De EU AI-verordening (Verordening 2024/1689) legt niet alleen verplichtingen op aan bedrijven die AI-systemen ontwikkelen, maar aan elke organisatie die deze systemen gebruikt. In de verordening worden deze organisaties "gebruikers" genoemd — en als uw bedrijf AI-gestuurde tools in zijn bedrijfsvoering gebruikt, bent u dat ook. Dit artikel legt uit welke specifieke verplichtingen implementatoren hebben op grond van art. 26 en art. 27, wat het verschil is tussen een DPIA en een effectbeoordeling inzake grondrechten (FRIA), en welke praktische stappen u vóór 2 augustus 2026 moet nemen.
Wie is een implementator?
Art. 3, lid 4, definieert een implementator als elke natuurlijke of rechtspersoon die onder zijn gezag een AI-systeem gebruikt. U hebt de AI niet zelf gebouwd, maar u hebt besloten deze in uw organisatie in te zetten, en dat maakt u verantwoordelijk voor de werking ervan en de gevolgen voor mensen.
Als uw HR-team AI-gestuurde kandidaatscreening gebruikt, uw financiële afdeling AI-kredietscores hanteert of uw klantenservice een AI-chatbot inzet, is uw organisatie een gebruiker van elk van deze systemen. De verplichtingen zijn evenredig aan het risico: systemen met een minimaal risico stellen weinig eisen, maar systemen met een hoog risico vereisen gestructureerde documentatie, menselijk toezicht en effectbeoordelingen.
Art. 26: Kernverplichtingen van de gebruiker
Artikel 26 beschrijft wat elke gebruiker van een AI-systeem met een hoog risico moet doen. Dit zijn geen suggesties — het zijn wettelijke vereisten die worden gehandhaafd.
Gebruik in overeenstemming met de instructies. Implementatiepartijen moeten AI-systemen met een hoog risico gebruiken in overeenstemming met de gebruiksinstructies van de aanbieder. Dit houdt in dat zij de documentatie moeten lezen, het beoogde doel en de beperkingen van het systeem moeten begrijpen, en het systeem niet mogen gebruiken voor doeleinden die de aanbieder niet heeft bedoeld of gevalideerd.
Zorg voor menselijk toezicht. Wijs bekwame personen aan om toezicht te houden op de werking van het AI-systeem. Deze personen moeten de bevoegdheid, competentie en middelen hebben om de output van het systeem te negeren of terzijde te schuiven. Leg vast wie deze personen zijn, welke training zij hebben gevolgd en wat hun escalatieprocedure is wanneer de AI onjuiste of bevooroordeelde resultaten produceert.
Houd toezicht op de werking. Gebruikers moeten het AI-systeem tijdens de werking controleren op risico's. Als het systeem onverwachte output begint te produceren, tekenen van vooringenomenheid vertoont of buiten de beoogde parameters functioneert, moet u actie ondernemen — en u moet over processen beschikken om deze problemen op te sporen.
Houd logboeken bij. Automatisch gegenereerde logboeken moeten worden bewaard gedurende een periode die passend is voor het beoogde doel van het AI-systeem met een hoog risico, en ten minste zes maanden. Deze logboeken moeten op verzoek beschikbaar zijn voor toezichthouders.
Voer een gegevensbeschermingseffectbeoordeling uit. Bij het implementeren van een AI-systeem met een hoog risico dat persoonsgegevens verwerkt, moeten implementatoren een GEB uitvoeren op grond van artikel 35 van de AVG. Dit is niet nieuw — de AVG vereiste dit al — maar de AI-verordening maakt het expliciet en verplicht voor alle implementatoren van AI-systemen met een hoog risico.
Informeer de betrokken personen. Personen die onderworpen zijn aan beslissingen die worden genomen of ondersteund door een AI-systeem met een hoog risico, moeten worden geïnformeerd over het gebruik van het systeem, tenzij dit al uit de omstandigheden blijkt.
Art. 27: Effectbeoordeling inzake grondrechten
Artikel 27 introduceert een nieuwe verplichting die verder gaat dan de AVG: de effectbeoordeling inzake grondrechten (FRIA). Dit geldt specifiek voor implementatoren van AI-systemen met een hoog risico die publiekrechtelijke lichamen zijn, of particuliere entiteiten die openbare diensten verlenen, of implementatoren die AI gebruiken voor bepaalde genoemde doeleinden, waaronder kredietbeoordeling, risicobeoordeling in levens- en ziektekostenverzekeringen, en wetshandhaving.
De FRIA verplicht exploitanten om de impact van het AI-systeem op de grondrechten — waaronder het recht op non-discriminatie, privacy, vrijheid van meningsuiting en menselijke waardigheid — te beoordelen alvorens het systeem in gebruik te nemen. De beoordeling moet worden toegezonden aan de relevante markttoezichtautoriteit.
FRIA versus DPIA: wat is het verschil?
Deze twee beoordelingen dienen verschillende doelen en vervangen elkaar niet.
Een DPIA (AVG art. 35) richt zich op risico’s op het gebied van gegevensbescherming. Hierbij wordt gevraagd: welke persoonsgegevens worden verwerkt, wat zijn de risico’s voor de privacy van individuen en welke maatregelen beperken die risico’s? Het omvat gegevensminimalisatie, opslagbeperking, toegangscontroles en scenario’s voor datalekken.
Een FRIA (AI-verordening art. 27) richt zich op de bredere impact van AI-gestuurde beslissingen op grondrechten. De vragen die daarbij worden gesteld zijn: kan dit AI-systeem beschermde groepen discrimineren? Kan het de toegang tot essentiële diensten beïnvloeden? Kan het de menselijke autonomie of waardigheid ondermijnen? De FRIA kijkt naar de impact van de besluitvorming, niet alleen naar de gegevensverwerking.
In de praktijk zullen voor een AI-systeem met een hoog risico dat persoonsgegevens verwerkt, beide beoordelingen vereist zijn. Ze hebben raakvlakken – beide houden rekening met risico’s voor individuen – maar benaderen de kwestie vanuit verschillende invalshoeken. Uw DPIA beschermt de betrokkenen. Uw FRIA beschermt houders van grondrechten. Vaak zijn dit dezelfde personen, maar de analyse is anders.
Wat implementatoren moeten documenteren
Voor elk AI-systeem in uw organisatie moet u de volgende vragen kunnen beantwoorden:
- Leverancier en model. Wie heeft het AI-systeem gebouwd? Welke versie gebruikt u?
- Beoogd doel. Waar gebruikt u het voor? Valt dit binnen het door de leverancier beoogde gebruik?
- Risicoclassificatie. Is het risico minimaal, beperkt of hoog volgens de AI-verordening? Leg uw redenering vast.
- Betrokken personen. Wie wordt beïnvloed door de output of beslissingen van het systeem? Medewerkers, klanten, sollicitanten, het publiek?
- Menselijk toezicht. Wie beoordeelt de AI-output? Welke bevoegdheid hebben zij om beslissingen te negeren? Welke training hebben zij gevolgd?
- Conformiteitsstatus. Heeft de aanbieder een conformiteitsbeoordeling uitgevoerd? Is er een CE-markering? Is het systeem geregistreerd in de EU-AI-database?
- DPIA-status. Is er voor dit systeem een gegevensbeschermingseffectbeoordeling uitgevoerd?
- FRIA-status. Is er, indien vereist, een effectbeoordeling inzake grondrechten uitgevoerd en ingediend?
- Logs en monitoring. Worden er logs bewaard? Wie houdt toezicht op de werking van het systeem?
Praktische stappen voor implementatoren
Stap 1: Breng uw AI-systemen in kaart
U kunt geen controle uitoefenen over wat u niet in kaart heeft gebracht. Maak een lijst van alle AI-aangedreven diensten in uw organisatie — van bedrijfsplatforms met ingebouwde AI tot individuele tools die door teams worden gebruikt. Voeg ze allemaal toe aan uw gegevensdienstregister, met vermelding van het doel, de gegevenscategorieën en de toegangscontroles.
Stap 2: Classificeer het risico
Bepaal voor elk AI-systeem het risiconiveau op grond van de AI-verordening. Categorieën met een hoog risico staan vermeld in bijlage III en omvatten AI die wordt gebruikt voor werving, kredietbeoordeling, toegang tot essentiële diensten en biometrische identificatie. Leg uw classificatie en de onderliggende redenering vast.
Stap 3: Leg het doel en de betrokken personen vast
Leg voor elk AI-systeem het beoogde doel vast, de categorieën mensen die door de output worden beïnvloed, en of het systeem beslissingen over individuen neemt of ondersteunt. Deze documentatie vormt de basis voor zowel uw DPIA als uw FRIA.
Stap 4: Voer effectbeoordelingen uit
Voor AI-systemen met een hoog risico: voer een DPIA uit op grond van artikel 35 van de AVG en, indien artikel 27 van toepassing is, een FRIA. Deze moeten naar elkaar verwijzen, maar blijven afzonderlijke beoordelingen met een eigen toepassingsgebied.
Stap 5: Houd conformiteit en governance bij
Houd een register bij van conformiteitsverklaringen van leveranciers, CE-markeringen en registraties in de EU-AI-database. Bewaar deze documenten samen met uw DPA’s en SLA’s — ze maken deel uit van uw leveranciersgovernanceketen.
Hoe Readmodel® de naleving door AI-implementatoren ondersteunt
Readmodel® behandelt AI-diensten als onderdeel van uw datamap, niet als een afzonderlijke compliance-silo. Wanneer u een AI-dienst aan uw project toevoegt, kunt u de risicoclassificatie, regelingen voor menselijk toezicht en conformiteitsstatus ervan documenteren, naast de gegevensitems die deze verwerkt, de rechtsgronden en de bewaartermijnen.
Het risicoregister markeert automatisch AI-diensten die als risicovol zijn geclassificeerd maar waarvoor geen gedocumenteerde DPIA beschikbaar is. Met de functie voor documentopslag kunt u conformiteitsverklaringen, gebruiksinstructies van de aanbieder en FRIA-documentatie rechtstreeks aan de betreffende dienst koppelen. Het verwerkingsregister van ROPA omvat velden voor AI-governance, zodat uw artikel 30-register zowel de AVG- als de AI-verordening-vereisten in één document weergeeft.
AI-governance vereist geen apart platform of een adviesopdracht van zes cijfers. Het vereist gestructureerde documentatie die is geïntegreerd met uw bestaande datamap. Readmodel® biedt die structuur — maak een gratis account aan en begin vandaag nog met het documenteren van uw verplichtingen als AI-implementator.
De deadline nadert
De verplichtingen voor implementatoren op grond van art. 26 treden in werking op 2 augustus 2026. Als u al een AVG-datamap bijhoudt, beschikt u over de basis. Breid deze uit met AI-specifieke velden — risicoclassificatie, menselijk toezicht, conformiteitsstatus — en voer de vereiste effectbeoordelingen uit. De toezichthouders verwachten documentatie, geen beloftes. Begin nu.