PowerQuantNLStuur uw vragenlijst

Artikel 9 van Verordening (EU) 2024/1689 verplicht aanbieders van hoog-risico AI-systemen een risicomanagementsysteem op te zetten, te implementeren, te documenteren en bij te houden gedurende de volledige levenscyclus van het systeem. Gebruiksverantwoordelijken zijn niet de primaire houder van de Artikel 9-verplichting, maar zij hebben op drie manieren een raakvlak daarmee: door te steunen op de risicobeoordeling van de aanbieder, door gegevens uit de monitoring na het in de handel brengen terug te koppelen, en door te voldoen aan hun eigen operationele risicobeheersverplichtingen op grond van Artikel 26. Deze gids legt beide kanten uit.

De Artikel 9-risicomanagementcyclus

Artikel 9(2) bepaalt dat het risicomanagementsysteem een continu, iteratief proces omvat dat gedurende de volledige levenscyclus wordt uitgevoerd en dat bestaat uit:

  1. Identificatie en analyse van bekende en redelijkerwijs voorzienbare risico's. Dit omvat risico's voor de gezondheid, de veiligheid en de grondrechten die het hoog-risico AI-systeem kan opleveren bij gebruik als bedoeld en bij redelijkerwijs voorzienbaar misbruik. Voor HR-AI houdt dit in: analyse van risico's van bevooroordeelde kandidaatsbeoordeling, discriminerende taakverdeling of privacy-invasieve prestatiebewaking.
  2. Schatting en evaluatie van risico's die zich kunnen voordoen bij gebruik. Gebaseerd op het beoogde doel, voorzienbaar misbruik en informatie uit monitoring na het in de handel brengen (Artikel 72). Bij de schatting moet rekening worden gehouden met de kans dat een risico zich voordoet en de ernst van de gevolgen, inclusief de mate van reversibiliteit en het aantal betrokken personen.
  3. Vaststelling van passende risicobeheersmaatregelen. Deze moeten zodanig worden ontworpen en geïmplementeerd dat vastgestelde risico's voor zover technisch haalbaar worden geëlimineerd of verminderd. Waar risico's niet volledig kunnen worden beperkt, moeten resterende risico's worden gedocumenteerd en vermeld in de gebruiksaanwijzing.
  4. Testen om te waarborgen dat de maatregelen doeltreffend zijn en dat het systeem consistent presteert in overeenstemming met het beoogde doel voor alle beoogde gebruikers en gebruiksomstandigheden, inclusief testen op mogelijke vooringenomenheid.

Artikel 9(4) — de grondrechtendimensie

Artikel 9(4) vereist dat risicobeheersmaatregelen naar behoren rekening houden met de technische kennis, ervaring, opleiding en training die van gebruikers verwacht mogen worden, en met de omgeving waarin het systeem beoogd wordt te worden ingezet. Voor HR-AI die wordt ingezet door een organisatie waarbij lijnmanagers AI-aanbevelingen ontvangen maar geen technische opleiding hebben, moet de aanbieder de risicomaatregelen afstemmen op die omgeving — en de gebruiksverantwoordelijke moet ervoor zorgen dat de menselijke toezichtsfunctie voldoet aan het door de aanbieder veronderstelde competentieniveau.

Artikel 9(4) vereist verder dat het risicobeheer aandacht besteedt aan de noodzaak om de gezondheid, veiligheid en grondrechten te beschermen van alle personen die worden beïnvloed door de uitvoer van het systeem, inclusief derden zoals sollicitanten en bewaakte werknemers, niet alleen de directe gebruikers van het systeem.

Toepassingsdatum

De hoog-risicoverplichtingen van Artikel 9 zijn van toepassing vanaf 2 augustus 2026 voor systemen vermeld in Bijlage III. De voorlopige politieke overeenstemming inzake de Digital Omnibus (7 mei 2026 — nog niet aangenomen of gepubliceerd in het Publicatieblad) stelt voor de zelfstandige Bijlage III-verplichtingen voor systemen die reeds op de markt zijn, uit te stellen tot 2 december 2027. Tot de formele aanneming is 2 augustus 2026 de bindende datum.

Raakvlakken van gebruiksverantwoordelijken met Artikel 9

Aanbieders zijn de primaire houders van de Artikel 9-verplichting. Maar gebruiksverantwoordelijken hebben op drie concrete manieren een raakvlak daarmee:

  • Steunen op de risicobeoordeling van de aanbieder. Wanneer een gebruiksverantwoordelijke een hoog-risico AI-systeem selecteert en configureert, dient zij van de leverancier bewijs te verkrijgen dat het Artikel 9-risicomanagementsysteem aanwezig is en dat de specifieke inzetcontext (gebruiksscenario, gebruikersgroep, invoergegevens) in de risicobeoordeling is opgenomen. Een risicobeoordeling op grond van Artikel 9 die is uitgevoerd voor een grote technologieonderneming geldt niet automatisch voor inzet door een HR-afdeling in een onderneming met 150 personen.
  • Bijdragen aan gegevens uit monitoring na het in de handel brengen (Art 72). Artikel 72 verplicht gebruiksverantwoordelijken de prestaties van hoog-risico AI-systemen in productie te monitoren en relevante gegevens terug te koppelen aan aanbieders. In de praktijk betekent dit: het registreren van incidenten waarbij de AI onverwachte of duidelijk onjuiste uitvoer heeft geproduceerd, het bijhouden van foutpercentages ten opzichte van de nauwkeurigheidsgegevens in de gebruiksaanwijzing en het escaleren naar de leverancier wanneer patronen erop wijzen dat de risicobeoordeling niet meer actueel is.
  • Operationeel risicobeheer aan de gebruiksverantwoordelijkenzijde. Artikel 26 legt parallelle verplichtingen op: gebruik overeenkomstig het beoogde doel (Art 26(1)), bevoegd menselijk toezicht (Art 26(2)), kwaliteit van invoergegevens (Art 26(4)), monitoring en rapportage van incidenten (Art 26(5)), bewaring van logboeken (Art 26(6)). Dit zijn de eigen risicobeheerslagen van de gebruiksverantwoordelijke en moeten afzonderlijk van het Artikel 9-systeem van de leverancier worden gedocumenteerd.

Monitoring na het in de handel brengen op grond van Artikel 72

Artikel 72 verplicht aanbieders een systeem voor monitoring na het in de handel brengen op te zetten en te documenteren. Gebruiksverantwoordelijken zijn verplicht gegevens die zijn gegenereerd tijdens het gebruik van het AI-systeem te verzamelen en aan de aanbieder te verstrekken, voor zover de gebruiksverantwoordelijke hiertoe contractueel gerechtigd is. Daarom moet het leverancierscontract een clausule over toegang tot logboeken en gegevensdeling bevatten: zonder deze clausule kan de gebruiksverantwoordelijke deze verplichting niet nakomen.

Vanuit een praktisch risicobeheersperspectief dienen gebruiksverantwoordelijken:

  • Elk gebruik te registreren waarbij een AI-aanbeveling door de menselijke toezichthouder werd overschreven, en de reden daarvoor.
  • Elk geval te registreren waarbij de AI-uitvoer door een gebruiker of betrokken persoon als mogelijk onjuist of bevooroordeeld werd aangemerkt.
  • Kwartaalgegevens over foutpercentages te vergelijken met de nauwkeurigheidsgegevens in de gebruiksaanwijzing op grond van Artikel 13 en afwijkingen aan de leverancier te melden.
  • Elk ernstig incidentrapport op grond van Artikel 73 terug te koppelen aan de updatecyclus van het risicobeheer van de leverancier.

Melding van ernstige incidenten op grond van Artikel 73

Artikel 73 verplicht gebruiksverantwoordelijken van hoog-risico AI-systemen elk ernstig incident te melden aan de nationale markttoezichtautoriteit. Een ernstig incident is gedefinieerd als elk incident of elke storing van een AI-systeem die direct of indirect leidt tot de dood van een persoon, ernstig letsel aan de gezondheid van een persoon, een ernstige en onomkeerbare verstoring van het beheer en de werking van kritieke infrastructuur, of schending van verplichtingen krachtens het Unierecht die beogen grondrechten te beschermen.

In een HR-context kan een bevooroordeelde afwijzing van alle kandidaten uit een beschermde groep, een onrechtmatig ontslag op basis van een AI-score zonder zinvolle menselijke beoordeling, of een prestatiesysteem dat op discriminerende wijze gegenereerde gegevens gebruikt, de drempel van een ernstig incident bereiken. Gebruiksverantwoordelijken dienen een procedure voor de melding van ernstige incidenten op te nemen in hun AI-risicobeheerdocumentatie.

Bewijscontrolelijst voor risicobeheer voor gebruiksverantwoordelijken

  • Leveranciersbewijs van het risicomanagementsysteem op grond van Artikel 9: bevestiging dat de specifieke inzetcontext en gebruikersomgeving van de gebruiksverantwoordelijke zijn gedekt.
  • Risicoregister van de gebruiksverantwoordelijke: elk hoog-risico AI-systeem met vastgestelde risico's, beoordeelde kans/ernst, mitigerende maatregelen en restrisico.
  • Toezichtsaanwijzing op grond van Art 26(2): competentiegrondslag, opleidingsregistraties, overschrijdingsbevoegdheid en -procedure.
  • Bewaarplan voor logboeken op grond van Art 26(6) en bewijs: systeem, bewaartermijn, toegangscontroles, AVG-reconciliatie.
  • Monitoringlogboek op grond van Art 72: bijhouden van foutpercentages, registraties van overschrijdingen, door de leverancier gemelde wijzigingen in de risicobeoordeling.
  • Incidentresponsprocedure op grond van Art 73: definitie van ernstig incident, escalatiepad, rapportagesjabloon, contactgegevens nationale markttoezichtautoriteit.
  • AI-geletterdheidregistraties op grond van Art 4 voor risicobeheersrollen (de menselijke toezichthouder in het bijzonder dient het risico van het systeem te begrijpen).

Sancties

Niet-naleving van verplichtingen voor hoog-risico systemen, inclusief verplichtingen aan de gebruiksverantwoordelijkenzijde op grond van Artikel 26, wordt gesanctioneerd op grond van Artikel 99(4) met administratieve boetes van maximaal EUR 15.000.000 of 3% van de totale wereldwijde jaarlijkse omzet, al naargelang welk bedrag hoger is. Voor het mkb en start-ups is Artikel 99(6) van toepassing, dat het laagste van de twee bedragen of percentages hanteert. Het niet melden van een ernstig incident op grond van Artikel 73 valt onder Artikel 99(4) als niet-naleving van operatorverplichtingen.

Gerelateerde EU-gidsen

Bronnen


Opmerking: Het risicomanagementsysteem op grond van Artikel 9 is primair een verplichting aan de aanbiederskant. Risicobeheersverplichtingen voor gebruiksverantwoordelijken zijn vastgelegd in Artikel 26 en moeten afzonderlijk worden gedocumenteerd. PowerQuant levert software en documentatie voor gebruik in uw interne complianceproces — geen juridisch advies.