Als gebruiksverantwoordelijke blijft u verantwoordelijk voor de naleving van uw verplichtingen op grond van Verordening (EU) 2024/1689, ongeacht wat uw leverancier doet. Artikel 25 maakt dit expliciet: indien een gebruiksverantwoordelijke zijn eigen merk plaatst op een AI-systeem, een ingrijpende wijziging aanbrengt of het beoogde doel wijzigt, wordt die gebruiksverantwoordelijke de juridische aanbieder en neemt hij de volledige verplichtingenset van de aanbieder op zich. Zelfs zonder die triggers is een gebruiksverantwoordelijke die geen toegang heeft tot logboeken, nooit een gebruiksaanwijzing heeft ontvangen, of geen incidentmeldingsproces heeft, blootgesteld onder Artikel 26. Uw leverancierscontract is de eerste verdedigingslinie voor compliance.
Waarom uw leverancierscontract een compliancedocument is
Artikel 13 van de EU AI-verordening verplicht aanbieders van hoog-risico AI-systemen deze zodanig te ontwerpen en te ontwikkelen dat hun werking voldoende transparant is om gebruiksverantwoordelijken in staat te stellen de uitvoer van het systeem te interpreteren en adequaat te gebruiken. De gebruiksaanwijzing die elk hoog-risico AI-systeem moet vergezellen, is een wettelijk op te leveren document, niet een gebruikershandleiding.
Artikel 26(1) verplicht gebruiksverantwoordelijken vervolgens het systeem te gebruiken overeenkomstig die gebruiksaanwijzing. Indien de leverancier geen conforme gebruiksaanwijzing heeft verstrekt, kan de gebruiksverantwoordelijke Art 26(1) niet naleven. Indien de leverancier geen toegang tot logboeken heeft geboden, kan de gebruiksverantwoordelijke Art 26(6) niet naleven. Het contract moet deze leemten expliciet dichten.
12-punts controlelijst
- Risicoklassificatie — De leverancier bevestigt de classificatie van het AI-systeem onder Verordening (EU) 2024/1689 (minimaal-risico, beperkt-risico, hoog-risico onder Bijlage III, of GPAI-model) en documenteert de Bijlage III-beoordeling op verzoek.
- Gebruiksaanwijzing (Art 13) — De leverancier verstrekt gedocumenteerde gebruiksaanwijzing die omvat: beoogd doel, technische mogelijkheden en beperkingen, voorzienbaar misbruik waartegen de gebruiksverantwoordelijke zich moet beschermen, maatregelen voor menselijk toezicht en nauwkeurigheids- en robuustheidsgegevens.
- Toegang tot technische documentatie — Voor hoog-risico systemen kan de gebruiksverantwoordelijke een samenvatting van de technische documentatie uit Bijlage IV of een ISAE 3000 / SOC 2 Type II-attestering ter dekking van de conformiteitsbeoordeling verkrijgen.
- Risicobeheerbewijs (Art 9) — De leverancier verstrekt bewijs dat een risicomanagementsysteem op grond van Artikel 9 aanwezig is, gedurende de levenscyclus van het systeem wordt bijgehouden en geactualiseerd, en stelt de gebruiksverantwoordelijke in kennis van elke materiële wijziging in het beoordeelde risico.
- Verklaring inzake gegevensbeheer (Art 10) — Voor hoog-risico systemen: de leverancier bevestigt dat trainingsgegevens zijn onderzocht op vooringenomenheid die grondrechten beïnvloedt en dat kwaliteitsmaatregelen voor gegevens op grond van Artikel 10 zijn toegepast. Dit omvat de onderzochte beschermde kenmerken en de genomen stappen ter beperking van vooringenomenheid.
- Beschikbaarheid van logboeken (Art 26(6)) — Automatische logboeken gegenereerd door het AI-systeem zijn toegankelijk voor de gebruiksverantwoordelijke en worden gedurende ten minste 6 maanden bewaard. De SLA van de leverancier omvat het logboekformaat, de export en de toegang op regelgevend verzoek.
- SLA voor incidentmelding (Art 73) — De leverancier verbindt zich ertoe de gebruiksverantwoordelijke binnen een bepaalde termijn (aanbeveling: ≤24 uur) in kennis te stellen bij detectie van een ernstig incident als gedefinieerd in Artikel 73, zodat de gebruiksverantwoordelijke aan de nationale markttoezichtautoriteit kan rapporteren.
- Bewijs van conformiteitsbeoordeling (Art 47) — De leverancier verstrekt de EU-conformiteitsverklaring en, voor Bijlage III-systemen waarvoor een beoordeling door derden vereist is, het conformiteitscertificaat van een aangemelde instantie, voordat het systeem in gebruik wordt genomen.
- Wijzigingsbeheer (Art 43(4)) — Overeengekomen procedure voor ingrijpende wijzigingen: de leverancier stelt de gebruiksverantwoordelijke van tevoren in kennis, herbeoordeelt de conformiteit waar vereist en verstrekt een bijgewerkte gebruiksaanwijzing. Instemming van de gebruiksverantwoordelijke is vereist voor wijzigingen die de risicoklassificatie of het beoogde doel veranderen.
- AVG-gegevensverwerkingsovereenkomst (Art 28 AVG) — Verwerkersovereenkomst op grond van Artikel 28 AVG die omvat: rechtsgrondslag, verwerkingsinstructies, ondersteuning van rechten van betrokkenen, verwijdering/terugkeer bij beëindiging en lijst van subverwerkers met kennisgeving van wijzigingen.
- Gegevensoverdrachten naar derde landen — Schrems II-gegevensoverdrachtsimpactbeoordeling waarbij persoonsgegevens buiten de EER worden verwerkt. Geldig overdrachtsechanisme vastgesteld: adequaatheidsbesluit, Standaard Contractuele Clausules (SCC's) of Bindende Bedrijfsregels.
- Audit- en inspectierechten — Het recht van de gebruiksverantwoordelijke om audits uit te voeren of te laten uitvoeren (ISAE 3000 / SOC 2 Type II), of auditverslagen te ontvangen uit de bestaande geaccrediteerde beoordelingen van de leverancier, inclusief opvolging van bevindingen die relevant zijn voor de compliance van de gebruiksverantwoordelijke.
De valkuil van de aanbiedersverschuiving op grond van Artikel 25
Artikel 25 van de EU AI-verordening bepaalt de voorwaarden waaronder een derde partij — inclusief een gebruiksverantwoordelijke — de juridische aanbieder van een AI-systeem wordt. De triggervoorwaarden zijn:
- Het op de markt brengen van het AI-systeem of het in gebruik stellen ervan onder de eigen naam of het eigen handelsmerk van de derde partij.
- Het aanbrengen van een ingrijpende wijziging aan een hoog-risico AI-systeem dat reeds op de markt is gebracht of in gebruik is gesteld.
- Het wijzigen van het beoogde doel van een AI-systeem dat niet eerder als hoog-risico was geclassificeerd, op zodanige wijze dat het hoog-risico wordt.
Gebruiksverantwoordelijken die SaaS-tools voorzien van een eigen merk, systemen configureren buiten hun beoogde toepassingsgebied, of modellen hertrainen op hun eigen gegevens, moeten beoordelen of zij de drempel van Artikel 25 hebben overschreden. Dit zonder voorbereiding doen betekent dat de volledige verplichtingenset van de aanbieder wordt overgenomen — Bijlage IV-documentatie, conformiteitsbeoordeling, EU-databankregistratie op grond van Artikel 71 — vaak zonder voorafgaande kennisgeving.
Veelvoorkomende contractleemten en hun gevolgen
- Leverancier beweert "voldoet aan AI-verordening" zonder classificatie of artikelen te specificeren. De gebruiksverantwoordelijke heeft geen basis om te verifiëren welke verplichtingen de leverancier heeft voldaan en welke bij de gebruiksverantwoordelijke berusten.
- Geen logboekaccessclausule. Artikel 26(6) vereist dat de gebruiksverantwoordelijke logboeken gedurende ten minste 6 maanden bewaart. Indien de leverancier de logboeken beheert en het contract hierover zwijgt, heeft u geen rechtsgrondslag om deze op regelgevend verzoek op te vragen.
- Geen incidentmeldings-SLA. Ernstige incidenten op grond van Artikel 73 moeten worden gemeld aan de nationale markttoezichtautoriteit. Indien de leverancier u niet in kennis stelt, mist u het meldingsvenster en bent u aansprakelijk voor het niet melden.
- Geen wijzigingsbeheersbepaling. Een leverancier die het model bijwerkt of de systeemarchitectuur wijzigt zonder kennisgeving, kan een nieuwe conformiteitsbeoordeling vereisen of het beoogde doel op een manier wijzigen die uw verplichtingen als gebruiksverantwoordelijke verandert.
- White-labelregeling zonder overdracht van documentatie. Indien u het systeem als uw eigen merk presenteert zonder de Bijlage IV-documentatie te ontvangen, bent u een niet-geregistreerde aanbieder zonder bewijsspoor.
Toepassingstermijn
De verplichtingen voor gebruiksverantwoordelijken op grond van Artikel 26 en de vereiste gebruiksaanwijzing op grond van Artikel 13 zijn van toepassing vanaf 2 augustus 2026 voor hoog-risico systemen vermeld in Bijlage III. De voorlopige politieke overeenstemming inzake de Digital Omnibus (7 mei 2026 — nog niet aangenomen of gepubliceerd in het Publicatieblad) stelt voor bepaalde Bijlage III-hoog-risicoverplichtingen voor systemen die reeds op de markt zijn, uit te stellen tot 2 december 2027. Tot de formele aanneming is 2 augustus 2026 bindend. De AI-geletterdheidsverplichting op grond van Artikel 4 en het verbod op verboden praktijken op grond van Artikel 5 zijn reeds van kracht sinds 2 februari 2025.
Sancties voor niet-naleving door gebruiksverantwoordelijken
Schending van hoog-risicoverplichtingen voor gebruiksverantwoordelijken (Artikel 26) wordt gesanctioneerd op grond van Artikel 99(4) met administratieve boetes van maximaal EUR 15.000.000 of 3% van de totale wereldwijde jaarlijkse omzet, al naargelang welk bedrag hoger is. Voor het mkb en start-ups is Artikel 99(6) van toepassing, dat het laagste van de twee bedragen of percentages hanteert.
Gerelateerde EU-gidsen
- Gebruiksverantwoordelijke versus aanbieder — wanneer rollen verschuiven
- Controlelijst voor gebruiksverantwoordelijken — Artikel 26
- Schema voor due diligence bij leveranciers
- Logboekverplichtingen — Artikel 12
- Bijlage IV technische documentatie
Bronnen
- Verordening (EU) 2024/1689, Artikelen 9, 10, 13, 25, 26, 43, 47, 71, 73, 99, Bijlage III, Bijlage IV — EUR-Lex: https://eur-lex.europa.eu/eli/reg/2024/1689/oj
- Verordening (EU) 2016/679 (AVG), Artikel 28 — EUR-Lex: https://eur-lex.europa.eu/eli/reg/2016/679/oj
Opmerking: Deze controlelijst weerspiegelt verplichtingen op grond van Verordening (EU) 2024/1689. Begeleiding bij de AI-verordening van het Europees AI-bureau en nationale bevoegde autoriteiten kan de vereisten nader specificeren. PowerQuant levert software en documentatie voor gebruik in uw interne complianceproces — geen juridisch advies.