GovCompass
Kennisbank
GuideAccountability

Leveranciers-checklist: 10 vragen aan je AI-leverancier

Door Michel Venniker· · Afgestemd op de geconsolideerde EU AI Act, inclusief de Omnibus-wijzigingen van 2026.

Een leveranciers-checklist voor AI-inkoop verifieert wat een provider moet leveren voordat u als deployer kunt voldoen: de gebruiksinstructies (Art. 13.3), de conformiteitsverklaring, de risicoclassificatie, de notificatie bij updates, en medewerking bij een toezichtsonderzoek.

Bijgewerkt: juni 2026

Inleiding: due diligence als deployer-verplichting

Art. 26.1 EU AI Act verplicht deployers om hoog-risico AI-systemen conform de gebruiksinstructies van de providerproviderThe actor who develops an AI system (or has it developed) and places it on the market or into service under its own name — carrying manufacturer-style duties: design controls, documentation, conformity.Open full entry → in te zetten. Maar vóórdat u die instructies kunt naleven, moet u ze hebben, en moeten ze volledig zijn. Het beoordelen van een AI-leverancier op hun EU AI Act-compliance is daarmee een deployerdeployerAn organization using an AI system under its own authority in its activities — carrying operator duties: use per instructions, oversight, input relevance, monitoring, notices.Open full entry →-verplichting, niet optioneel.

Deze gids biedt een systematische aanpak voor leveranciers-due diligence op basis van de EU AI Act-vereisten. De gids is van toepassing op de aanschaf van elke hoog-risico AI-systeem.

Stap 1: stel vast of het systeem hoog-risico is

Voordat u de volledige due diligence start, bepaalt u of het systeem van de leverancier als hoog-risico AI kwalificeert (Art. 6 + Bijlage III). Als de leverancier claimt dat het systeem niet hoog-risico is, vraag dan een schriftelijke Art. 6.3-onderbouwing. Controleer die onderbouwing kritisch aan de hand van uw eigen gebruik-context.

Als het systeem hoog-risico is, zijn alle stappen in deze gids verplicht. Als het niet hoog-risico is maar beperkt-risico (Art. 50), geldt een verlicht regime.

Stap 2: beoordeel de leverancier op Art. 13.3-conformiteit

Vraag bij elke leverancier van een hoog-risico AI-systeem de formele gebruiksinstructies op conform Art. 13.3. Controleer of alle verplichte elementen aanwezig zijn:

Checklist gebruiksinstructies (Art. 13.3):

  • ☐ Naam, handelsnaam en contactgegevens van de provider
  • ☐ Beoogd doel en beoogde gebruiksomgeving
  • ☐ Kenmerken, mogelijkheden en beperkingen van het systeem
  • ☐ Bekende omstandigheden die de prestaties negatief beïnvloeden
  • ☐ Situaties waarbij het systeem niet of beperkt betrouwbaar is
  • ☐ Hardware/software-vereisten
  • ☐ Technische maatregelen voor menselijk toezicht (Art. 14)
  • ☐ Beschrijving van de inputdata-vereisten
  • ☐ Prestatiemetrieken en betrouwbaarheidsdrempels
  • ☐ Verwachte levensduur en onderhoudsinformatie

Als meer dan twee elementen ontbreken: vraag aanvulling alvorens het contract te ondertekenen.

Stap 3: vraag de conformiteitsverklaring en EU-database registratie op

Conformiteitsverklaring (Art. 47): De provider moet een EU-conformiteitsverklaring hebben opgesteld die bevestigt dat het systeem voldoet aan de eisen van Art. 8-15. Vraag een kopie op en controleer:

  • Is de verklaring ondertekend door een bevoegde vertegenwoordiger?
  • Verwijst de verklaring naar de specifieke versie van het systeem die u aanschaft?
  • Is de toegepaste conformiteitsbeoordelingsprocedure vermeld?

EU-database registratie (Art. 49): Controleer of het systeem geregistreerd staat in de EU AI Act-database. Een hoog-risico systeem dat niet is geregistreerd, is niet conform de wet. U neemt een juridisch risico door dit systeem in te zetten.

Stap 4: beoordeel de technische documentatie (selectief)

U heeft als deployer recht op inzage in de voor u relevante delen van de technische documentatie (Bijlage IV). U hoeft niet het volledige technische document te doorzien, maar vraag minimaal:

  • Samenvatting prestatiemetrieken: nauwkeurigheid, precisie, recall, F1-score voor uw use case
  • FairnessfairnessThe responsible-AI principle that systems should not create or reinforce unjust discrimination; operationalised through bias testing, representative data and per-group thresholds — with multiple, mutually incompatible mathematical definitions.Open full entry →-rapport: zijn prestaties gelijk voor relevante demografische subgroepen?
  • Bekende beperkingen: in welke situaties presteert het systeem aantoonbaar slechter?
  • Trainingsdata-beschrijving: welke populatie is vertegenwoordigd? Zijn er bekende representativiteitsproblemen?

Stap 5: toets op Art. 5-verboden

Vraag de leverancier schriftelijk te bevestigen dat het systeem niet onder een van de acht verboden van Art. 5 valt. Specifieke vragen:

  • Maakt het systeem gebruik van technieken die het onderbewustzijn van gebruikers beïnvloeden?
  • Bevat het systeem emotieherkenning-functionaliteit (relevant voor de werkplek of onderwijs)?
  • Maakt het systeem biometrische categoriseringen op basis van gevoelige kenmerken?
  • Is het systeem bruikbaar voor real-time biometrische identificatie in openbare ruimten?

Een leverancier die deze vragen niet schriftelijk wil beantwoorden, is een red flag.

Stap 6: contractuele waarborgen bedingen

Het leverancierscontract moet de volgende clausules bevatten:

Verplichte clausules:

  • Art. 5-garantie: leverancier garandeert dat het systeem niet onder de verboden van Art. 5 valt
  • Conformiteitsgarantie: leverancier garandeert dat het systeem voldoet aan Art. 8-15 EU AI Act
  • Notificatieplicht bij updates: leverancier informeert u bij elke materiële update die de instructies of prestaties wijzigt, minimaal 30 dagen van tevoren
  • Toegang tot technische documentatie: leverancier verleent u inzage in de voor uw gebruik relevante secties bij redelijk verzoek
  • Logbeschikbaarheid: leverancier garandeert dat u de systeemlogs kunt exporteren en bewaren conform Art. 26.6
  • Ondersteuning bij audit door de toezichthouder: leverancier verleent medewerking bij een onderzoek van de toezichthouder dat betrekking heeft op zijn systeem
  • Vrijwaring: leverancier vrijwaart u voor schade die voortvloeit uit niet-naleving van zijn provider-verplichtingen

Verwerkersovereenkomst (AVG): Als de leverancier persoonsgegevens verwerkt namens u, sluit dan een verwerkersovereenkomst conform Art. 28 AVG. Dit is een afzonderlijk contract naast de AI Act-leveranciersovereenkomst.

Stap 7: beoordeel de provider op track record

Naast de documentatie-check beoordeelt u de leverancier op:

  • Incident-history: zijn er bekende AI-incidenten met dit systeem of deze leverancier? Zoek in publicaties van de toezichthouder en EU AI Office-berichten.
  • Reactie op kwetsbaarheden: hoe snel reageert de leverancier op gemelde problemen?
  • Klantenreferenties: vraag naar andere deployers van dit systeem in vergelijkbare contexten
  • Financiële stabiliteit: een faillerende AI-leverancier kan uw compliance ondermijnen (geen ondersteuning, geen updates)

Stap 8: periodieke her-evaluatie

Leveranciers-due diligence is geen eenmalig traject. Herevalueer uw leveranciers:

  • Jaarlijks (standaard)
  • Bij elke materiële update van het systeem
  • Bij incidenten waarbij het systeem betrokken is
  • Bij wijzigingen in de eigendomsstructuur van de leverancier

Samenvatting

Een grondige leveranciers-due diligence beschermt u als deployer tegen aansprakelijkheid voor provider-tekortkomingen. Investeer 2-4 uur in de due diligence vóór contractondertekening, dat is goedkoper dan de kosten van een niet-conform AI-systeem na implementatie.

WetsverwijzingenArt. 26Art. 13

Meer over Accountability

Art. 10 EU AI Act: data en datagovernance voor hoog-risico AI

Reference

Art. 10 vereist dat de trainings-, validatie- en testdata voor hoog-risico AI-systemen voldoet aan kwaliteitscriteria: relevant, voldoende representatief, en zo foutloos en volledig mogelijk voor het beoogde doel. Het vereist ook gedocumenteerde datagovernance over verzameling, voorbereiding, bias-onderzoek en het mitigeren van lacunes, en het staat de beperkte verwerking van bijzondere persoonsgegevens toe waar strikt noodzakelijk om bias te detecteren en corrigeren, onder waarborgen.

Art. 12 EU AI Act: registratie en logging voor hoog-risico AI

Reference

Art. 12 vereist dat hoog-risico AI-systemen technisch de automatische registratie van gebeurtenissen (logs) over hun levensduur mogelijk maken. De logging moet de traceerbaarheid van het functioneren van het systeem mogelijk maken op een niveau passend bij het beoogde doel, post-market monitoring ondersteunen, en helpen situaties te identificeren die tot risico of een substantiële wijziging kunnen leiden. Het is een ontwerpverplichting voor de provider die het systeem door constructie auditeerbaar maakt.

Art. 19 EU AI Act: het bewaren van de automatisch gegenereerde logs

Reference

Art. 19 verplicht providers van hoog-risico AI-systemen om de logs die het systeem automatisch genereert (onder Art. 12) te bewaren zolang ze die onder controle hebben, voor een periode passend bij het beoogde doel en minimaal zes maanden, tenzij andere wetgeving een langere termijn vereist. Het is de bewaar-tegenhanger van de Art. 12-logging-capaciteit, en werkt naast de deployer-bewaarplicht in Art. 26.6.

Art. 26.1, gebruik AI volgens de instructies van de aanbieder

Reference

Art. 26.1 EU AI Act verplicht deployers om hoog-risico AI-systemen uitsluitend in te zetten conform de gebruiksinstructies van de provider. De verplichting omvat drie componenten: het beschikken over de instructies (conform Art. 13.3), het actief naleven ervan, en het documenteren van dat naleven. Inzet buiten de instructies kan de aansprakelijkheid volledig naar de deployer verschuiven.