U ontwikkelt een AI-systeem dat kredietaanvragen beoordeelt. Of een tool die sollicitanten screent. Of medische beeldherkenning die artsen ondersteunt bij diagnoses. In al deze gevallen valt uw systeem onder de categorie hoog risico. De EU AI Act vereist dan een conformiteitsbeoordeling voordat u het systeem op de markt mag brengen. Maar wat houdt zo'n beoordeling precies in? En hoe pakt u het aan?
Wat is een conformiteitsbeoordeling?
Een conformiteitsbeoordeling is het proces waarmee een aanbieder (provider) aantoont dat een hoog-risico AI-systeem voldoet aan alle eisen uit de AI Act. Vergelijk het met de APK voor uw auto: voordat u de weg op mag, moet worden vastgesteld dat het voertuig aan de veiligheidsnormen voldoet. Bij AI-systemen werkt het vergelijkbaar. U doorloopt een gestructureerde toets die laat zien dat uw systeem veilig, betrouwbaar en in lijn met de wet is.
Dit is geen vrijblijvende exercitie. Zonder geslaagde conformiteitsbeoordeling mag u het systeem niet aanbieden in de EU. Geen CE-markering, geen toegang tot de markt.
Wie moet een conformiteitsbeoordeling uitvoeren?
De verplichting ligt bij de aanbieder van het AI-systeem. Dat is de partij die het systeem ontwikkelt of onder eigen naam op de markt brengt. Bent u een MKB-bedrijf dat een AI-tool van een leverancier gebruikt? Dan bent u gebruiksverantwoordelijke (deployer). U hoeft zelf geen conformiteitsbeoordeling uit te voeren.
Maar let op: als u een bestaand AI-systeem substantieel aanpast of het onder uw eigen naam op de markt brengt, kunt u juridisch als aanbieder worden aangemerkt. In dat geval gelden de verplichtingen wel voor u.
Voor gebruiksverantwoordelijken is het cruciaal om bij uw leverancier de conformiteitsverklaring en CE-markering op te vragen. Zonder die documenten heeft u geen bewijs dat het systeem aan de eisen voldoet. Meer hierover verderop in dit artikel.
Twee routes: zelfbeoordeling of externe audit
De AI Act kent twee routes voor de conformiteitsbeoordeling. Welke route van toepassing is, hangt af van het type AI-systeem.
Route 1: interne beoordeling (zelfbeoordeling)
Dit is de standaardroute voor het overgrote deel van de hoog-risico AI-systemen. De aanbieder voert de beoordeling zelf uit, aan de hand van de vereisten in de AI Act. Er komt geen externe auditor aan te pas. U toetst uw eigen systeem, documenteert de resultaten en stelt de conformiteitsverklaring op.
Klinkt dat te makkelijk? Dat valt mee. De eisen waaraan u moet voldoen zijn uitgebreid en concreet. Een slordig uitgevoerde zelfbeoordeling houdt geen stand bij een inspectie. De verantwoordelijkheid voor de juistheid ligt volledig bij u.
Route 2: beoordeling door een aangemelde instantie (notified body)
Voor een specifieke categorie is een externe audit verplicht: AI-systemen voor biometrische identificatie op afstand. Denk aan gezichtsherkenning in openbare ruimtes (voor zover toegestaan) of systemen die personen identificeren op basis van biometrische kenmerken.
Bij deze route schakelt u een onafhankelijke, door de EU erkende organisatie in die uw systeem beoordeelt. Deze aangemelde instanties worden momenteel in de lidstaten aangewezen. De externe audit is strenger en duurder, maar biedt ook meer zekerheid richting toezichthouders en afnemers.
Voor de meeste aanbieders geldt route 1. Twijfelt u welke route op uw systeem van toepassing is? Controleer dan of uw systeem valt onder Bijlage III, punt 1 van de AI Act (biometrische identificatie). Zo niet, dan volstaat de interne beoordeling.
Wat wordt er precies getoetst?
De conformiteitsbeoordeling dekt zeven kerngebieden uit de AI Act. Elk gebied moet aantoonbaar op orde zijn.
Risicobeheersysteem (Artikel 9)
U moet een doorlopend risicobeheersysteem hebben ingericht dat risico's identificeert, analyseert en beheerst gedurende de gehele levenscyclus van het systeem. Dit is geen eenmalige risicoanalyse. Het gaat om een levend systeem dat meegroeit met uw AI-toepassing.
Data governance (Artikel 10)
De trainings-, validatie- en testdata moeten voldoen aan kwaliteitscriteria. U moet kunnen aantonen dat de data relevant, representatief en zo veel mogelijk vrij van fouten is. Hoe gaat u om met bias in de data? Welke maatregelen neemt u om discriminatie te voorkomen? Dit moet gedocumenteerd zijn.
Technische documentatie (Artikel 11)
Voor elk hoog-risico systeem stelt u technische documentatie op die het systeem volledig beschrijft. Hoe werkt het? Waarvoor is het bedoeld? Wat zijn de beperkingen? Welke hardware en software zijn nodig? De documentatie moet voldoende gedetailleerd zijn om een beoordeling van de conformiteit mogelijk te maken.
Logging en record-keeping (Artikel 12)
Het systeem moet automatisch logs bijhouden die achteraf kunnen worden geanalyseerd. Bij een incident of klacht moet u kunnen achterhalen wat het systeem heeft gedaan. Wie heeft wanneer welke input gegeven, en wat was de output?
Transparantie en informatievoorziening (Artikel 13)
Gebruikers van uw systeem moeten voldoende informatie krijgen om het verantwoord in te kunnen zetten. Dit geldt niet alleen voor eindgebruikers. Ook de organisaties die uw systeem afnemen (de deployers) moeten weten wat ze in huis halen. Instructies voor gebruik, beperkingen, vereisten voor menselijk toezicht: het hoort er allemaal bij.
Menselijk toezicht (Artikel 14)
Het systeem moet zo zijn ontworpen dat er effectief menselijk toezicht op mogelijk is. Geen volledig autonome beslissingen zonder menselijke controle, zeker niet bij besluiten die mensen direct raken. U moet beschrijven hoe dit toezicht in de praktijk functioneert.
Nauwkeurigheid, robuustheid en cybersecurity (Artikel 15)
Uw systeem moet een passend niveau van nauwkeurigheid bereiken. Het moet robuust zijn tegen fouten en verstoringen. En het moet beschermd zijn tegen cyberaanvallen en manipulatie. Welke tests heeft u uitgevoerd? Wat zijn de prestatiemetrieken? Hoe beschermt u het systeem tegen adversarial attacks?
CE-markering en EU-conformiteitsverklaring
Na een geslaagde conformiteitsbeoordeling stelt u twee dingen op.
De EU-conformiteitsverklaring is een formeel document waarin u als aanbieder verklaart dat het AI-systeem voldoet aan alle toepasselijke eisen van de AI Act. Dit document bevat informatie over het systeem, de uitgevoerde beoordeling, de toegepaste normen en uw contactgegevens. U bewaart dit document minimaal tien jaar na het op de markt brengen van het systeem.
De CE-markering brengt u aan op het systeem zelf of op de verpakking en documentatie. Het CE-logo geeft aan dat het systeem de conformiteitsbeoordeling heeft doorlopen. Zonder CE-markering mag het systeem niet worden aangeboden in de EU.
Registratie in de EU-databank
Na de conformiteitsbeoordeling en het aanbrengen van de CE-markering volgt registratie in de EU-databank voor hoog-risico AI-systemen. Deze databank wordt beheerd door de Europese Commissie en is deels openbaar toegankelijk.
Wat registreert u? De naam en beschrijving van het AI-systeem, het beoogde doel, uw gegevens als aanbieder, de risicocategorie en een samenvatting van de conformiteitsbeoordeling. De registratie moet plaatsvinden voordat het systeem op de markt wordt gebracht.
Voor gebruiksverantwoordelijken (deployers) geldt ook een registratieplicht bij bepaalde hoog-risico systemen. Overheidsinstanties die hoog-risico AI-systemen inzetten, moeten dit registreren in dezelfde databank.
Wat moeten deployers van hun providers vragen?
Bent u geen aanbieder maar gebruiksverantwoordelijke? Dan voert u de conformiteitsbeoordeling niet zelf uit. Toch heeft u verplichtingen. U moet controleren of de AI-systemen die u inzet compliant zijn.
Vraag uw leverancier om de EU-conformiteitsverklaring. Controleer of het systeem een CE-markering draagt. Vraag naar de technische documentatie en de gebruiksinstructies. Controleer of het systeem is geregistreerd in de EU-databank.
Kan uw leverancier deze documenten niet leveren? Dan is dat een serieus risicosignaal. U bent als deployer medeverantwoordelijk voor het gebruik van een compliant systeem. Leg de communicatie met uw leverancier vast, zodat u kunt aantonen dat u zorgvuldig heeft gehandeld.
Timeline: wanneer moet het geregeld zijn?
De oorspronkelijke deadline voor hoog-risico verplichtingen is augustus 2026. Het Digital Omnibus-pakket, een voorstel van de Europese Commissie, stelt voor om deze deadline te verschuiven naar december 2027. Of dit voorstel wordt aangenomen, is op dit moment nog niet zeker.
Wat betekent dit voor u? Wacht niet af. Als het Digital Omnibus niet tijdig wordt aangenomen, geldt augustus 2026. Dat is dichtbij. Start nu met de voorbereidingen, dan heeft u in beide scenario's voldoende tijd.
Tien praktische stappen om u voor te bereiden
1. Bepaal of uw AI-systeem als hoog risico wordt geclassificeerd. Raadpleeg Bijlage III van de AI Act voor de volledige lijst.
2. Stel vast of u aanbieder of gebruiksverantwoordelijke bent. Uw rol bepaalt uw verplichtingen.
3. Richt een risicobeheersysteem in dat risico's doorlopend identificeert en beheert.
4. Breng uw data governance op orde. Documenteer de herkomst, kwaliteit en representativiteit van trainingsdata.
5. Stel technische documentatie op die uw systeem volledig beschrijft.
6. Implementeer logging zodat u beslissingen van het systeem achteraf kunt reconstrueren.
7. Zorg voor heldere gebruiksinstructies en transparantie-informatie voor afnemers.
8. Ontwerp en documenteer het menselijk toezicht op uw systeem.
9. Test op nauwkeurigheid, robuustheid en cybersecurity. Leg de resultaten vast.
10. Voer de conformiteitsbeoordeling uit, stel de verklaring op, breng de CE-markering aan en registreer in de EU-databank.
Dit is een flinke lijst. Maar elk onderdeel is logisch en bouwt voort op het vorige. Begin bij stap 1 en werk systematisch door.
Hulp nodig?
AIComplianceHub helpt aanbieders en gebruiksverantwoordelijken bij het voorbereiden op de conformiteitsbeoordeling. Van risicoklassificatie en documentgeneratie tot een compleet AI-register: het platform begeleidt u stap voor stap door het proces. Start met de gratis AI Risicoscanner om direct inzicht te krijgen in uw verplichtingen.