"EU AI Act: Wat Deployers Moeten Weten"

De EU AI Act (Verordening 2024/1689) introduceert verplichtingen niet alleen voor bedrijven die AI-systemen bouwen, maar voor elke organisatie die ze gebruikt. De verordening noemt deze organisaties "deployers" — en als uw bedrijf AI-tools gebruikt in de bedrijfsvoering, bent u er een. Dit artikel legt de specifieke verplichtingen uit die deployers hebben onder Art. 26 en Art. 27, het verschil tussen een DPIA en een Fundamental Rights Impact Assessment (FRIA), en de praktische stappen die u moet nemen voor 2 augustus 2026.

Wie is een deployer?

Art. 3(4) definieert een deployer als elke natuurlijke of rechtspersoon die een AI-systeem onder eigen verantwoordelijkheid gebruikt. U heeft de AI niet gebouwd — maar u heeft besloten deze in uw organisatie in te zetten, en dat maakt u verantwoordelijk voor hoe het systeem werkt en hoe het mensen beinvloedt.

Als uw HR-afdeling AI-gestuurde kandidaatselectie gebruikt, uw financiele afdeling AI-credietscoring inzet, of uw klantenservice een AI-chatbot draait — dan is uw organisatie deployer voor elk van die systemen. De verplichtingen schalen mee met het risico: systemen met minimaal risico vereisen weinig, maar hoog-risicosystemen vereisen gestructureerde documentatie, menselijk toezicht en impactbeoordelingen.

Art. 26: Kernverplichtingen voor deployers

Artikel 26 beschrijft wat elke deployer van een hoog-risico AI-systeem moet doen. Dit zijn geen aanbevelingen — het zijn wettelijke vereisten met handhaving.

Gebruik volgens instructies. Deployers moeten hoog-risico AI-systemen gebruiken conform de gebruiksinstructies van de aanbieder. Dit betekent de documentatie lezen, het beoogde doel en de beperkingen van het systeem begrijpen, en het niet hergebruiken voor doeleinden die de aanbieder niet heeft bedoeld of gevalideerd.

Menselijk toezicht waarborgen. Wijs competente personen aan om toezicht te houden op de werking van het AI-systeem. Deze personen moeten de bevoegdheid, competentie en middelen hebben om de output van het systeem te negeren of te overrulen. Documenteer wie deze personen zijn, welke training ze hebben gehad en wat het escalatieproces is wanneer de AI onjuiste of bevooroordeelde resultaten produceert.

Werking monitoren. Deployers moeten het AI-systeem tijdens gebruik monitoren op risico's. Als het systeem onverwachte output produceert, tekenen van vooringenomenheid vertoont of buiten de beoogde parameters werkt, moet u handelen — en u moet processen hebben om deze problemen te detecteren.

Logs bewaren. Automatisch gegenereerde logs moeten worden bewaard voor een periode die past bij het beoogde doel van het hoog-risico AI-systeem, en ten minste zes maanden. Deze logs moeten op verzoek beschikbaar zijn voor toezichthouders.

Een DPIA uitvoeren. Bij het inzetten van een hoog-risico AI-systeem dat persoonsgegevens verwerkt, moeten deployers een DPIA uitvoeren onder AVG Art. 35. Dit is niet nieuw — de AVG vereiste dit al — maar de AI Act maakt het expliciet en verplicht voor alle hoog-risico AI-deployers.

Betrokkenen informeren. Personen die onderworpen zijn aan beslissingen die door een hoog-risico AI-systeem worden genomen of ondersteund, moeten worden geinformeerd dat het systeem wordt gebruikt, tenzij dit al duidelijk is uit de omstandigheden.

Art. 27: Fundamental Rights Impact Assessment

Artikel 27 introduceert een nieuwe verplichting die verder gaat dan de AVG: de Fundamental Rights Impact Assessment (FRIA). Dit geldt specifiek voor deployers van hoog-risico AI-systemen die publiekrechtelijke instanties zijn, of particuliere entiteiten die publieke diensten verlenen, of deployers die AI gebruiken voor bepaalde doeleinden waaronder credietscoring, risicobeoordeling bij levens- en ziektekostenverzekeringen, en rechtshandhaving.

De FRIA vereist dat deployers de impact van het AI-systeem op grondrechten beoordelen — waaronder het recht op non-discriminatie, privacy, vrijheid van meningsuiting en menselijke waardigheid — voordat het systeem in gebruik wordt genomen. De beoordeling moet worden verzonden naar de relevante markttoezichtautoriteit.

FRIA vs DPIA: wat is het verschil?

Deze twee beoordelingen dienen verschillende doelen en de ene vervangt de andere niet.

Een DPIA (AVG Art. 35) richt zich op gegevensbeschermingsrisico's. De vraag is: welke persoonsgegevens worden verwerkt, wat zijn de risico's voor de privacy van betrokkenen, en welke maatregelen beperken die risico's? Het gaat over dataminimalisatie, opslagbeperking, toegangscontroles en datalekscenario's.

Een FRIA (AI Act Art. 27) richt zich op de bredere impact van AI-gestuurde beslissingen op grondrechten. De vraag is: kan dit AI-systeem discrimineren tegen beschermde groepen? Kan het de toegang tot essentiele diensten beinvloeden? Kan het menselijke autonomie of waardigheid ondermijnen? De FRIA kijkt naar de impact van de besluitvorming, niet alleen naar de gegevensverwerking.

In de praktijk vereist een hoog-risico AI-systeem dat persoonsgegevens verwerkt beide beoordelingen. Ze delen enige overlap — beide beschouwen risico's voor individuen — maar ze benaderen de vraag vanuit verschillende invalshoeken. Uw DPIA beschermt betrokkenen. Uw FRIA beschermt grondrechtenhouders. Vaak zijn dit dezelfde mensen, maar de analyse verschilt.

Wat deployers moeten documenteren

Voor elk AI-systeem in uw organisatie zou u deze vragen moeten kunnen beantwoorden:

• Aanbieder en model. Wie heeft het AI-systeem gebouwd? Welke versie gebruikt u?
• Beoogd doel. Waarvoor gebruikt u het? Valt dit binnen het beoogde gebruik van de aanbieder?
• Risicoclassificatie. Is het minimaal, beperkt of hoog risico onder de AI Act? Documenteer uw redenering.
• Betrokken personen. Wie wordt beinvloed door de output of beslissingen van het systeem? Werknemers, klanten, sollicitanten, het publiek?
• Menselijk toezicht. Wie beoordeelt de AI-output? Wat is hun bevoegdheid om te overrulen? Welke training hebben ze gehad?
• Conformiteitsstatus. Heeft de aanbieder een conformiteitsbeoordeling afgerond? Is er een CE-markering? Is het systeem geregistreerd in de EU AI-database?
• DPIA-status. Is een Data Protection Impact Assessment uitgevoerd voor dit systeem?
• FRIA-status. Indien vereist, is een Fundamental Rights Impact Assessment uitgevoerd en ingediend?
• Logs en monitoring. Worden logs bewaard? Wie monitort de werking van het systeem?

Praktische stappen voor deployers

Stap 1: Inventariseer uw AI-systemen

U kunt niet beheren wat u niet in kaart heeft gebracht. Maak een lijst van elke AI-gestuurde dienst in uw organisatie — van enterprise-platforms met ingebouwde AI tot individuele tools die door teams zijn aangenomen. Voeg elk systeem toe aan uw dataserviceregister met het doel, de gegevenscategorieen en de toegangscontroles.

Stap 2: Classificeer risico

Bepaal voor elk AI-systeem het risiconiveau onder de AI Act. Hoog-risicocategorieen staan in Bijlage III en omvatten AI voor werving, credietscoring, toegang tot essentiele diensten en biometrische identificatie. Documenteer uw classificatie en de redenering erachter.

Stap 3: Documenteer doel en betrokken personen

Leg voor elk AI-systeem het beoogde doel vast, de categorieen mensen die worden beinvloed door de output, en of het beslissingen neemt of ondersteunt over individuen. Deze documentatie vormt de basis van zowel uw DPIA als uw FRIA.

Stap 4: Voer impactbeoordelingen uit

Voor hoog-risico AI-systemen: voltooi een DPIA onder AVG Art. 35 en, waar Art. 27 van toepassing is, een FRIA. Deze moeten naar elkaar verwijzen maar blijven afzonderlijke beoordelingen met een eigen scope.

Stap 5: Volg conformiteit en governance

Houd overzicht van conformiteitsverklaringen van aanbieders, CE-markeringen en registraties in de EU AI-database. Bewaar deze documenten naast uw DPA's en SLA's — ze maken deel uit van uw leveranciersbeheer.

Hoe Readmodel® AI-deployer-compliance ondersteunt

Readmodel® behandelt AI-diensten als onderdeel van uw datakaart, niet als een apart compliance-silo. Wanneer u een AI-dienst aan uw project toevoegt, kunt u de risicoclassificatie, menselijk toezicht en conformiteitsstatus documenteren naast de data-items die het verwerkt, de rechtsgronden en de bewaartermijnen.

Het risicoregister signaleert automatisch AI-diensten die als hoog risico zijn geclassificeerd maar geen gedocumenteerde DPIA hebben. De documentopslagfunctie laat u conformiteitsverklaringen, gebruiksinstructies van de aanbieder en FRIA-documentatie direct aan de relevante dienst koppelen. De ROPA-export bevat AI-governancevelden, zodat uw Art. 30-register zowel AVG- als AI Act-vereisten weerspiegelt in een enkel document.

AI-governance vereist geen apart platform of een adviestraject van zes cijfers. Het vereist gestructureerde documentatie geintegreerd met uw bestaande datakaart. Readmodel® biedt die structuur — maak een gratis account aan en begin vandaag met het documenteren van uw AI-deployerverplichtingen.

De deadline nadert

De deployerverplichtingen onder Art. 26 worden van kracht op 2 augustus 2026. Als u al een AVG-datakaart bijhoudt, heeft u de basis. Breid deze uit met AI-specifieke velden — risicoclassificatie, menselijk toezicht, conformiteitsstatus — en voer de vereiste impactbeoordelingen uit. De toezichthouders verwachten documentatie, geen beloftes. Begin nu.