GovCompass
Kennisbank
GuideAccountabilitySafety & reliability

Provider-verplichtingen: een overzicht voor MKB

Door Michel Venniker· · Afgestemd op de geconsolideerde EU AI Act, inclusief de Omnibus-wijzigingen van 2026.

Een mkb-bedrijf dat zelf een hoog-risico AI-systeem ontwikkelt, draagt de volledige provider-verplichtingen van Art. 8-17 EU AI Act: risicobeheer (Art. 9), datakwaliteit (Art. 10), technische documentatie (Art. 11), logging (Art. 12), transparantie (Art. 13), menselijk toezicht (Art. 14), nauwkeurigheid (Art. 15) en een kwaliteitsmanagementsysteem (Art. 17). Micro-ondernemingen mogen een vereenvoudigd formaat gebruiken.

Bijgewerkt: juni 2026

Inleiding: provider-verplichtingen voor mkb

Als u als mkb-bedrijf een hoog-risico AI-systeem ontwikkelt, voor eigen gebruik of voor de markt, draagt u de volledige providerproviderThe actor who develops an AI system (or has it developed) and places it on the market or into service under its own name — carrying manufacturer-style duties: design controls, documentation, conformity.Open full entry →-verplichtingen van Art. 8-17 EU AI Act. Deze verplichtingen zijn aanzienlijk: ze omvatten risicobeheer, datakwaliteit, technische documentatie, logging, transparantie, menselijk toezicht, nauwkeurigheid en een kwaliteitsmanagementsysteem.

Het AI Omnibus Akkoord (mei 2026) heeft vereenvoudigingen ingevoerd voor micro-ondernemingen (<10 medewerkers, <€2 mln), maar voor de meeste mkb-bedrijven gelden de volledige verplichtingen. Deze gids legt de negen kernverplichtingen uit en geeft praktische handvatten voor mkb-implementatie.

Verplichting 1: risicobeheerssysteem (Art. 9)

Art. 9 verplicht providers tot het opzetten van een doorlopend risicobeheerssysteem gedurende de gehele levenscyclus van het hoog-risico AI-systeem. Dit betekent:

  • Identificatie van bekende en voorzienbare risico's voor gezondheid, veiligheid en grondrechten
  • Schatting en evaluatie van die risico's
  • Evaluatie van risico's na marktintroductie (op basis van post-market monitoringpost-market monitoringProvider-side duty to systematically collect and act on experience from systems in use — the product-regulation half of continuous monitoring.Open full entry → data)
  • Implementatie van passende risicobeheersmaatregelen

Mkb-aanpak: Gebruik een risicoregister dat voor elk geïdentificeerd risico bijhoudt: beschrijving, ernst (hoog/medium/laag), kans, mitigerende maatregel, en restrisico na mitigatie. Werk het register bij bij elke significante update van het systeem.

Verplichting 2: datakwaliteit (Art. 10)

Art. 10 verplicht dat de data die wordt gebruikt voor training, validatie en testing van hoog-risico AI-systemen voldoet aan kwaliteitscriteria: relevant, representatief, vrij van fouten, en volledig, voor zover dat redelijkerwijs haalbaar is.

Aanvullend verplicht Art. 10.2:

  • Dataverzamelingsprocessen te documenteren
  • Relevante kenmerken van de data-populatie te beschrijven
  • Te onderzoeken op biassen die tot discriminatie kunnen leiden
  • Maatregelen te nemen om geïdentificeerde bias te mitigeren

Mkb-aanpak: Maak een datasheetdatasheetStanding documentation for a dataset: sources, collection method, consent/licence status, composition, known limitations — the data-side sibling of the model card.Open full entry → (datablad) per dataset: herkomst, grootte, populatiebeschrijving, bekende beperkingen, bias-checks uitgevoerd. Bewaar dit als onderdeel van de technische documentatie.

Verplichting 3: technische documentatie (Art. 11 + Bijlage IV)

Art. 11 verplicht providers een uitgebreid technisch document op te stellen vóór marktintroductie en bij te houden gedurende de levenscyclus. Bijlage IV beschrijft de vereiste inhoud in detail.

Kernonderdelen van de technische documentatie:

  • Systeembeschrijving en beoogd gebruik
  • Risicoklasse en classificatiegrondslag
  • Ontwerp- en trainingsproces
  • Beschrijving van training-, validatie- en testdata
  • Risicobeheersmaatregelen
  • Prestatiemetrieken en testresultaten
  • Beperkingen en bekende risico's
  • Wijzigingshistorie

Mkb-vereenvoudiging (Omnibus): Micro-ondernemingen mogen een vereenvoudigd formaat gebruiken. Voor andere mkb geldt de volledige Bijlage IV. Gebruik de EU AI Office-sjablonen om het schrijfwerk te structureren.

Verplichting 4: logboek (Art. 12)

Art. 12 verplicht dat hoog-risico AI-systemen zijn uitgerust met automatische logging-functionaliteit. De logging moet registreren: het gebruik van het systeem, de verwerkte data (of een referentie), en relevante operationele gebeurtenissen.

Mkb-aanpak: Implementeer logging als technische feature van het systeem, niet als een achteraf-gedachte. De logs moeten exporteerbaar zijn in een standaardformaat (JSON, CSV) zodat deployers hun bewaarverplichting kunnen naleven.

Verplichting 5: transparantie (Art. 13)

Art. 13 verplicht providers om hoog-risico AI-systemen zo te ontwerpen dat deployers de werking voldoende begrijpen om hun verplichtingen te kunnen nakomen. Art. 13.3 verplicht gedetailleerde gebruiksinstructies (zie het Art. 26.1-artikel voor de vereiste inhoud).

Mkb-aanpak: Schrijf gebruiksinstructies die compleet maar begrijpelijk zijn. Gebruik voorbeelden voor de beschrijving van beperkingen. Test de instructies op een deployerdeployerAn organization using an AI system under its own authority in its activities — carrying operator duties: use per instructions, oversight, input relevance, monitoring, notices.Open full entry → uit uw doelgroep die het systeem nog niet kent.

Verplichting 6: menselijk toezicht (Art. 14)

Art. 14 verplicht dat hoog-risico AI-systemen zo zijn ontworpen dat toezichthouders de werking kunnen begrijpen, afwijkingen kunnen detecteren, automatisch vertrouwen kunnen vermijden, en het systeem kunnen overrulen of stoppen.

Technische implementatie:

  • Toon vertrouwensscores bij elke output
  • Markeer outputs met lage betrouwbaarheid visueel
  • Implementeer een "override" functie die de toezichthouder in staat stelt de AI-aanbeveling te negeren
  • Implementeer een noodstop (Art. 14.4.e)

Verplichting 7: nauwkeurigheid, robuustheid en cyberbeveiliging (Art. 15)

Art. 15 verplicht dat hoog-risico AI-systemen een passend niveau van nauwkeurigheid bereiken en behouden, robuust zijn tegen fouten en onvoorziene omstandigheden, en beschermd zijn tegen aanvallen die de prestaties kunnen beïnvloeden.

Mkb-aanpak: Definieer vóór marktintroductie acceptabele prestatiegrenzen (nauwkeurigheid, foutpercentages) en test hierop. Documenteer de testresultaten in de technische documentatie. Beschrijf de cyberbeveiligingsmaatregelen (inputvalidatie, toegangscontrole, logging van aanvalspogingen).

Verplichting 8: kwaliteitsmanagementsysteem (Art. 17)

Art. 17 verplicht providers tot het opzetten van een kwaliteitsmanagementsysteem (KMS) dat de naleving van de EU AI Act borgt gedurende de gehele levenscyclus.

Mkb-vereenvoudiging (Omnibus voor micro): Micro-ondernemingen mogen volstaan met een proportioneel kwaliteitsbeleid. Voor andere mkb geldt een volledig KMS dat minimaal omvat: beleid voor naleving, procedures voor technische documentatie, procedures voor post-market monitoring, en procedures voor corrigerende maatregelen.

Verplichting 9: post-market monitoring (Art. 72)

Art. 72 verplicht providers tot een post-market monitoring plan dat actief data verzamelt over de prestaties van het systeem in productie. Deployers leveren input via hun Art. 26.5-verplichtingen.

Mkb-aanpak: Stel een eenvoudig monitoring-plan op dat beschrijft: welke metrieken worden gemonitord, via welk kanaal deployers bevindingen melden, en hoe u reageert op afwijkingen. Maak het plan onderdeel van uw leveranciersovereenkomst.

Samenvatting

Provider-zijn is zwaarder dan deployer-zijn. De negen verplichtingen van Art. 9-17 vereisen een gestructureerde aanpak van ontwerp tot post-markt. Start vroeg met de technische documentatie en het risicobeheerssysteem, deze vormen de kern van alle andere verplichtingen. Gebruik de EU AI Office-sjablonen om het werk te structureren en de naleving aantoonbaar vast te leggen.

WetsverwijzingenArt. 9Art. 10Art. 11Art. 14Art. 17

Meer over Accountability

Art. 10 EU AI Act: data en datagovernance voor hoog-risico AI

Reference

Art. 10 vereist dat de trainings-, validatie- en testdata voor hoog-risico AI-systemen voldoet aan kwaliteitscriteria: relevant, voldoende representatief, en zo foutloos en volledig mogelijk voor het beoogde doel. Het vereist ook gedocumenteerde datagovernance over verzameling, voorbereiding, bias-onderzoek en het mitigeren van lacunes, en het staat de beperkte verwerking van bijzondere persoonsgegevens toe waar strikt noodzakelijk om bias te detecteren en corrigeren, onder waarborgen.

Art. 12 EU AI Act: registratie en logging voor hoog-risico AI

Reference

Art. 12 vereist dat hoog-risico AI-systemen technisch de automatische registratie van gebeurtenissen (logs) over hun levensduur mogelijk maken. De logging moet de traceerbaarheid van het functioneren van het systeem mogelijk maken op een niveau passend bij het beoogde doel, post-market monitoring ondersteunen, en helpen situaties te identificeren die tot risico of een substantiële wijziging kunnen leiden. Het is een ontwerpverplichting voor de provider die het systeem door constructie auditeerbaar maakt.

Art. 19 EU AI Act: het bewaren van de automatisch gegenereerde logs

Reference

Art. 19 verplicht providers van hoog-risico AI-systemen om de logs die het systeem automatisch genereert (onder Art. 12) te bewaren zolang ze die onder controle hebben, voor een periode passend bij het beoogde doel en minimaal zes maanden, tenzij andere wetgeving een langere termijn vereist. Het is de bewaar-tegenhanger van de Art. 12-logging-capaciteit, en werkt naast de deployer-bewaarplicht in Art. 26.6.

Art. 26.1, gebruik AI volgens de instructies van de aanbieder

Reference

Art. 26.1 EU AI Act verplicht deployers om hoog-risico AI-systemen uitsluitend in te zetten conform de gebruiksinstructies van de provider. De verplichting omvat drie componenten: het beschikken over de instructies (conform Art. 13.3), het actief naleven ervan, en het documenteren van dat naleven. Inzet buiten de instructies kan de aansprakelijkheid volledig naar de deployer verschuiven.

Meer over Safety & reliability

Art. 14 EU AI Act: hoog-risico AI ontwerpen voor menselijk toezicht

Reference

Art. 14 vereist dat providers hoog-risico AI-systemen zo ontwerpen en bouwen dat ze tijdens gebruik effectief door mensen kunnen worden overzien. Het systeem moet een toezichthouder in staat stellen de mogelijkheden en grenzen te begrijpen, op afwijkingen te letten, automation bias te weerstaan, outputs juist te interpreteren, te besluiten het systeem niet te gebruiken, en in te grijpen of het te stoppen via een noodstop (Art. 14(4)(e)). Het is de ontwerpverplichting die de deployer-toezichtsplicht van Art. 26.2 mogelijk maakt.

Art. 26.4, input-data: zorg voor relevante en representatieve data

Reference

Art. 26.4 verplicht deployers van hoog-risico AI om te borgen dat de inputdata relevant en voldoende representatief is voor het beoogde doel van het systeem. De deployer is verantwoordelijk voor de datakwaliteit in gebruik, ook al stelt de provider de specificaties vast onder Art. 10.

Art. 26.5, monitoring: houd de werking van je AI in de gaten

Reference

Art. 26.5 verplicht deployers van hoog-risico AI om de werking van het systeem te monitoren aan de hand van de provider-instructies en om risico's en ernstige incidenten te melden. Monitoring is het vroegsignaleringsmechanisme dat aansluit op de incidentmelding van Art. 73.

Art. 5, verboden AI-praktijken

Reference

Art. 5 somt de acht verboden AI-praktijken op, waaronder subliminale manipulatie, exploitatie van kwetsbare groepen, social scoring en het ongericht scrapen van gezichtsopnamen. Deze verboden zijn absoluut, gelden voor elke organisatie ongeacht grootte, en zijn van kracht sinds 2 februari 2025.