U ontwikkelt een AI-systeem dat kredietaanvragen beoordeelt. Of een tool die sollicitanten screent. Of medische beeldherkenning die artsen ondersteunt bij diagnoses. In al deze gevallen valt uw systeem onder de categorie hoog risico. De EU AI Act vereist dan een conformiteitsbeoordeling voordat u het systeem op de markt mag brengen. Maar wat houdt zo'n beoordeling precies in? En hoe pakt u het aan?
Wat is een conformiteitsbeoordeling?
Een conformiteitsbeoordeling is het proces waarmee een aanbieder (provider) aantoont dat een hoog-risico AI-systeem voldoet aan alle eisen uit de AI Act. Vergelijk het met de APK voor uw auto: voordat u de weg op mag, moet worden vastgesteld dat het voertuig aan de veiligheidsnormen voldoet. Bij AI-systemen werkt het vergelijkbaar. U doorloopt een gestructureerde toets die laat zien dat uw systeem veilig, betrouwbaar en in lijn met de wet is.
Dit is geen vrijblijvende exercitie. Zonder geslaagde conformiteitsbeoordeling mag u het systeem niet aanbieden in de EU. Geen CE-markering, geen toegang tot de markt.
Wie moet een conformiteitsbeoordeling uitvoeren?
De verplichting ligt bij de aanbieder van het AI-systeem. Dat is de partij die het systeem ontwikkelt of onder eigen naam op de markt brengt. Bent u een MKB-bedrijf dat een AI-tool van een leverancier gebruikt? Dan bent u gebruiksverantwoordelijke (deployer). U hoeft zelf geen conformiteitsbeoordeling uit te voeren.
Maar let op: als u een bestaand AI-systeem substantieel aanpast of het onder uw eigen naam op de markt brengt, kunt u juridisch als aanbieder worden aangemerkt. In dat geval gelden de verplichtingen wel voor u.
Voor gebruiksverantwoordelijken is het cruciaal om bij uw leverancier de conformiteitsverklaring en CE-markering op te vragen. Zonder die documenten heeft u geen bewijs dat het systeem aan de eisen voldoet. Meer hierover verderop in dit artikel.
Twee routes: zelfbeoordeling of externe audit
De AI Act kent twee routes voor de conformiteitsbeoordeling. Welke route van toepassing is, hangt af van het type AI-systeem.
Route 1: interne beoordeling (zelfbeoordeling)
Dit is de standaardroute voor het overgrote deel van de hoog-risico AI-systemen. De aanbieder voert de beoordeling zelf uit, aan de hand van de vereisten in de AI Act. Er komt geen externe auditor aan te pas. U toetst uw eigen systeem, documenteert de resultaten en stelt de conformiteitsverklaring op.
Klinkt dat te makkelijk? Dat valt mee. De eisen waaraan u moet voldoen zijn uitgebreid en concreet. Een slordig uitgevoerde zelfbeoordeling houdt geen stand bij een inspectie. De verantwoordelijkheid voor de juistheid ligt volledig bij u.
Route 2: beoordeling door een aangemelde instantie (notified body)
Voor een specifieke categorie is een externe audit verplicht: AI-systemen voor biometrische identificatie op afstand. Denk aan gezichtsherkenning in openbare ruimtes (voor zover toegestaan) of systemen die personen identificeren op basis van biometrische kenmerken.
Bij deze route schakelt u een onafhankelijke, door de EU erkende organisatie in die uw systeem beoordeelt. Deze aangemelde instanties worden momenteel in de lidstaten aangewezen. De externe audit is strenger en duurder, maar biedt ook meer zekerheid richting toezichthouders en afnemers.
Voor de meeste aanbieders geldt route 1. Twijfelt u welke route op uw systeem van toepassing is? Controleer dan of uw systeem valt onder Bijlage III, punt 1 van de AI Act (biometrische identificatie). Zo niet, dan volstaat de interne beoordeling.
Wat wordt er precies getoetst?
De conformiteitsbeoordeling dekt zeven kerngebieden uit de AI Act. Elk gebied moet aantoonbaar op orde zijn.
Risicobeheersysteem
Artikel 9U moet een doorlopend risicobeheersysteem hebben ingericht dat risico's identificeert, analyseert en beheerst gedurende de gehele levenscyclus van het systeem. Dit is geen eenmalige risicoanalyse. Het gaat om een levend systeem dat meegroeit met uw AI-toepassing.
Data governance
Artikel 10De trainings-, validatie- en testdata moeten voldoen aan kwaliteitscriteria. U moet kunnen aantonen dat de data relevant, representatief en zo veel mogelijk vrij van fouten is. Hoe gaat u om met bias in de data en welke maatregelen neemt u om discriminatie te voorkomen? Dit moet gedocumenteerd zijn.
Technische documentatie
Artikel 11Voor elk hoog-risico systeem stelt u technische documentatie op die het systeem volledig beschrijft: hoe het werkt, waarvoor het is bedoeld, wat de beperkingen zijn en welke hardware en software nodig zijn. Voldoende gedetailleerd om een beoordeling van de conformiteit mogelijk te maken.
Logging en record-keeping
Artikel 12Het systeem moet automatisch logs bijhouden die achteraf kunnen worden geanalyseerd. Bij een incident of klacht moet u kunnen achterhalen wat het systeem heeft gedaan: wie heeft wanneer welke input gegeven, en wat was de output?
Transparantie en informatievoorziening
Artikel 13Gebruikers van uw systeem moeten voldoende informatie krijgen om het verantwoord in te kunnen zetten. Dit geldt niet alleen voor eindgebruikers, maar ook voor organisaties die uw systeem afnemen (de deployers). Instructies voor gebruik, beperkingen, vereisten voor menselijk toezicht: het hoort er allemaal bij.
Menselijk toezicht
Artikel 14Het systeem moet zo zijn ontworpen dat er effectief menselijk toezicht op mogelijk is. Geen volledig autonome beslissingen zonder menselijke controle, zeker niet bij besluiten die mensen direct raken. U moet beschrijven hoe dit toezicht in de praktijk functioneert.
Nauwkeurigheid, robuustheid en cybersecurity
Artikel 15Uw systeem moet een passend niveau van nauwkeurigheid bereiken, robuust zijn tegen fouten en verstoringen, en beschermd tegen cyberaanvallen en manipulatie. Welke tests heeft u uitgevoerd, wat zijn de prestatiemetrieken en hoe beschermt u het systeem tegen adversarial attacks?
CE-markering en EU-conformiteitsverklaring
Na een geslaagde conformiteitsbeoordeling stelt u twee dingen op.
De EU-conformiteitsverklaring is een formeel document waarin u als aanbieder verklaart dat het AI-systeem voldoet aan alle toepasselijke eisen van de AI Act. Dit document bevat informatie over het systeem, de uitgevoerde beoordeling, de toegepaste normen en uw contactgegevens. U bewaart dit document minimaal tien jaar na het op de markt brengen van het systeem.
De CE-markering brengt u aan op het systeem zelf of op de verpakking en documentatie. Het CE-logo geeft aan dat het systeem de conformiteitsbeoordeling heeft doorlopen. Zonder CE-markering mag het systeem niet worden aangeboden in de EU.
Registratie in de EU-databank
Na de conformiteitsbeoordeling en het aanbrengen van de CE-markering volgt registratie in de EU-databank voor hoog-risico AI-systemen. Deze databank wordt beheerd door de Europese Commissie en is deels openbaar toegankelijk.
Wat registreert u? De naam en beschrijving van het AI-systeem, het beoogde doel, uw gegevens als aanbieder, de risicocategorie en een samenvatting van de conformiteitsbeoordeling. De registratie moet plaatsvinden voordat het systeem op de markt wordt gebracht.
Voor gebruiksverantwoordelijken (deployers) geldt ook een registratieplicht bij bepaalde hoog-risico systemen. Overheidsinstanties die hoog-risico AI-systemen inzetten, moeten dit registreren in dezelfde databank.
Wat moeten deployers van hun providers vragen?
Bent u geen aanbieder maar gebruiksverantwoordelijke? Dan voert u de conformiteitsbeoordeling niet zelf uit. Toch heeft u verplichtingen. U moet controleren of de AI-systemen die u inzet compliant zijn.
Vraag uw leverancier om de EU-conformiteitsverklaring. Controleer of het systeem een CE-markering draagt. Vraag naar de technische documentatie en de gebruiksinstructies. Controleer of het systeem is geregistreerd in de EU-databank.
Kan uw leverancier deze documenten niet leveren? Dan is dat een serieus risicosignaal. U bent als deployer medeverantwoordelijk voor het gebruik van een compliant systeem. Leg de communicatie met uw leverancier vast, zodat u kunt aantonen dat u zorgvuldig heeft gehandeld.
Timeline: wanneer moet het geregeld zijn?
Het Digital Omnibus-voorstel (COM(2025) 836, in trilogue per april 2026) verschuift naar verwachting de deadline voor hoog-risico AI uit Bijlage III van 2 augustus 2026 naar 2 december 2027. Voor AI in gereguleerde producten (Bijlage I) schuift de deadline van 2 augustus 2027 naar 2 augustus 2028. Tot adoptie in het Publicatieblad (verwacht mei/juni 2026) gelden juridisch de oorspronkelijke deadlines. Wacht niet af: de voorbereidingen voor een conformiteitsbeoordeling kosten tijd.
Tien praktische stappen om u voor te bereiden
Bepaal de classificatie
Stel vast of uw AI-systeem als hoog risico wordt geclassificeerd. Raadpleeg Bijlage III van de AI Act voor de volledige lijst.
Bepaal uw rol
Stel vast of u aanbieder of gebruiksverantwoordelijke bent. Uw rol bepaalt uw verplichtingen.
Richt een risicobeheersysteem in
Een doorlopend systeem dat risico's identificeert en beheert gedurende de levenscyclus.
Breng data governance op orde
Documenteer de herkomst, kwaliteit en representativiteit van trainingsdata.
Stel technische documentatie op
Een volledige beschrijving van het systeem, voldoende voor een beoordeling van de conformiteit.
Implementeer logging
Zorg dat u beslissingen van het systeem achteraf kunt reconstrueren.
Schrijf gebruiksinstructies
Heldere transparantie-informatie en gebruiksvoorwaarden voor de afnemers van uw systeem.
Ontwerp menselijk toezicht
Beschrijf hoe het toezicht in de praktijk functioneert en documenteer dit.
Test op nauwkeurigheid en robuustheid
Inclusief cybersecurity-testen tegen adversarial attacks. Leg alle resultaten vast.
Voer de conformiteitsbeoordeling uit
Stel de verklaring op, breng de CE-markering aan en registreer in de EU-databank.
Dit is een flinke lijst. Maar elk onderdeel is logisch en bouwt voort op het vorige. Begin bij stap 1 en werk systematisch door.
Hulp nodig?
AIComplianceHub helpt aanbieders en gebruiksverantwoordelijken bij het voorbereiden op de conformiteitsbeoordeling. Van risicoklassificatie en documentgeneratie tot een compleet AI-register: het platform begeleidt u stap voor stap door het proces. Start met de gratis AI Risicoscanner om direct inzicht te krijgen in uw verplichtingen.