Responsible AI Platform
🇳🇱 Nederlands

Annex VII AI Act

class="oj-doc-ti" id="d1e38-134-1">BILAGA VII

Official text

id="anx_VII"> BILAGA VII Bedömning av överensstämmelse grundad på en bedömning av kvalitetsstyrningssystemet och en bedömning av den tekniska dokumentationen 1.   Inledning Med överensstämmelse som grundar sig på en bedömning av kvalitetsstyrningssystem och en bedömning av den tekniska dokumentationen avses det förfarande för bedömning av överensstämmelse som grundar sig på punkterna 2–5. 2.   Översikt Det godkända kvalitetsstyrningssystemet för utformning, utveckling och testning av AI-system enligt artikel 17 ska granskas i enlighet med punkt 3 och övervakas i enlighet med punkt 5. Den tekniska dokumentationen för AI-systemet ska granskas i enlighet med punkt 4. 3.   Kvalitetsstyrningssystem

3.1

Leverantörens ansökan ska innehålla

a) leverantörens namn och adress och, om ansökan lämnas in av ett ombud, även dennes namn och adress,

b) en förteckning över de AI-system som omfattas av samma kvalitetsstyrningssystem,

c) den tekniska dokumentationen för varje AI-system som omfattas av samma kvalitetsstyrningssystem,

d) dokumentationen om kvalitetsstyrningssystemet, som ska omfatta samtliga aspekter som anges i artikel 17,

e) en beskrivning av de förfaranden som har införts för att säkerställa att kvalitetsstyrningssystemet förblir lämpligt och effektivt,

f) en skriftlig försäkran om att samma ansökan inte har lämnats till något annat anmält organ.

3.2

Kvalitetsstyrningssystemet ska bedömas av det anmälda organet, som ska fastställa om det uppfyller kraven i artikel 17. Beslutet ska meddelas leverantören eller dennes ombud. Meddelandet ska innehålla slutsatserna från bedömningen av kvalitetsstyrningssystemet och det motiverade bedömningsbeslutet.

3.3

Det godkända kvalitetsstyrningssystemet ska fortsätta att användas och underhållas av leverantören så att det förblir lämpligt och effektivt.

3.4

Leverantören ska underrätta det anmälda organet om alla planerade ändringar av det godkända kvalitetsstyrningssystemet eller förteckningen över de AI-system som omfattas av detta. De föreslagna ändringarna ska granskas av det anmälda organet, som ska besluta om huruvida det ändrade kvalitetsstyrningssystemet fortfarande uppfyller kraven i punkt 3.2 eller om en ny bedömning är nödvändig. Det anmälda organet ska meddela leverantören sitt beslut. Meddelandet ska innehålla slutsatserna från granskningen av ändringarna och det motiverade bedömningsbeslutet.

4.   Kontroll av den tekniska dokumentationen.

4.1

Utöver den ansökan som avses i punkt 3 ska leverantören lämna in en ansökan till ett valfritt anmält organ för bedömning av den tekniska dokumentationen för det AI-system som leverantören avser att släppa ut på marknaden eller ta i bruk och som omfattas av det kvalitetsstyrningssystem som avses i punkt 3.

4.2

Ansökan ska innehålla

a) leverantörens namn och adress,

b) en skriftlig försäkran om att samma ansökan inte har lämnats in till något annat anmält organ,

c) den tekniska dokumentation som avses i bilaga IV,

4.3

Den tekniska dokumentationen ska granskas av det anmälda organet. När så är relevant och begränsat till vad som är nödvändigt för att det anmälda organet ska kunna fullgöra sina uppgifter ska det beviljas fullständig åtkomst till de tränings-, validerings- och testdataset som används, inbegripet, när så är lämpligt och med förbehåll för säkerhetsgarantier, genom API eller andra relevanta tekniska medel och verktyg som möjliggör fjärråtkomst.

4.4

Vid granskningen av den tekniska dokumentationen får det anmälda organet kräva att leverantören lämnar ytterligare bevis eller utför ytterligare tester för att möjliggöra en korrekt bedömning av om AI-systemet uppfyller kraven i kapitel III avsnitt 2. Om det anmälda organet inte nöjer sig med de tester som leverantören har utfört ska det anmälda organet självt direkt utföra lämpliga tester på lämpligt sätt.

4.5

Om det är nödvändigt för att bedöma om AI-systemet med hög risk uppfyller kraven i kapitel III avsnitt 2 ska det anmälda organet, efter det att alla andra rimliga sätt att kontrollera överensstämmelse har uttömts och har visat sig vara sig vara otillräckliga, och på motiverad begäran också beviljas tillgång till AI-systemets träningsmodeller och intränade modeller, inbegripet dess relevanta parametrar. Sådan åtkomst ska omfattas av befintlig unionslagstiftning om skyddet av immateriella rättigheter och företagshemligheter.

4.6

Det anmälda organets beslut ska meddelas leverantören eller dennes ombud. Anmälan ska innehålla slutsatserna från bedömningen av den tekniska dokumentationen och det motiverade bedömningsbeslutet. Om AI-systemet uppfyller kraven i kapitel III avsnitt 2 ska ett unionsintyg om bedömning av teknisk dokumentation utfärdas av det anmälda organet. Intyget ska innehålla leverantörens namn och adress, slutsatserna från undersökningen, eventuella giltighetsvillkor och de uppgifter som krävs för att identifiera AI-systemet. Intyget och dess bilagor ska innehålla alla relevanta uppgifter för att AI-systemets överensstämmelse ska kunna utvärderas och för att AI-systemet ska kunna kontrolleras under användning, i tillämpliga fall. Om AI-systemet inte uppfyller kraven i kapitel III avsnitt 2 ska det anmälda organet vägra att utfärda ett unionsintyg om bedömning av teknisk dokumentation, underrätta sökanden om detta och utförligt motivera avslaget. Om AI-systemet inte uppfyller kraven för de data som används för att träna det måste AI-systemet tränas på nytt innan ansökan om en ny bedömning av överensstämmelse lämnas in. I detta fall ska det motiverade bedömningsbeslutet från det anmälda organ som vägrar att utfärda unionsintyget om bedömning av teknisk dokumentation innehålla särskilda överväganden om de kvalitativa data som används för att träna AI-systemet, särskilt om skälen till att kraven inte uppfylls.

4.7

Varje ändring av AI-systemet som kan påverka AI-systemets överensstämmelse med kraven eller dess avsedda ändamål ska bedömas av det anmälda organ som utfärdade unionsintyget om bedömning av teknisk dokumentation. Leverantören ska underrätta det anmälda organet om sin avsikt att utföra någon av de ovannämnda ändringarna eller om den på annat sätt blir medveten om att sådana ändringar har skett. De avsedda ändringarna ska bedömas av det anmälda organet, som ska besluta om dessa ändringar kräver en ny bedömning av överensstämmelse i enlighet med artikel 43.4 eller om de kan åtgärdas genom ett tillägg till unionsintyget om bedömning av teknisk dokumentation. I det senare fallet ska det anmälda organet bedöma ändringarna, underrätta leverantören om sitt beslut och, om ändringarna godkänns, utfärda ett tillägg till unionsintyget om bedömning av teknisk dokumentation, som ska överlämnas till leverantören.

5.   Övervakning av det godkända kvalitetsstyrningssystemet.

5.1

Syftet med övervakningen som utförs av det anmälda organ som avses i punkt 3 är att säkerställa att leverantören vederbörligen uppfyller villkoren för det godkända kvalitetsstyrningssystemet.

5.2

För bedömningsändamål ska leverantören ge det anmälda organet tillträde till de lokaler där utformningen, utvecklingen och testningen av AI-systemen äger rum. Leverantören ska vidarebefordra alla nödvändiga uppgifter till det anmälda organet.

5.3

Det anmälda organet ska genomföra periodiskt återkommande revisioner för att försäkra sig om att leverantören upprätthåller och tillämpar kvalitetsstyrningssystemet, samt lämna en revisionsrapport till leverantören. I samband med dessa revisioner får det anmälda organet utföra ytterligare tester av de AI-system för vilka ett unionsintyg om bedömning av teknisk dokumentation har utfärdats.

Source: EUR-Lex, Regulation (EU) 2024/1689 — text reproduced verbatim.

📬 AI Act Weekly

Get the most important AI Act developments in your inbox every week.

Subscribe

Frequently asked questions

What does Annex VII of the AI Act describe?

Annex VII describes the conformity assessment procedure based on assessment of the quality management system and assessment of the technical documentation by a notified body.

When is the Annex VII procedure mandatory?

Annex VII is mandatory for biometric AI systems under Annex III, point 1 (remote identification, biometric categorisation, emotion recognition), unless fully harmonised standards have been applied and the provider opts for internal control (Annex VI).

What does the notified body assess?

The notified body assesses two things: (1) the quality management system for compliance with Article 17, and (2) the technical documentation of the AI system for compliance with Chapter III, Section 2 requirements.

Can the notified body demand access to training data?

Yes, point 4.3 states that the notified body, where relevant and limited to its tasks, shall be granted full access to training, validation and testing datasets, including through API or other technical means for remote access where appropriate.

What if the notified body rejects my technical documentation?

The notified body will refuse the EU certificate and inform the provider with detailed reasons. If the issue relates to training data, the AI system must be retrained before a new conformity assessment.

How long is the certificate valid?

The certificate contains its validity conditions. The notified body conducts periodic audits (point 5.3) to verify the quality management system is maintained. Changes to the AI system may require reassessment (point 4.7).

What must I submit to the notified body?

Point 3.1 requires: (a) provider name and address, (b) list of AI systems under the QMS, (c) technical documentation per AI system, (d) QMS documentation, (e) procedures for adequacy, and (f) declaration that no other notified body has been approached.

Can the notified body also access the trained model?

Yes, point 4.5 states that in exceptional cases, after exhausting other means and upon reasoned request, the notified body may also access the trained model and relevant parameters, subject to IP and trade secret protections.