U beoordeelt een AI-leverancier onder de AI Act door vooraf vast te stellen in welke risicocategorie het systeem valt, of de leverancier de conformiteit kan aantonen, welke technische documentatie en transparantie-informatie hij levert, hoe de data governance is geregeld en of er een general-purpose AI-model (GPAI) onder zit. Die antwoorden legt u vast in het inkoopdossier en u verdeelt de provider- en deployer-plichten contractueel, zodat duidelijk is wie waarvoor verantwoordelijk is. Een leverancier die deze informatie niet kan of wil geven, is op zichzelf al een risicosignaal.
De reden om dit aan de voorkant te doen is praktisch. Zodra u een AI-systeem inkoopt en in gebruik neemt, bent u in veel gevallen deployer onder de AI Act en draagt u eigen verplichtingen, ongeacht wat de leverancier belooft. Wie pas na de handtekening ontdekt dat het systeem hoog-risico is of dat de documentatie ontbreekt, zit vast aan een contract zonder de waarborgen die de wet vraagt. Deze gids loopt langs de vragen die u stelt, wat u in het contract zet en hoe u de rollen verdeelt.
Wat verandert er en wanneer?
De AI Act loopt gefaseerd in en dat bepaalt hoe streng u nu moet uitvragen. De verboden praktijken gelden sinds 2 februari 2025 en zijn handhaafbaar. Artikel 4 over AI-geletterdheid geldt eveneens sinds 2 februari 2025. De transparantieverplichtingen van artikel 50 worden van kracht op 2 augustus 2026 en zijn niet uitgesteld. De GPAI-modelverplichtingen gelden sinds 2 augustus 2025, met volledige handhaving en boetes vanaf 2 augustus 2026. De zwaarste high-risk-verplichtingen voor standalone systemen uit Bijlage III zijn verschoven naar 2 december 2027, en voor in producten ingebedde high-risk AI uit Bijlage I naar 2 augustus 2028.
Voor inkoop betekent dit dat u nu al moet kunnen vaststellen of een systeem high-risk is, ook al ligt de harde nalevingsdeadline later. Contracten die u vandaag tekent, lopen vaak door tot na die deadlines. De runway is bedoeld om voor te lopen, niet om uit te stellen, want het bewijsdossier en de conformiteitsbeoordeling van een high-risk systeem zijn zwaar.
De Digital Omnibus, die delen van de AI Act wil aanpassen, is door het Europees Parlement gesteund op 16 juni 2026, maar is per eind juni 2026 nog geen formeel aangenomen wet. Tot publicatie in het Publicatieblad geldt de oorspronkelijke tekst van Verordening (EU) 2024/1689 juridisch. Plan dus op de huidige datums en verplichtingen.
Welke vragen stelt u de leverancier?
De kern van vendor due diligence is een gestructureerde uitvraag. U wilt niet alleen weten wat het systeem doet, maar of de leverancier de juridische positie ervan begrijpt en kan onderbouwen. De volgende checklist ordent de vragen langs zes thema's.
| Thema | Vraag aan de leverancier | Wat u wilt zien |
|---|---|---|
| Risicoclassificatie | In welke categorie van de AI Act valt dit systeem en op grond van welke redenering? | Een onderbouwd antwoord met verwijzing naar Bijlage III of de uitzonderingen van artikel 6, niet alleen "geen hoog risico" |
| Conformiteit | Kunt u een conformiteitsbeoordeling, CE-markering of verklaring van overeenstemming overleggen? | Voor high-risk systemen: een EU-conformiteitsverklaring en registratie; voor andere: een onderbouwing waarom dat niet vereist is |
| Technische documentatie | Levert u de technische documentatie en gebruiksinstructies conform Bijlage IV en artikel 13? | Documentatie over doel, capaciteiten, beperkingen, prestaties en de condities voor menselijk toezicht |
| Transparantie artikel 50 | Markeert het systeem AI-gegenereerde of gemanipuleerde content en maakt het AI-interactie kenbaar? | Concrete labelling, watermerk- of disclosure-functionaliteit die u als deployer kunt inzetten |
| Data governance | Hoe zijn trainings-, validatie- en testdata samengesteld, en hoe is bias getoetst? | Inzicht in databronnen, representativiteit en maatregelen tegen vertekening conform artikel 10 |
| GPAI-status | Zit er een general-purpose AI-model onder, en is de modelaanbieder zelf compliant? | Opgave van het gebruikte model, de modelaanbieder en diens documentatie en GPAI-status |
Beantwoordt de leverancier deze vragen vlot en met stukken, dan koopt u met onderbouwing in. Komen de antwoorden vaag of pas na lang aandringen, dan verschuift de bewijslast naar u en stijgt uw risico als deployer.
Let op de classificatievraag. Een leverancier heeft er belang bij om "geen hoog risico" te zeggen, omdat dat zijn eigen verplichtingen verlicht. Laat die conclusie onderbouwen en toets ze zelf aan Bijlage III, want u draagt als deployer mede de gevolgen van een verkeerde inschaling.
Hoe stelt u vast of het systeem hoog-risico is?
De classificatie bepaalt vrijwel alles wat daarna komt, dus die verdient een eigen stap. Een systeem is in beginsel high-risk als het valt onder een van de gebieden van Bijlage III, zoals AI in werving en selectie, onderwijs, essentiële private en publieke diensten, rechtshandhaving, migratie of rechtspleging. Daarnaast is AI high-risk als veiligheidscomponent van een product dat onder bestaande EU-productwetgeving valt (Bijlage I). Artikel 6 kent een uitzonderingsroute: een systeem dat onder Bijlage III lijkt te vallen maar geen significant risico voor gezondheid, veiligheid of grondrechten vormt, kan buiten high-risk blijven, mits de leverancier dat documenteert.
Bepaal het toepassingsgebied
Beschrijf concreet wat het systeem doet en in welke context u het inzet. Een generiek hulpmiddel kan in de ene toepassing laag-risico zijn en in de andere onder een Bijlage III-gebied vallen.
Toets aan Bijlage III en Bijlage I
Loop de gebieden van Bijlage III langs en check of het systeem een veiligheidscomponent is onder Bijlage I. Leg vast welke categorie van toepassing is, of waarom geen enkele dat is.
Beoordeel de artikel 6-uitzondering
Claimt de leverancier dat de uitzondering geldt, vraag dan de onderbouwing op. De documentatie van die afweging is zelf een verplichting en hoort in uw dossier.
Leg de uitkomst en de redenering vast
Niet alleen de conclusie telt, maar ook de navolgbare motivering. Bij een controle wil de toezichthouder zien hoe u tot de classificatie bent gekomen.
Wat zet u in het contract?
Het contract is de plek waar de mondelinge toezeggingen afdwingbaar worden. Zonder clausules die de AI Act-verplichtingen verankeren, staat u na oplevering met lege handen als blijkt dat documentatie of conformiteit ontbreekt. De volgende elementen horen in een AI-inkoopcontract thuis.
- Een garantie dat het systeem voldoet aan de toepasselijke verplichtingen van de AI Act, met opgave van de classificatie waarop dat is gebaseerd.
- De verplichting voor de leverancier om de technische documentatie, gebruiksinstructies en eventuele conformiteitsverklaring te leveren en actueel te houden.
- Toegang tot de informatie die u als deployer nodig heeft voor menselijk toezicht, logging en, waar van toepassing, een grondrechtenbeoordeling onder artikel 27.
- Afspraken over wijzigingen: meldt de leverancier substantiele aanpassingen aan het model of systeem die de classificatie of het risico raken?
- Een clausule over GPAI: als er een general-purpose model onder zit, garandeert de leverancier dat de modelaanbieder de bijbehorende verplichtingen nakomt en de vereiste documentatie beschikbaar stelt.
- Medewerking bij incidenten en bij verzoeken van de toezichthouder, inclusief de informatie die u nodig heeft voor incidentrapportage.
- Een heldere verdeling van verantwoordelijkheden tussen provider en deployer, zodat geen verplichting tussen wal en schip valt.
Een contract dat alleen functionele specificaties en standaard juridische bepalingen bevat, dekt de AI Act-verplichtingen niet. De compliance-laag moet expliciet in het contract staan, anders is ze bij oplevering niet afdwingbaar.
Wie is provider en wie is deployer?
De AI Act verdeelt verplichtingen over rollen, en bij inkoop is die rolverdeling het kompas. De provider is degene die het AI-systeem ontwikkelt of onder eigen naam op de markt brengt. De deployer is degene die het systeem onder eigen gezag gebruikt, in de regel uw organisatie. De zwaarste verplichtingen, zoals de conformiteitsbeoordeling, de technische documentatie en de CE-markering bij high-risk, liggen bij de provider. Maar de deployer heeft eigen plichten en kan die niet wegcontracteren.
| Verplichting | Provider | Deployer |
|---|---|---|
| Conformiteitsbeoordeling en technische documentatie | Verantwoordelijk | Vraagt op en bewaart in dossier |
| CE-markering en registratie high-risk | Verantwoordelijk | Controleert aanwezigheid |
| Gebruik volgens de instructies | Levert instructies | Verantwoordelijk |
| Menselijk toezicht conform artikel 14 | Maakt het mogelijk | Richt het in en voert het uit |
| Transparantie naar eindgebruikers (artikel 50) | Bouwt de functionaliteit | Zet ze in en informeert betrokkenen |
| Grondrechtenbeoordeling (artikel 27) | Levert benodigde informatie | Verantwoordelijk waar vereist |
| Monitoring en incidentmelding | Meldt vanuit eigen rol | Monitort het gebruik en meldt incidenten |
Belangrijk is de uitzondering die de rol kantelt. Past u een high-risk systeem substantieel aan, brengt u het onder uw eigen naam op de markt, of wijzigt u het beoogde doel zodanig dat het high-risk wordt, dan kunt u zelf provider worden en alle bijbehorende verplichtingen erven. Bij de inkoop van AI-agents en sterk configureerbare systemen is dit een reeel scenario, dus toets het expliciet.
Hoe voert u dit praktisch uit?
Voor de uitvoering van de leveranciers- en contractbeoordeling onder de AI Act biedt Embed AI een AI vendor- en contract-check die de risicoclassificatie, de conformiteitsstukken, de transparantie- en data governance-vragen en de provider- versus deployer-verdeling langsloopt en vertaalt naar concrete contractclausules. In plaats van zelf de hele vragenlijst en de rolverdeling te ontwerpen, krijgt u een gestructureerde beoordeling die u direct in uw inkoopdossier kunt opnemen.
Dezelfde check past binnen de bredere AI Act-voorbereiding van Embed AI, waarin een AI governance scan en een 30-daagse Readiness Sprint scope, AI-register, risicoclassificatie en bewijs ordenen. Vendor due diligence is daarvan een logisch onderdeel, omdat ingekochte systemen mee moeten in uw register en uw bewijsdossier. Als prijsindicatie: de governance scan kost 2.950 euro en is verrekenbaar, de Readiness Sprint 9.900 euro, en de bundel van beide 21.900 euro.
Naast de contractuele kant telt de menselijke kant. De mensen die AI-leveranciers beoordelen, de uitvraag doen en de uitkomsten gebruiken, hebben voldoende AI-geletterdheid nodig om de juiste vragen te stellen en de antwoorden te wegen. LearnWize legt die geletterdheid per rol aantoonbaar vast met assessments, leerpaden, trainingsregistraties en een Artikel 4-bewijsdossier, zodat inkopers, juristen en projectleiders niet alleen tekenen, maar ook begrijpen wat ze tekenen. Voor de juridische achtergrond bij de rolverdeling helpt het artikel over artikel 26 deployer-verplichtingen en voor de transparantiekant artikel 50 provider versus deployer.
Wat als de leverancier niet meewerkt?
Een leverancier die de classificatie niet kan onderbouwen, de technische documentatie achterhoudt of weigert AI Act-clausules op te nemen, levert u een duidelijk signaal. U koopt dan niet alleen een systeem in, maar ook een compliance-risico dat u als deployer draagt. In dat geval is het verstandig om de afname te heroverwegen, een alternatieve leverancier te zoeken, of de afspraken hard te maken voordat u tekent.
Het omgekeerde geldt ook. Een leverancier die proactief de classificatie deelt, de documentatie meelevert en de rolverdeling helder maakt, verlaagt uw risico en versnelt uw eigen nalevingsdossier. Vendor due diligence is daarmee niet alleen een controle, maar ook een manier om te kiezen voor partijen die de AI Act serieus nemen.
Veelgestelde vragen over AI-leveranciers beoordelen onder de AI Act
Korte, citeerbare antwoorden voor inkoop, juristen en governance-verantwoordelijken die AI-leveranciers toetsen onder de AI Act.