De meeste organisaties die AI implementeren bouwen het niet zelf. Ze kopen het, licenseren het, en zetten het in om beslissingen te nemen over klanten, medewerkers of patienten. In het EU AI Act heten deze organisaties deployers, en Artikel 26 is specifiek voor hen geschreven.
De gangbare misvatting is dat compliance bij de leverancier ligt. Dat is onjuist. De AI Act legt uitdrukkelijk zelfstandige, niet-overdraagbare verplichtingen op aan de deployer. Je contract met de provider geeft je geen bescherming. De naam van jouw organisatie staat op het spel.
Artikel 26 bevat negen substantiele verplichtingen (met een tiende specifiek voor handhaving van biometrische identificatie). Elk vereist concrete actie voordat je live gaat met een hoog-risico AI-systeem. Dit is wat ze in de praktijk betekenen.
Wie is een deployer?
Artikel 3, lid 4 van de EU AI Act definieert een deployer als elke natuurlijke of rechtspersoon, overheidsinstantie, agentschap of ander orgaan dat een AI-systeem onder eigen verantwoordelijkheid gebruikt, tenzij het AI-systeem wordt gebruikt in het kader van een persoonlijke niet-beroepsmatige activiteit.
De sleutelzin is "onder eigen verantwoordelijkheid." Zodra jouw organisatie een AI-systeem inzet voor professionele doeleinden, ben je deployer, ongeacht of je het systeem zelf hebt gebouwd.
Als jouw bank een AI-kredietscoringsmodel gebruikt dat gebouwd is door een fintech-leverancier, is de fintech de provider. Jouw bank is de deployer. Als jouw ziekenhuis diagnostische AI gebruikt van een medisch softwarebedrijf, is het softwarebedrijf de provider. Jouw ziekenhuis is de deployer. Als jouw HR-team een sollicitatiescreeningstool gebruikt, is de toolleverancier de provider. Jouw organisatie is de deployer.
Weet je niet zeker welke rol op jou van toepassing is? De risicobeoordeling tool helpt je je positie in de AI Act-waardeketen in kaart te brengen.
De 9 verplichtingen van Artikel 26
1. Volg de gebruiksaanwijzing (Artikel 26, lid 1)
Deployers moeten hoog-risico AI-systemen gebruiken overeenkomstig de door de provider verstrekte gebruiksaanwijzing. Dit klinkt eenvoudig. In de praktijk vereist het dat je die documentatie daadwerkelijk hebt ontvangen, gelezen en geoperationaliseerd.
De gebruiksaanwijzing komt voort uit Artikel 13, dat van providers eist dat ze hun hoog-risico AI-systemen transparant en interpreteerbaar maken voor deployers. Als jouw leverancier deze documentatie niet heeft verstrekt, kun je niet voldoen aan Artikel 26, lid 1. Vraag er expliciet om voor de go-live.
In een HR-context: als de wervings-AI alleen is goedgekeurd voor het screenen van cv's in bepaalde functiecategorieen, is het inzetten buiten die categorieen een overtreding. De gebruiksaanwijzing definieert de grenzen van rechtmatig gebruik.
2. Wijs menselijk toezicht toe aan competente personen (Artikel 26, lid 2)
Je moet de verantwoordelijkheid voor menselijk toezicht toewijzen aan natuurlijke personen die beschikken over de nodige competentie, opleiding en bevoegdheid om de toezichtsrol uit te oefenen en om in te grijpen wanneer dat nodig is.
Dit is geen formaliteit. Het betekent het aanwijzen van specifieke personen, ervoor zorgen dat ze begrijpen hoe het AI-systeem werkt, hen trainen op de beperkingen en faalwijzen, en hen daadwerkelijke bevoegdheid geven om de output van het systeem te overschrijven of op te schorten.
Een financiele instelling die een AI-fraudedetectiesysteem gebruikt heeft toezichtspersoneel nodig dat begrijpt wat het model signaleert, wat het mist, en in welke omstandigheden een menselijk oordeel de geautomatiseerde aanbeveling moet overschrijven. Het toewijzen van deze rol aan een junior analist zonder echte bevoegdheid voldoet niet aan Artikel 26, lid 2.
Deze verplichting hangt nauw samen met de AI-geletterdheidsverplichtingen onder Artikel 4 van de EU AI Act, die van deployers eisen dat hun medewerkers over voldoende AI-geletterdheid beschikken.
3. Andere verplichtingen blijven van kracht (Artikel 26, lid 3)
De verplichtingen uit lid 1 en 2 laten andere verplichtingen van de deployer op grond van Unie- of nationaal recht onverlet, evenals de vrijheid van de deployer om zijn eigen middelen en activiteiten te organiseren om de door de provider aangegeven maatregelen voor menselijk toezicht uit te voeren.
In de praktijk: Artikel 26 vervangt niet je AVG-verplichtingen, sectorspecifieke regelgeving of arbeidsrecht. Het komt er bovenop. Een publiekrechtelijke deployer die AI gebruikt bij besluiten over sociale uitkeringen moet voldoen aan zowel de AI Act als de bestuursrechtelijke procedurele vereisten. Een zorgdeployer moet voldoen aan zowel de AI Act als de medische hulpmiddelenregelgeving.
4. Zorg voor datakwaliteit wanneer je inputdata beheert (Artikel 26, lid 4)
Wanneer de deployer controle uitoefent over de inputdata, moet hij ervoor zorgen dat de data relevant en voldoende representatief is voor het beoogde doel.
Deze verplichting geldt alleen wanneer jij, als deployer, verantwoordelijk bent voor de data die in het AI-systeem wordt ingevoerd. Als je een software-as-a-service-product gebruikt waarbij de provider de datapipeline beheert, is dit mogelijk niet van toepassing. Maar als je je eigen datasets invoert in een gelicenseerd model, draag je verantwoordelijkheid voor de datakwaliteit.
Dit is bijzonder relevant in overheidstoepassingen. Een gemeente die een AI-systeem gebruikt voor de toewijzing van sociale huurwoningen moet ervoor zorgen dat de trainings- en inputdata de populatie die het moet bedienen daadwerkelijk representeert. Bevooroordeelde of niet-representatieve data leidt tot discriminerende uitkomsten, en onder Artikel 26, lid 4 is de deployer aansprakelijk.
5. Monitor, rapporteer en schort op wanneer nodig (Artikel 26, lid 5)
Deployers moeten de werking van het hoog-risico AI-systeem monitoren op basis van de gebruiksaanwijzing. Wanneer deployers reden hebben om aan te nemen dat gebruik van het systeem overeenkomstig de instructies kan leiden tot een risico in de zin van Artikel 79, lid 1, moeten zij onverwijld de provider of distributeur en de relevante markttoezichthouder informeren en het gebruik opschorten. Bij een ernstig incident moet de deployer onmiddellijk eerst de provider informeren, en daarna de importeur of distributeur en de relevante markttoezichthouders.
Dit is een actieve, doorlopende verplichting, geen eenmalige controle. Het vereist een monitoringkader, duidelijke escalatiepaden en iemand die verantwoordelijk is voor het besluit wanneer de stekker eruit moet.
De rapportageverplichting voor ernstige incidenten weerspiegelt de logica van de AVG-datalekmelding: als er iets misgaat, moet de toezichthouder het snel weten. Stel je incidentresponsprocedure vast voor de go-live.
6. Bewaar logs minimaal 6 maanden (Artikel 26, lid 6)
Deployers moeten de door het hoog-risico AI-systeem automatisch gegenereerde logs bewaren gedurende ten minste zes maanden, tenzij het Unie- of nationaal recht een andere bewaartermijn voorschrijft of de logs persoonsgegevens bevatten met een kortere bewaartermijn op grond van de AVG.
Logs zijn je auditspoor. Ze tonen aan dat het systeem correct is gebruikt, dat toezicht is uitgeoefend en dat de output van het systeem achteraf kan worden beoordeeld. Zonder logs kun je naleving niet aantonen en kun je incidenten niet onderzoeken.
Controleer of het systeem van jouw leverancier standaard logs genereert, waar die logs worden opgeslagen, of jij er toegang toe hebt en of zes maanden bewaring is geconfigureerd.
7. Informeer werknemers en hun vertegenwoordigers (Artikel 26, lid 7)
Voordat deployers die werkgever zijn een hoog-risico AI-systeem inzetten dat op de werkplek wordt gebruikt, moeten zij de werknemersvertegenwoordigers en de betrokken werknemers informeren. Deze verplichting geldt specifiek voor deployers in de rol van werkgever โ niet voor elke deployer-categorie.
Deze verplichting wordt het vaakst overgeslagen. Organisaties richten zich op technische naleving en vergeten de menselijke dimensie. De AI Act vereist uitdrukkelijk werknemersnotificatie, niet alleen als procedurele beleefdheid maar als wettelijke eis.
In een productieomgeving: voordat AI-gestuurde kwaliteitscontrolesystemen worden ingezet die de prestaties van werknemers monitoren, moeten medewerkers en ondernemingsraden worden geinformeerd. In een kantooromgeving: voordat AI-tools worden ingezet die de productiviteit van medewerkers beoordelen, geldt dezelfde notificatieverplichting.
De reikwijdte van "hoog-risico AI-systemen op de werkplek" is breder dan veel mensen verwachten. Systemen die van invloed zijn op arbeidsbesluiten, taakverdeling of prestatiebewaking kunnen onder de hoog-risico categorie vallen. Raadpleeg Bijlage III van de EU AI Act voor de volledige lijst.
Betrek ondernemingsraden, vakbonden en werknemersvertegenwoordigers tijdig. Behandel dit niet als een formaliteit achteraf.
8. Overheidsorganisaties moeten registreren voor gebruik (Artikel 26, lid 8)
Wanneer deployers overheidsinstanties, agentschappen of organen zijn, moeten zij voldoen aan de registratieverplichtingen uit Artikel 49. De registratie zelf vindt plaats in de EU-database bedoeld in Artikel 71. Als een systeem dat men wil gebruiken niet is geregistreerd in die database, mag de overheidsinstantie het niet gebruiken en dient zij de provider of distributeur te informeren.
Dit is een harde stopzetting voor overheidsdeployers. Geen registratie, geen gebruik. De EU AI Act-database is het transparantiemechanisme voor overheidsgebruik van hoog-risico AI. De aanschaf van AI-systemen in de publieke sector moet registratie als pre-go-live-stap omvatten.
9. Gebruik Artikel 13-informatie voor DPIA-naleving (Artikel 26, lid 9)
Deployers moeten de informatie die wordt verstrekt krachtens Artikel 13 (transparantie en informatieverplichtingen) gebruiken om te voldoen aan hun DPIA-verplichtingen uit hoofde van AVG Artikel 35 of Richtlijn Artikel 27.
Dit is de directe brug tussen de AI Act en de AVG. Artikel 13 vereist dat providers gedetailleerde technische documentatie over hun AI-systeem verstrekken, inclusief de mogelijkheden, beperkingen en risico's. Deployers moeten deze documentatie gebruiken bij het uitvoeren van gegevensbeschermingseffectbeoordelingen.
Als je een hoog-risico AI-systeem inzet dat persoonsgegevens verwerkt, is een DPIA op grond van de AVG vrijwel zeker vereist. De AI Act instrueert je nu expliciet om de Artikel 13-documentatie van de provider te gebruiken als input voor die DPIA. Dit betekent dat jouw DPIA niet kan worden afgerond zonder adequate providerdocumentatie.
De FRIA-generator op deze site helpt je de grondrechteneffectbeoordeling te structureren die de Artikel 26, lid 9-verplichtingen verbindt met jouw specifieke inzetcontext.
Twee verplichtingen die organisaties het vaakst fout doen
Lid 7 (werknemersnotificatie) is de meest overgeslagen verplichting. Ze geldt specifiek voor deployers die werkgever zijn โ niet voor elke deployer, maar wanneer jouw organisatie AI inzet op de eigen werkplek. Organisaties behandelen het als een interne communicatietaak in plaats van een wettelijke eis. De gevolgen van het overslaan ervan zijn niet alleen een nalevingsgat, maar potentiele aansprakelijkheid als door AI gestuurde arbeidsbesluiten later worden aangevochten door medewerkers of vakbondsvertegenwoordigers.
Lid 9 (DPIA-brug) wordt verkeerd begrepen omdat organisaties AI Act-naleving en AVG-naleving als afzonderlijke trajecten behandelen. Dat zijn ze niet. De AI Act verbindt ze expliciet. Jouw DPIA en jouw AI Act-nalevingsdocumentatie moeten naar elkaar verwijzen. Als dat niet het geval is, is een van de twee onvolledig.
Artikel 26 Compliance Checklist voor Deployers
Controleer alle negen punten voordat je een hoog-risico AI-systeem in gebruik neemt:
- Gebruiksaanwijzing ontvangen en beoordeeld van de provider (Lid 1)
- Specifieke personen benoemd voor menselijk toezicht met gedocumenteerde competentie en bevoegdheid (Lid 2)
- AI Act-verplichtingen in kaart gebracht ten opzichte van bestaande AVG-, sector- en arbeidsrechtverplichtingen (Lid 3)
- Kwaliteit en representativiteit van inputdata beoordeeld en gedocumenteerd, als je inputdata beheert (Lid 4)
- Monitoringprocedure, incidentescalatiepad en criteria voor opschorting vastgesteld (Lid 5)
- Loggeneratie en 6 maanden bewaring geconfigureerd en toegankelijk bevestigd (Lid 6)
- Als werkgever: werknemersvertegenwoordigers en betrokken medewerkers geinformeerd, met bewijs van notificatie (Lid 7)
- Systeem geregistreerd in de EU-database als je een overheidsinstantie bent (Lid 8)
- DPIA voltooid of bijgewerkt met gebruikmaking van de Artikel 13-documentatie van de provider (Lid 9)
Volgende stappen
Artikel 26-naleving vereist meer dan een checklist. Het vereist gedocumenteerde processen, getraind personeel en integratie met jouw bestaande governance-kaders.
De FRIA-generator helpt je een grondrechteneffectbeoordeling op te stellen die jouw Artikel 26, lid 9-verplichtingen dekt en gestructureerde input levert voor jouw DPIA.
Voor een volledig beeld van hoe het AI-gebruik van jouw organisatie zich verhoudt tot de EU AI Act-risicocategorieen, doorloopt de risicobeoordeling tool de classificatielogica.
De volledige wettekst van Artikel 26 is beschikbaar op deze site als je de exacte bewoording nodig hebt voor jouw nalevingsdocumentatie.
Als je AI inzet in HR, finance of publieke dienstverlening, is de hoog-risico classificatie onder Bijlage III vrijwel zeker van toepassing. Zorg dat het nalevingskader op orde is voor de go-live, niet erna.