ondernemingen (minder dan 10 medewerkers en maximaal €2 miljoen omzet) hebben onder de EU AI Act recht op vereenvoudigde provider-verplichtingen, zoals beknopte technische documentatie (Art. 11.3) en een proportioneel kwaliteitsbeleid (Art. 17.3). De materiële verplichtingen, zoals het Art. 5-verbod, menselijk toezicht en incidentmelding, blijven onverkort gelden.

Art. 12 vereist dat hoog-risico AI-systemen technisch de automatische registratie van gebeurtenissen (logs) over hun levensduur mogelijk maken. De logging moet de traceerbaarheid van het functioneren van het systeem mogelijk maken op een niveau passend bij het beoogde doel, post-market monitoring ondersteunen, en helpen situaties te identificeren die tot risico of een substantiële wijziging kunnen leiden. Het is een ontwerpverplichting voor de provider die het systeem door constructie auditeerbaar maakt.

Art. 19 verplicht providers van hoog-risico AI-systemen om de logs die het systeem automatisch genereert (onder Art. 12) te bewaren zolang ze die onder controle hebben, voor een periode passend bij het beoogde doel en minimaal zes maanden, tenzij andere wetgeving een langere termijn vereist. Het is de bewaar-tegenhanger van de Art. 12-logging-capaciteit, en werkt naast de deployer-bewaarplicht in Art. 26.6.

Compliance op control-niveau betekent voldoen aan de EU AI Act via ingebouwde, bewezen controls in plaats van beleidsdocumenten. De technische artikelen vertalen direct naar systeem-controls: onveranderlijke logs (Art. 12, 19), een noodstop (Art. 14(4)(e)), datamaskering vóór het model (Art. 10), configureerbare blokkeerbeleid (Art. 26), risicoscoring en incidentmelding binnen de termijn (Art. 9, 73), en workspace-isolatie met rolgebaseerde toegang (Art. 14, 26). Compliance op dit niveau is een geïnstrumenteerd systeem, geen beleid als PDF.

Een audit trail voor EU AI Act-compliance is het gestructureerde, bewaarde dossier, de combinatie van de systeemlogs (Art. 12) en de eigen toezicht- en monitoringdocumentatie van de deployer, waarmee u aan een toezichthouder kunt aantonen dat een hoog-risico AI-systeem rechtmatig is ingezet.

Art. 14 vereist dat providers hoog-risico AI-systemen zo ontwerpen en bouwen dat ze tijdens gebruik effectief door mensen kunnen worden overzien. Het systeem moet een toezichthouder in staat stellen de mogelijkheden en grenzen te begrijpen, op afwijkingen te letten, automation bias te weerstaan, outputs juist te interpreteren, te besluiten het systeem niet te gebruiken, en in te grijpen of het te stoppen via een noodstop (Art. 14(4)(e)). Het is de ontwerpverplichting die de deployer-toezichtsplicht van Art. 26.2 mogelijk maakt.

Art. 26.1 EU AI Act verplicht deployers om hoog-risico AI-systemen uitsluitend in te zetten conform de gebruiksinstructies van de provider. De verplichting omvat drie componenten: het beschikken over de instructies (conform Art. 13.3), het actief naleven ervan, en het documenteren van dat naleven. Inzet buiten de instructies kan de aansprakelijkheid volledig naar de deployer verschuiven.

Een leveranciers-checklist voor AI-inkoop verifieert wat een provider moet leveren voordat u als deployer kunt voldoen: de gebruiksinstructies (Art. 13.3), de conformiteitsverklaring, de risicoclassificatie, de notificatie bij updates, en medewerking bij een toezichtsonderzoek.

Art. 14 vereist dat providers hoog-risico AI-systemen zo ontwerpen en bouwen dat ze tijdens gebruik effectief door mensen kunnen worden overzien. Het systeem moet een toezichthouder in staat stellen de mogelijkheden en grenzen te begrijpen, op afwijkingen te letten, automation bias te weerstaan, outputs juist te interpreteren, te besluiten het systeem niet te gebruiken, en in te grijpen of het te stoppen via een noodstop (Art. 14(4)(e)). Het is de ontwerpverplichting die de deployer-toezichtsplicht van Art. 26.2 mogelijk maakt.

Art. 26.2 EU AI Act verplicht deployers om het menselijk toezicht te implementeren dat de provider heeft voorzien (Art. 14). Het toezicht is alleen geldig als de toezichthouder voldoende AI-geletterd is (Art. 4), de bevoegdheid heeft om de AI-output te overrulen, en niet zo overbelast is dat de beoordeling louter routinematig wordt. Formeel toezicht zonder inhoudelijke beoordeling voldoet niet.

Data governance vraagt of je de data kunt vertrouwen. AI governance vraagt of je de beslissing kunt vertrouwen. Agentische governance stelt een derde vraag die geen van beide is ontworpen te beantwoorden: kun je beheersen wat het systeem doet? Agentic AI is het achtste GovCompass-element. Het bindt de andere zeven onder de condities die autonomie schept, want een AI-systeem dat namens jou handelt moet alle zeven elementen continu waarborgen, over meerstaps- en multi-agent-ketens, zonder menselijk controlepunt tussen elke stap.

Compliance op control-niveau betekent voldoen aan de EU AI Act via ingebouwde, bewezen controls in plaats van beleidsdocumenten. De technische artikelen vertalen direct naar systeem-controls: onveranderlijke logs (Art. 12, 19), een noodstop (Art. 14(4)(e)), datamaskering vóór het model (Art. 10), configureerbare blokkeerbeleid (Art. 26), risicoscoring en incidentmelding binnen de termijn (Art. 9, 73), en workspace-isolatie met rolgebaseerde toegang (Art. 14, 26). Compliance op dit niveau is een geïnstrumenteerd systeem, geen beleid als PDF.

De veiligste manier om een agent in te zetten is om het de minste autonomie te geven die het zijn werk laat doen, en die autonomie pas te verbreden naarmate bewijs van betrouwbaar gedrag zich opbouwt. Progressieve autonomie is voor agentische governance wat de drie controlelagen zijn voor de rest van de GovCompass-7: de operationele discipline die een principe in een praktijk verandert. Dit artikel zet een volwassenheidsmodel uiteen voor agent-inzet langs drie dimensies, beslissingsbevoegdheid, procesautonomie, en verantwoordelijkheidsreikwijdte, en de controls die op elk niveau aanwezig moeten zijn.

Een mkb-bedrijf dat zelf een hoog-risico AI-systeem ontwikkelt, draagt de volledige provider-verplichtingen van Art. 8-17 EU AI Act: risicobeheer (Art. 9), datakwaliteit (Art. 10), technische documentatie (Art. 11), logging (Art. 12), transparantie (Art. 13), menselijk toezicht (Art. 14), nauwkeurigheid (Art. 15) en een kwaliteitsmanagementsysteem (Art. 17). Micro-ondernemingen mogen een vereenvoudigd formaat gebruiken.

Art. 9 verplicht providers van hoog-risico AI-systemen om een risicobeheerssysteem op te zetten, te documenteren en te onderhouden dat de gehele levenscyclus bestrijkt. Het is een doorlopend, iteratief proces: identificeer de bekende en voorzienbare risico's, schat ze in en evalueer ze, en tref gerichte mitigerende maatregelen, terwijl je de cyclus bijwerkt naarmate het systeem en de omgeving veranderen. Het is geen eenmalige beoordeling vóór de inzet.

De OWASP Agentic Security Initiative Top 10 catalogiseert de beveiligingsrisico's die autonome AI introduceert. Het is geschreven voor security engineers, maar de risico's zijn governance-problemen, omdat ze beschrijven wat een agent kan worden gemaakt te doen in plaats van wat het kan worden gemaakt te zeggen. Dit artikel vertaalt het agentische aanvalsoppervlak naar de taal van controls die een AI Officer bezit, en mapt elk risico op het GovCompass-element dat het onder druk zet.

Onder de EU AI Act ontwikkelt een provider een AI-systeem of brengt het onder eigen naam op de markt; een deployer gebruikt een AI-systeem onder zijn gezag in een professionele context. De rollen dragen heel verschillende verplichtingen: providers dragen de zware technische plichten (Art. 9-15, 19, 43, 48, 49, 72), terwijl deployers een lichtere operationele set dragen (Art. 26, 27). Dezelfde organisatie kan beide tegelijk zijn, en je rol per systeem bepalen is de eerste compliance-stap.

Een mkb-bedrijf dat zelf een hoog-risico AI-systeem ontwikkelt, draagt de volledige provider-verplichtingen van Art. 8-17 EU AI Act: risicobeheer (Art. 9), datakwaliteit (Art. 10), technische documentatie (Art. 11), logging (Art. 12), transparantie (Art. 13), menselijk toezicht (Art. 14), nauwkeurigheid (Art. 15) en een kwaliteitsmanagementsysteem (Art. 17). Micro-ondernemingen mogen een vereenvoudigd formaat gebruiken.

Micro-ondernemingen (minder dan 10 medewerkers en maximaal €2 miljoen omzet) hebben onder de EU AI Act recht op vereenvoudigde provider-verplichtingen, zoals beknopte technische documentatie (Art. 11.3) en een proportioneel kwaliteitsbeleid (Art. 17.3). De materiële verplichtingen, zoals het Art. 5-verbod, menselijk toezicht en incidentmelding, blijven onverkort gelden.

Art. 12 vereist dat hoog-risico AI-systemen technisch de automatische registratie van gebeurtenissen (logs) over hun levensduur mogelijk maken. De logging moet de traceerbaarheid van het functioneren van het systeem mogelijk maken op een niveau passend bij het beoogde doel, post-market monitoring ondersteunen, en helpen situaties te identificeren die tot risico of een substantiële wijziging kunnen leiden. Het is een ontwerpverplichting voor de provider die het systeem door constructie auditeerbaar maakt.

Art. 19 verplicht providers van hoog-risico AI-systemen om de logs die het systeem automatisch genereert (onder Art. 12) te bewaren zolang ze die onder controle hebben, voor een periode passend bij het beoogde doel en minimaal zes maanden, tenzij andere wetgeving een langere termijn vereist. Het is de bewaar-tegenhanger van de Art. 12-logging-capaciteit, en werkt naast de deployer-bewaarplicht in Art. 26.6.

Compliance op control-niveau betekent voldoen aan de EU AI Act via ingebouwde, bewezen controls in plaats van beleidsdocumenten. De technische artikelen vertalen direct naar systeem-controls: onveranderlijke logs (Art. 12, 19), een noodstop (Art. 14(4)(e)), datamaskering vóór het model (Art. 10), configureerbare blokkeerbeleid (Art. 26), risicoscoring en incidentmelding binnen de termijn (Art. 9, 73), en workspace-isolatie met rolgebaseerde toegang (Art. 14, 26). Compliance op dit niveau is een geïnstrumenteerd systeem, geen beleid als PDF.

De EU AI Act wijst verplichtingen toe vanuit de aanname dat de aanbieder die een systeem bouwt en de gebruiksverantwoordelijke die het gebruikt onderscheiden, stabiele rollen zijn. Agentic AI destabiliseert die aanname. Een gebruiksverantwoordelijke die een agent configureert met brede tool-rechten, autonome beslissingsruimte, of de mogelijkheid om sub-agents aan te maken, kan wijzigingen aanbrengen die substantieel genoeg zijn om aanbieder-niveau verplichtingen te dragen. Onder autonomie kan de vraag wie aanspreekbaar is niet uit het contract worden afgelezen. Die moet worden beoordeeld tegen wat de gebruiksverantwoordelijke de agent feitelijk heeft laten doen.

Onder de EU AI Act ontwikkelt een provider een AI-systeem of brengt het onder eigen naam op de markt; een deployer gebruikt een AI-systeem onder zijn gezag in een professionele context. De rollen dragen heel verschillende verplichtingen: providers dragen de zware technische plichten (Art. 9-15, 19, 43, 48, 49, 72), terwijl deployers een lichtere operationele set dragen (Art. 26, 27). Dezelfde organisatie kan beide tegelijk zijn, en je rol per systeem bepalen is de eerste compliance-stap.

Wie een GPAI-model (zoals GPT-4, Claude of Gemini) via een API integreert, is doorgaans provider van de eigen toepassing én deployer van het GPAI-model. De sleutelvraag is of de toepassing zelf hoog-risico is (Bijlage III): zo ja, gelden de provider-verplichtingen (Art. 8-15) plus de deployer-plichten van Art. 26.

Art. 12 vereist dat hoog-risico AI-systemen technisch de automatische registratie van gebeurtenissen (logs) over hun levensduur mogelijk maken. De logging moet de traceerbaarheid van het functioneren van het systeem mogelijk maken op een niveau passend bij het beoogde doel, post-market monitoring ondersteunen, en helpen situaties te identificeren die tot risico of een substantiële wijziging kunnen leiden. Het is een ontwerpverplichting voor de provider die het systeem door constructie auditeerbaar maakt.

Art. 14 vereist dat providers hoog-risico AI-systemen zo ontwerpen en bouwen dat ze tijdens gebruik effectief door mensen kunnen worden overzien. Het systeem moet een toezichthouder in staat stellen de mogelijkheden en grenzen te begrijpen, op afwijkingen te letten, automation bias te weerstaan, outputs juist te interpreteren, te besluiten het systeem niet te gebruiken, en in te grijpen of het te stoppen via een noodstop (Art. 14(4)(e)). Het is de ontwerpverplichting die de deployer-toezichtsplicht van Art. 26.2 mogelijk maakt.

Art. 19 verplicht providers van hoog-risico AI-systemen om de logs die het systeem automatisch genereert (onder Art. 12) te bewaren zolang ze die onder controle hebben, voor een periode passend bij het beoogde doel en minimaal zes maanden, tenzij andere wetgeving een langere termijn vereist. Het is de bewaar-tegenhanger van de Art. 12-logging-capaciteit, en werkt naast de deployer-bewaarplicht in Art. 26.6.

Art. 26.1 EU AI Act verplicht deployers om hoog-risico AI-systemen uitsluitend in te zetten conform de gebruiksinstructies van de provider. De verplichting omvat drie componenten: het beschikken over de instructies (conform Art. 13.3), het actief naleven ervan, en het documenteren van dat naleven. Inzet buiten de instructies kan de aansprakelijkheid volledig naar de deployer verschuiven.

Art. 26.2 EU AI Act verplicht deployers om het menselijk toezicht te implementeren dat de provider heeft voorzien (Art. 14). Het toezicht is alleen geldig als de toezichthouder voldoende AI-geletterd is (Art. 4), de bevoegdheid heeft om de AI-output te overrulen, en niet zo overbelast is dat de beoordeling louter routinematig wordt. Formeel toezicht zonder inhoudelijke beoordeling voldoet niet.

Art. 26.4 verplicht deployers van hoog-risico AI om te borgen dat de inputdata relevant en voldoende representatief is voor het beoogde doel van het systeem. De deployer is verantwoordelijk voor de datakwaliteit in gebruik, ook al stelt de provider de specificaties vast onder Art. 10.

Art. 26.5 verplicht deployers van hoog-risico AI om de werking van het systeem te monitoren aan de hand van de provider-instructies en om risico's en ernstige incidenten te melden. Monitoring is het vroegsignaleringsmechanisme dat aansluit op de incidentmelding van Art. 73.

Art. 26.6 verplicht deployers van hoog-risico AI om de door het systeem gegenereerde logs minimaal zes maanden te bewaren, tenzij andere wetgeving een langere termijn vereist. De logs zijn het primaire bewijs dat het systeem conform de instructies is ingezet.

Art. 26.7 verplicht deployers van hoog-risico AI om de personen die aan de beslissingen van het systeem zijn onderworpen te informeren dat een hoog-risico AI-systeem wordt gebruikt. Dit geldt ook zonder directe interactie, zoals bij CV-screening of kredietscoring.

Art. 26.8 verplicht deployers die overheidsinstanties zijn (of namens hen handelen) om vóór ingebruikname te verifiëren dat een hoog-risico AI-systeem in de EU-database is geregistreerd, en het niet te gebruiken als dat niet zo is.

Art. 26.9 koppelt de EU AI Act aan de AVG: waar een gegevensbeschermingseffectbeoordeling (DPIA) vereist is onder AVG Art. 35, moeten deployers van hoog-risico AI de informatie uit de provider-documentatie gebruiken om die beoordeling te onderbouwen.

Compliance op control-niveau betekent voldoen aan de EU AI Act via ingebouwde, bewezen controls in plaats van beleidsdocumenten. De technische artikelen vertalen direct naar systeem-controls: onveranderlijke logs (Art. 12, 19), een noodstop (Art. 14(4)(e)), datamaskering vóór het model (Art. 10), configureerbare blokkeerbeleid (Art. 26), risicoscoring en incidentmelding binnen de termijn (Art. 9, 73), en workspace-isolatie met rolgebaseerde toegang (Art. 14, 26). Compliance op dit niveau is een geïnstrumenteerd systeem, geen beleid als PDF.

De AI Officer is de organisatiebrede regisseur van verantwoord AI-gebruik, breder dan een compliance-rol: de functie omvat AI-strategie, ethiek, risico en geletterdheid. De EU AI Act (Art. 26) maakt de coördinerende functie noodzakelijk, maar de behoefte aan een AI Officer reikt verder dan de wet zelf.

De EU AI Act wijst verplichtingen toe vanuit de aanname dat de aanbieder die een systeem bouwt en de gebruiksverantwoordelijke die het gebruikt onderscheiden, stabiele rollen zijn. Agentic AI destabiliseert die aanname. Een gebruiksverantwoordelijke die een agent configureert met brede tool-rechten, autonome beslissingsruimte, of de mogelijkheid om sub-agents aan te maken, kan wijzigingen aanbrengen die substantieel genoeg zijn om aanbieder-niveau verplichtingen te dragen. Onder autonomie kan de vraag wie aanspreekbaar is niet uit het contract worden afgelezen. Die moet worden beoordeeld tegen wat de gebruiksverantwoordelijke de agent feitelijk heeft laten doen.

Voor het mkb is EU AI Act-compliance hanteerbaar maar niet optioneel: de Art. 5-verboden en Art. 4-geletterdheid gelden ongeacht grootte, en mkb-deployers van hoog-risico AI dragen de volledige Art. 26-verplichtingen in proportionele vorm. Micro-ondernemingen krijgen administratieve vereenvoudigingen, geen vrijstellingen.

Onder de EU AI Act ontwikkelt een provider een AI-systeem of brengt het onder eigen naam op de markt; een deployer gebruikt een AI-systeem onder zijn gezag in een professionele context. De rollen dragen heel verschillende verplichtingen: providers dragen de zware technische plichten (Art. 9-15, 19, 43, 48, 49, 72), terwijl deployers een lichtere operationele set dragen (Art. 26, 27). Dezelfde organisatie kan beide tegelijk zijn, en je rol per systeem bepalen is de eerste compliance-stap.

De EU AI Act en de AVG zijn complementaire maar niet identieke kaders voor AI-systemen die persoonsgegevens verwerken. Ze overlappen op transparantie, datakwaliteit, geautomatiseerde besluitvorming en impactassessments (DPIA en FRIA), maar verschillen in reikwijdte, toezicht en sanctieregime. De efficiënte aanpak is integratie: één gecombineerde DPIA/FRIA en één set leverancierscontracten.

Een AI-beleid vertaalt de Art. 26-verplichtingen van de EU AI Act naar een werkbaar intern kader. Een EU AI Act-conform beleid bevat ten minste de scope, het Art. 5-verbod, de governance-rollen, het classificatieproces, menselijk toezicht, monitoring en logretentie, transparantie en incidentrespons.

De EU AI Act-verplichtingen per afdeling hangen af van de risicoklasse van het AI-systeem. HR-selectie en kredietscoring zijn hoog-risico (Bijlage III) met de volledige Art. 26-verplichtingen; marketing-AI en chatbots vallen meestal onder de transparantieverplichting van Art. 50. Per systeem bepaalt een Art. 6-analyse de exacte verplichting.

Een audit trail voor EU AI Act-compliance is het gestructureerde, bewaarde dossier, de combinatie van de systeemlogs (Art. 12) en de eigen toezicht- en monitoringdocumentatie van de deployer, waarmee u aan een toezichthouder kunt aantonen dat een hoog-risico AI-systeem rechtmatig is ingezet.

De eerste stappen naar EU AI Act-compliance voor deployers zijn: stel een AI-inventaris op, classificeer elk systeem aan de hand van Art. 6, vraag de provider-documentatie op, start AI-geletterdheidstraining onder Art. 4, en beleg eigenaarschap. Deze stappen leggen de basis voor de Art. 26-verplichtingen.

De EU AI Act treedt gefaseerd in werking tussen 2025 en 2028: de Art. 5-verboden en Art. 4 AI-geletterdheid golden vanaf 2 februari 2025, de Art. 50-transparantieverplichtingen vanaf 2 augustus 2026, en de volledige hoog-risico verplichtingen voor Bijlage III-systemen vanaf 2 december 2027 na de Omnibus-wijzigingen.

Wie een GPAI-model (zoals GPT-4, Claude of Gemini) via een API integreert, is doorgaans provider van de eigen toepassing én deployer van het GPAI-model. De sleutelvraag is of de toepassing zelf hoog-risico is (Bijlage III): zo ja, gelden de provider-verplichtingen (Art. 8-15) plus de deployer-plichten van Art. 26.

Een leveranciers-checklist voor AI-inkoop verifieert wat een provider moet leveren voordat u als deployer kunt voldoen: de gebruiksinstructies (Art. 13.3), de conformiteitsverklaring, de risicoclassificatie, de notificatie bij updates, en medewerking bij een toezichtsonderzoek.

Kant-en-klare transparantie-templates helpen deployers om aan de EU AI Act-informatieplichten te voldoen: een chatbot-melding, een label voor AI-gegenereerde content, en een Art. 26.7-kennisgeving voor personen die aan een hoog-risico systeem zijn onderworpen. De melding moet actief en begrijpelijk zijn op het moment van interactie.

Micro-ondernemingen (minder dan 10 medewerkers en maximaal €2 miljoen omzet) hebben onder de EU AI Act recht op vereenvoudigde provider-verplichtingen, zoals beknopte technische documentatie (Art. 11.3) en een proportioneel kwaliteitsbeleid (Art. 17.3). De materiële verplichtingen, zoals het Art. 5-verbod, menselijk toezicht en incidentmelding, blijven onverkort gelden.

Een oversight-logboek is het gelijktijdige verslag dat menselijk toezicht op een hoog-risico AI-systeem aantoont onder Art. 26.2 van de EU AI Act. Het legt per toezichtmoment vast wie de AI-output beoordeelde, wat de beslissing was en waarom, en moet minimaal zes maanden worden bewaard onder Art. 26.6.

Een oversight-logboek is het gelijktijdige verslag dat menselijk toezicht op een hoog-risico AI-systeem aantoont onder Art. 26.2 van de EU AI Act. Het legt per toezichtmoment vast wie de AI-output beoordeelde, wat de beslissing was en waarom, en moet minimaal zes maanden worden bewaard onder Art. 26.6.

Art. 27 verplicht bepaalde deployers, publieke instanties en private deployers in afgebakende sectoren zoals krediet en verzekeringen, om vóór de inzet van een hoog-risico AI-systeem een Fundamental Rights Impact Assessment (FRIA) uit te voeren, die de impact op grondrechten en de mitigerende maatregelen onderzoekt.

De AI Officer is de organisatiebrede regisseur van verantwoord AI-gebruik, breder dan een compliance-rol: de functie omvat AI-strategie, ethiek, risico en geletterdheid. De EU AI Act (Art. 26) maakt de coördinerende functie noodzakelijk, maar de behoefte aan een AI Officer reikt verder dan de wet zelf.

De EU AI Act en de AVG zijn complementaire maar niet identieke kaders voor AI-systemen die persoonsgegevens verwerken. Ze overlappen op transparantie, datakwaliteit, geautomatiseerde besluitvorming en impactassessments (DPIA en FRIA), maar verschillen in reikwijdte, toezicht en sanctieregime. De efficiënte aanpak is integratie: één gecombineerde DPIA/FRIA en één set leverancierscontracten.

Een Fundamental Rights Impact Assessment (FRIA) onder Art. 27 wordt stap voor stap uitgevoerd: beschrijf het systeem en het doel, identificeer de betrokken personen, beoordeel de impact op elke grondrechtendimensie, bepaal de mitigerende maatregelen, en documenteer het restrisico vóór de inzet.

Art. 49 verplicht providers van hoog-risico AI-systemen om het systeem in de EU-database te registreren vóór marktintroductie. De database dient zowel het markttoezicht als de publieke verantwoording, doordat burgers kunnen zien welke hoog-risico systemen in gebruik zijn.

Art. 50 van de EU AI Act verplicht deployers om mensen te informeren wanneer zij met een AI-systeem interacteren, wanneer content AI-gegenereerd is, en wanneer emotieherkenning of biometrische categorisering wordt gebruikt. De verplichting geldt vanaf 2 augustus 2026, met boetes tot €15 miljoen of 3% van de wereldwijde jaaromzet.

De EU AI Act-verplichtingen per afdeling hangen af van de risicoklasse van het AI-systeem. HR-selectie en kredietscoring zijn hoog-risico (Bijlage III) met de volledige Art. 26-verplichtingen; marketing-AI en chatbots vallen meestal onder de transparantieverplichting van Art. 50. Per systeem bepaalt een Art. 6-analyse de exacte verplichting.

De EU AI Act treedt gefaseerd in werking tussen 2025 en 2028: de Art. 5-verboden en Art. 4 AI-geletterdheid golden vanaf 2 februari 2025, de Art. 50-transparantieverplichtingen vanaf 2 augustus 2026, en de volledige hoog-risico verplichtingen voor Bijlage III-systemen vanaf 2 december 2027 na de Omnibus-wijzigingen.

Wie een GPAI-model (zoals GPT-4, Claude of Gemini) via een API integreert, is doorgaans provider van de eigen toepassing én deployer van het GPAI-model. De sleutelvraag is of de toepassing zelf hoog-risico is (Bijlage III): zo ja, gelden de provider-verplichtingen (Art. 8-15) plus de deployer-plichten van Art. 26.

Wie een GPAI-model (zoals GPT-4, Claude of Gemini) via een API integreert, is doorgaans provider van de eigen toepassing én deployer van het GPAI-model. De sleutelvraag is of de toepassing zelf hoog-risico is (Bijlage III): zo ja, gelden de provider-verplichtingen (Art. 8-15) plus de deployer-plichten van Art. 26.

Wie een GPAI-model (zoals GPT-4, Claude of Gemini) via een API integreert, is doorgaans provider van de eigen toepassing én deployer van het GPAI-model. De sleutelvraag is of de toepassing zelf hoog-risico is (Bijlage III): zo ja, gelden de provider-verplichtingen (Art. 8-15) plus de deployer-plichten van Art. 26.

Regulatory sandboxes onder Art. 57-63 zijn gecontroleerde omgevingen, onder toezicht van de nationale toezichthouder, waarin organisaties innovatieve AI-systemen kunnen ontwikkelen en testen met begeleiding en tijdelijke verlichting van bepaalde administratieve eisen, zonder dat de materiële waarborgen of de meldplicht bij incidenten vervallen.

Deelnemen aan een nationale AI regulatory sandbox onder Art. 57-63 verloopt via een gestructureerd pad: bereid een projectdossier voor, dien in tijdens een aanmeldwindow, teken een sandbox-overeenkomst met de toezichthouder, rapporteer voortgang en incidenten tijdens het testen, en lever een eindrapport op dat de basis legt voor volledige compliance.

Regulatory sandboxes onder Art. 57-63 zijn gecontroleerde omgevingen, onder toezicht van de nationale toezichthouder, waarin organisaties innovatieve AI-systemen kunnen ontwikkelen en testen met begeleiding en tijdelijke verlichting van bepaalde administratieve eisen, zonder dat de materiële waarborgen of de meldplicht bij incidenten vervallen.

Deelnemen aan een nationale AI regulatory sandbox onder Art. 57-63 verloopt via een gestructureerd pad: bereid een projectdossier voor, dien in tijdens een aanmeldwindow, teken een sandbox-overeenkomst met de toezichthouder, rapporteer voortgang en incidenten tijdens het testen, en lever een eindrapport op dat de basis legt voor volledige compliance.

Deelnemen aan een nationale AI regulatory sandbox onder Art. 57-63 verloopt via een gestructureerd pad: bereid een projectdossier voor, dien in tijdens een aanmeldwindow, teken een sandbox-overeenkomst met de toezichthouder, rapporteer voortgang en incidenten tijdens het testen, en lever een eindrapport op dat de basis legt voor volledige compliance.

Art. 12 vereist dat hoog-risico AI-systemen technisch de automatische registratie van gebeurtenissen (logs) over hun levensduur mogelijk maken. De logging moet de traceerbaarheid van het functioneren van het systeem mogelijk maken op een niveau passend bij het beoogde doel, post-market monitoring ondersteunen, en helpen situaties te identificeren die tot risico of een substantiële wijziging kunnen leiden. Het is een ontwerpverplichting voor de provider die het systeem door constructie auditeerbaar maakt.

Art. 9 verplicht providers van hoog-risico AI-systemen om een risicobeheerssysteem op te zetten, te documenteren en te onderhouden dat de gehele levenscyclus bestrijkt. Het is een doorlopend, iteratief proces: identificeer de bekende en voorzienbare risico's, schat ze in en evalueer ze, en tref gerichte mitigerende maatregelen, terwijl je de cyclus bijwerkt naarmate het systeem en de omgeving veranderen. Het is geen eenmalige beoordeling vóór de inzet.

Art. 73 verplicht deployers en providers om ernstige incidenten met hoog-risico AI zonder onnodige vertraging te melden aan de bevoegde markttoezichthouder, voor de meeste incidenten binnen circa 15 dagen. Een incident dat ook een datalek is, moet daarnaast onder AVG Art. 33 worden gemeld.

Compliance op control-niveau betekent voldoen aan de EU AI Act via ingebouwde, bewezen controls in plaats van beleidsdocumenten. De technische artikelen vertalen direct naar systeem-controls: onveranderlijke logs (Art. 12, 19), een noodstop (Art. 14(4)(e)), datamaskering vóór het model (Art. 10), configureerbare blokkeerbeleid (Art. 26), risicoscoring en incidentmelding binnen de termijn (Art. 9, 73), en workspace-isolatie met rolgebaseerde toegang (Art. 14, 26). Compliance op dit niveau is een geïnstrumenteerd systeem, geen beleid als PDF.

Regulatory sandboxes onder Art. 57-63 zijn gecontroleerde omgevingen, onder toezicht van de nationale toezichthouder, waarin organisaties innovatieve AI-systemen kunnen ontwikkelen en testen met begeleiding en tijdelijke verlichting van bepaalde administratieve eisen, zonder dat de materiële waarborgen of de meldplicht bij incidenten vervallen.

De EU AI Act en de AVG zijn complementaire maar niet identieke kaders voor AI-systemen die persoonsgegevens verwerken. Ze overlappen op transparantie, datakwaliteit, geautomatiseerde besluitvorming en impactassessments (DPIA en FRIA), maar verschillen in reikwijdte, toezicht en sanctieregime. De efficiënte aanpak is integratie: één gecombineerde DPIA/FRIA en één set leverancierscontracten.

Een AI-beleid vertaalt de Art. 26-verplichtingen van de EU AI Act naar een werkbaar intern kader. Een EU AI Act-conform beleid bevat ten minste de scope, het Art. 5-verbod, de governance-rollen, het classificatieproces, menselijk toezicht, monitoring en logretentie, transparantie en incidentrespons.