Responsible AI Platform

Artikel 26 EU AI Act: Alle 12 Verplichtingen voor Gebruikers van Hoog-Risico AI

··13 min leestijd
Delen:
Engelse versie niet beschikbaar

Samenvatting: Artikel 26 EU AI Act bevat 12 leden met verplichtingen voor deployers (gebruiksverantwoordelijken) van hoog-risico AI-systemen. De kern: gebruik het systeem volgens de instructies, wijs competente personen aan voor menselijk toezicht, monitor de werking, rapporteer ernstige incidenten, voer een FRIA uit waar nodig, informeer betrokkenen, bewaar logs minimaal 6 maanden, en registreer het gebruik als overheidsorganisatie. Boetes bij niet-naleving: tot 15 miljoen euro of 3% van de wereldwijde jaaromzet.

Waarom artikel 26 voor de meeste organisaties relevanter is dan je denkt

De meeste organisaties die met AI werken zijn geen ontwikkelaars van AI-systemen. Ze kopen AI in, integreren het in hun processen en gebruiken het om beslissingen te nemen of te ondersteunen. Denk aan een bank die een AI-kredietscoringsmodel gebruikt, een ziekenhuis dat diagnostische AI inzet, of een HR-afdeling die AI-gestuurde wervingssoftware toepast.

In de terminologie van de EU AI Act zijn dit deployers (in de Nederlandse vertaling: gebruiksverantwoordelijken). En voor hen is artikel 26 het meest relevante artikel in de hele verordening. Het bevat de complete set verplichtingen die gelden zodra je een hoog-risico AI-systeem in gebruik neemt.

Toch wordt artikel 26 in de praktijk vaak over het hoofd gezien. Organisaties concentreren zich op de verplichtingen van providers (aanbieders), in de veronderstelling dat de leverancier alles regelt. Dat is een gevaarlijke aanname. De AI Act legt uitdrukkelijk eigen, onafhankelijke verplichtingen op aan deployers, en die verplichtingen kun je niet contractueel afschuiven.

Wie is een deployer?

Artikel 3, lid 4 van de AI Act definieert een deployer als:

"een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of ander orgaan dat onder eigen verantwoordelijkheid een AI-systeem gebruikt, tenzij het AI-systeem wordt gebruikt in het kader van een persoonlijke, niet-beroepsmatige activiteit."

Het cruciale element is "onder eigen verantwoordelijkheid." Zodra je organisatie een AI-systeem inzet voor professionele doeleinden, ben je deployer, ongeacht of je het systeem zelf hebt gebouwd.

Deployer vs. provider: het verschil

De rolverdeling in de AI Act-waardeketen is helder:

  • Provider (aanbieder): ontwikkelt het AI-systeem of laat het ontwikkelen en brengt het op de markt onder eigen naam
  • Deployer (gebruiksverantwoordelijke): zet het AI-systeem in binnen de eigen organisatie
  • Importeur: brengt een AI-systeem uit een derde land de EU-markt op
  • Distributeur: maakt het systeem beschikbaar op de markt zonder het te wijzigen

In de praktijk is dezelfde organisatie soms zowel provider als deployer. Maar voor de meeste bedrijven geldt: je koopt een AI-systeem in en bent daarmee deployer. Weet je niet zeker welke rol op jou van toepassing is? Gebruik onze provider-vs-deployer tool om het in kaart te brengen.

Praktijkvoorbeelden

Bank met kredietscoring-AI: De bank koopt een AI-systeem dat kredietwaardigheidbeoordelingen genereert. De softwareleverancier is de provider. De bank is de deployer, want zij zet het systeem in onder eigen verantwoordelijkheid om kredietbeslissingen te nemen.

Ziekenhuis met diagnostische AI: Het ziekenhuis gebruikt AI-software die radiologen ondersteunt bij het beoordelen van scans. De fabrikant van de software is provider. Het ziekenhuis is deployer.

HR-afdeling met wervings-AI: Het bedrijf gebruikt een AI-tool die sollicitaties automatisch screent. De aanbieder van de tool is provider. Het bedrijf dat de tool inzet bij werving is deployer.

De 12 leden van artikel 26

Artikel 26 is opgebouwd uit twaalf leden. Hieronder behandel ik elk lid aan de hand van de officiële tekst.

Lid 1: Gebruik volgens de gebruiksaanwijzing

Deployers moeten passende technische en organisatorische maatregelen nemen om te waarborgen dat zij hoog-risico AI-systemen gebruiken in overeenstemming met de bij het systeem gevoegde gebruiksaanwijzing, overeenkomstig de leden 3 en 6. Dit klinkt eenvoudig, maar veronderstelt dat je die gebruiksaanwijzing daadwerkelijk hebt ontvangen, gelezen en begrepen.

Vraag je provider expliciet om de instructions for use. Zonder die documentatie kun je onmogelijk aan deze verplichting voldoen.

Lid 2: Menselijk toezicht door competente personen

Je moet de verantwoordelijkheid voor menselijk toezicht toewijzen aan natuurlijke personen die beschikken over de nodige competentie, opleiding en autoriteit, alsook de nodige ondersteuning. Dit is niet iets dat je "erbij" doet. Het vereist dat je medewerkers aanwijst die het systeem begrijpen, de output kunnen interpreteren en de bevoegdheid hebben om in te grijpen.

Dit hangt nauw samen met de AI-geletterdheidsverplichtingen uit artikel 4 van de AI Act.

Lid 3: Onverminderd andere verplichtingen

De verplichtingen uit lid 1 en 2 laten overige verplichtingen van de deployer op grond van het Unierecht of het nationale recht onverlet, evenals de vrijheid van de deployer om zijn eigen middelen en activiteiten te organiseren om de door de provider aangegeven maatregelen voor menselijk toezicht uit te voeren.

In de praktijk betekent dit: de AI Act vervangt niet je bestaande verplichtingen op grond van bijvoorbeeld de AVG, sectorale wetgeving of arbeidsrecht. Het komt er bovenop.

Lid 4: Relevantie van inputdata

Voor zover de deployer controle uitoefent over de inputdata, moet deze ervoor zorgen dat die data relevant en voldoende representatief zijn met het oog op het beoogde doel van het hoog-risico AI-systeem. Dit geldt met name wanneer je zelf data invoert of configureert welke data het systeem verwerkt.

Lid 5: Monitoring, risicosignalering en incidentrapportage

Deployers moeten de werking van het hoog-risico AI-systeem monitoren op basis van de gebruiksaanwijzing en, waar relevant, providers informeren overeenkomstig artikel 72.

Wanneer deployers reden hebben om aan te nemen dat het gebruik een risico oplevert in de zin van artikel 79, lid 1, moeten zij onverwijld de provider of distributeur en de relevante markttoezichtautoriteit informeren en het gebruik opschorten.

Bij een ernstig incident moeten zij onmiddellijk eerst de provider informeren, vervolgens de importeur of distributeur en de relevante markttoezichtautoriteiten.

Financiele instellingen: Voor deployers die financiele instellingen zijn en onder intern governance-eisen van Europees financieel recht vallen, wordt aan de monitoringverplichting geacht te zijn voldaan door naleving van de regels inzake interne governance op grond van het relevante financieel recht.

Lid 6: Logs bewaren, minimaal 6 maanden

De automatisch gegenereerde logs van het hoog-risico AI-systeem moeten door de deployer worden bewaard voor een periode die past bij het beoogde doel, en in ieder geval voor een periode van ten minste zes maanden, tenzij het toepasselijke Unie- of nationale recht anders bepaalt (met name het Unierecht inzake de bescherming van persoonsgegevens).

Financiele instellingen bewaren de logs als onderdeel van de documentatie krachtens het relevante financieel recht.

Lid 7: Werknemers informeren bij AI op de werkplek

Voordat een hoog-risico AI-systeem op de werkplek in gebruik wordt genomen, informeren deployers die werkgever zijn de werknemersvertegenwoordigers en de betrokken werknemers dat zij aan het gebruik van het systeem worden blootgesteld. Deze informatie wordt, indien van toepassing, verstrekt in overeenstemming met de regels en procedures van het Unie- en nationale recht en de praktijken inzake voorlichting van werknemers.

Lid 8: Registratie in EU-database voor publieke deployers

Deployers die overheidsinstanties, Unie-instellingen, -organen of -agentschappen zijn, voldoen aan de registratieverplichtingen als bedoeld in artikel 49. Wanneer deze deployers constateren dat het hoog-risico AI-systeem dat zij willen gebruiken niet is geregistreerd in de EU-databank van artikel 71, gebruiken zij dat systeem niet en informeren zij de provider of distributeur.

Lees meer over de registratieverplichting in ons artikel over AI-systemen registreren.

Lid 9: DPIA-verplichtingen

Waar van toepassing gebruiken deployers de krachtens artikel 13 verstrekte informatie om te voldoen aan hun verplichting tot het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA) op grond van artikel 35 AVG of artikel 27 van Richtlijn (EU) 2016/680.

In de praktijk betekent dit dat je de DPIA en de FRIA vaak parallel moet uitvoeren.

Lid 10: Autorisatie voor post-remote biometrische identificatie

In het kader van een onderzoek naar een persoon die wordt verdacht van of veroordeeld is voor een strafbaar feit, moet de deployer van een hoog-risico AI-systeem voor post-remote biometrische identificatie vooraf (of zonder onnodig uitstel en uiterlijk binnen 48 uur) toestemming vragen aan een rechterlijke autoriteit of een bestuursorgaan.

Elk gebruik is beperkt tot wat strikt noodzakelijk is voor het onderzoek naar een specifiek strafbaar feit. Bij weigering van de toestemming wordt het gebruik onmiddellijk stopgezet en worden de persoonsgegevens verwijderd.

Absoluut verbod: Een dergelijk AI-systeem mag in geen geval door rechtshandhavingsinstanties op niet-gerichte wijze worden gebruikt, zonder verband met een strafbaar feit of strafrechtelijk onderzoek. Elk gebruik moet worden gedocumenteerd in het relevante politiedossier.

Deployers dienen jaarverslagen in bij de relevante markttoezicht- en nationale gegevensbeschermingsautoriteiten over hun gebruik van post-remote biometrische identificatiesystemen.

Lid 11: Betrokkenen informeren over AI-gebruik

Deployers van hoog-risico AI-systemen uit Bijlage III die besluiten nemen of helpen bij het nemen van besluiten met betrekking tot natuurlijke personen, informeren die personen dat zij onderworpen zijn aan het gebruik van het hoog-risico AI-systeem. Transparantie is hier het kernwoord. Mensen hebben het recht om te weten dat er AI wordt ingezet bij beslissingen die hen raken.

Onverminderd artikel 50, dat specifieke transparantieverplichtingen oplegt voor bepaalde AI-systemen. Voor hoog-risico AI-systemen die voor rechtshandhaving worden gebruikt, is artikel 13 van Richtlijn (EU) 2016/680 van toepassing.

Lid 12: Samenwerking met autoriteiten

Deployers werken samen met de relevante bevoegde autoriteiten bij alle maatregelen die deze autoriteiten nemen met betrekking tot het hoog-risico AI-systeem ter uitvoering van de AI Act. Dit omvat het verstrekken van informatie en toegang wanneer daarom wordt gevraagd.

FRIA: de aanvullende verplichting uit artikel 27

Naast de verplichtingen uit artikel 26 schrijft artikel 27 voor dat deployers van bepaalde hoog-risico AI-systemen uit Bijlage III, categorie 5(a) en 5(b), voorafgaand aan de ingebruikname een fundamentele rechten-effectbeoordeling (FRIA) uitvoeren. Dit betreft onder meer AI-systemen die worden gebruikt bij de beoordeling van kredietwaardigheid en bij de beoordeling van risico's en prijsstelling voor levens- en ziektekostenverzekeringen.

De FRIA is geen vrijblijvend advies. Het is een wettelijke verplichting die gestructureerd moet worden uitgevoerd. De resultaten moeten worden meegedeeld aan de relevante markttoezichtautoriteit. Een gedetailleerde vergelijking tussen DPIA en FRIA vind je in ons DPIA vs FRIA artikel.

Gebruik de FRIA-generator op het Responsible AI Platform om het proces stap voor stap te doorlopen.

Praktische implementatiechecklist

Hieronder een concrete aanpak om als organisatie te voldoen aan artikel 26:

  1. Inventariseer alle AI-systemen in gebruik. Breng in kaart welke AI-systemen je organisatie inzet, inclusief systemen die als "tool" of "software" worden ingekocht maar in werkelijkheid AI-systemen zijn. Gebruik de AI Act Decision Tree om te bepalen welke onder de AI Act vallen.
  2. Bepaal je rol per systeem. Ben je provider, deployer, of beide? Gebruik de provider-vs-deployer tool voor een snelle classificatie.
  3. Vraag gebruiksaanwijzingen op bij providers. Zorg dat je voor elk hoog-risico AI-systeem beschikt over de instructions for use. Zonder deze documentatie is compliance onmogelijk.
  4. Wijs menselijk toezicht toe. Benoem per systeem een of meer personen die verantwoordelijk zijn voor het toezicht. Zorg dat zij getraind zijn en de autoriteit hebben om het systeem te stoppen of output te negeren.
  5. Richt monitoring en incidentrapportage in. Stel processen in om de werking van het systeem doorlopend te monitoren. Definieer wat een "ernstig incident" is en wie het rapporteert, aan wie, en binnen welke termijn.
  6. Voer een FRIA uit waar vereist. Voor systemen in Bijlage III categorie 5(a) en 5(b) is een FRIA verplicht voorafgaand aan ingebruikname. Gebruik de FRIA-generator.
  7. Voer een DPIA uit voor persoonsgegevens. Wanneer het AI-systeem persoonsgegevens verwerkt en er sprake is van een hoog risico, is een DPIA verplicht onder de AVG.
  8. Informeer betrokkenen. Zorg dat personen die onderworpen worden aan AI-besluiten hiervan op de hoogte zijn. Pas je privacyverklaringen en informatievoorziening aan.
  9. Bewaar logs minimaal 6 maanden. Richt de technische infrastructuur in om automatisch gegenereerde logs op te slaan en toegankelijk te houden.
  10. Informeer werknemersvertegenwoordigers. Als je AI inzet op de werkplek, betrek de ondernemingsraad of andere werknemersvertegenwoordigers.
  11. Registreer als overheidsorganisatie. Publieke deployers moeten het gebruik registreren in de EU-database.
  12. Werk samen met autoriteiten. Zorg dat je organisatie bereid en in staat is om samen te werken met markttoezichtautoriteiten wanneer zij maatregelen nemen.

Veelgemaakte fouten en sancties

De drie grootste fouten

"De provider regelt het wel." Dit is de meest voorkomende misvatting. De AI Act legt eigen, onafhankelijke verplichtingen op aan deployers. Het feit dat je provider compliant is, ontslaat jou niet van je eigen verplichtingen.

Geen menselijk toezicht ingericht. Veel organisaties gebruiken AI-systemen zonder dat iemand specifiek is aangewezen om toezicht te houden. Lid 2 vereist competente personen met voldoende autoriteit. Een vinkje op een formulier is niet genoeg.

Geen incidentrapportageproces. Als een AI-systeem een ernstig incident veroorzaakt en je hebt geen rapportageproces ingericht, ben je in overtreding van lid 5. Dit geldt ook als je niet actief monitort terwijl de wet dat wel vereist.

Sancties

De boetes voor niet-naleving van deployer-verplichtingen onder de AI Act kunnen oplopen tot 15 miljoen euro of 3% van de totale wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Voor KMO's en startups gelden de proportionaliteitsbepalingen uit artikel 99, maar de verplichting zelf vervalt niet.

Gebruik de boetecalculator op het Responsible AI Platform om een indicatie te krijgen van de mogelijke boetes voor jouw organisatie.

Conclusie

Artikel 26 is het kompas voor elke organisatie die hoog-risico AI-systemen inzet. Het artikel maakt duidelijk dat compliance niet alleen een zaak is van providers, maar dat deployers een eigen, onafhankelijke verantwoordelijkheid dragen. Van menselijk toezicht tot logbewaring, van incidentrapportage tot transparantie richting betrokkenen: de verplichtingen zijn concreet en afdwingbaar.

Begin vandaag met het inventariseren van je AI-systemen en het inrichten van je compliance-processen. Hoe eerder je begint, hoe soepeler de overgang wanneer de handhaving op gang komt.

Wil je wekelijks op de hoogte blijven van de laatste ontwikkelingen rondom de AI Act? Schrijf je in voor de AI Act Weekly.

Veelgestelde vragen over artikel 26 EU AI Act

Wat staat er in artikel 26 van de EU AI Act? Artikel 26 bevat 12 leden met verplichtingen voor deployers (gebruiksverantwoordelijken) van hoog-risico AI-systemen. De leden hebben betrekking op het gebruik volgens instructies, menselijk toezicht, inputdata, monitoring, incidentrapportage, logbewaring, werknemersinformatie, registratie door publieke deployers, DPIA-verplichtingen, autorisatie voor biometrische identificatie, transparantie richting betrokkenen en samenwerking met autoriteiten.

Wie is een deployer onder de AI Act? Een deployer is elke natuurlijke of rechtspersoon, overheidsinstantie of ander orgaan dat onder eigen verantwoordelijkheid een AI-systeem gebruikt voor professionele doeleinden. Persoonlijk, niet-beroepsmatig gebruik valt er niet onder. De meeste organisaties die AI inkopen en inzetten zijn deployers.

Wat is het verschil tussen een provider en een deployer? Een provider (aanbieder) ontwikkelt het AI-systeem of laat het ontwikkelen en brengt het op de markt. Een deployer (gebruiksverantwoordelijke) zet het systeem in binnen de eigen organisatie. Beide hebben eigen, onafhankelijke verplichtingen onder de AI Act.

Hoe hoog zijn de boetes voor deployers die artikel 26 overtreden? Deployers die de verplichtingen uit artikel 26 niet naleven riskeren boetes tot 15 miljoen euro of 3% van de totale wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Voor KMO's en startups gelden proportionaliteitsbepalingen, maar de verplichting zelf vervalt niet.

Moet ik als deployer een FRIA uitvoeren? Dat hangt af van het type hoog-risico AI-systeem. Deployers van systemen uit Bijlage III, categorie 5(a) en 5(b), zoals kredietwaardigheidsbeoordelingen en risicobeoordeling voor verzekeringen, zijn verplicht een fundamentele rechten-effectbeoordeling (FRIA) uit te voeren voorafgaand aan ingebruikname, op grond van artikel 27.

Gerelateerde tools en artikelen: