Wanneer een overheid, gemeente of provincie een AI-systeem aanbesteedt en in gebruik neemt, wordt de organisatie zelden alleen een koper. In de zin van de AI-verordening (EU AI Act) wordt u meestal een gebruiksverantwoordelijke (deployer) — degene die het systeem onder eigen verantwoordelijkheid gebruikt. Dat is een rol met concrete verplichtingen, en de basis om daaraan te voldoen wordt al gelegd in het inkoopproces. Deze gids laat zien hoe u als aanbestedende dienst de juiste eisen stelt en voorkomt dat u een regelovertreding in het contract inbouwt.
De overheid als gebruiksverantwoordelijke
Degene die een AI-systeem ontwikkelt of onder eigen naam op de markt brengt, is een aanbieder (provider). Degene die het systeem in de eigen bedrijfsvoering gebruikt, is een gebruiksverantwoordelijke. Bij een aanbesteding wordt uw dienst normaliter gebruiksverantwoordelijke van het systeem dat u inkoopt.
Dit is bijzonder belangrijk omdat u een publiekrechtelijk orgaan bent. Voor hoogrisico-AI volgens Bijlage III stelt de verordening eisen die specifiek zijn voor de publieke sector — vooral de grondrechteneffectbeoordeling in artikel 27 (FRIA), die moet worden uitgevoerd voordat het systeem in gebruik wordt genomen.
Stel AI Act-eisen in de aanbesteding
Een gebruiksverantwoordelijke kan niet aan zijn verplichtingen voldoen zonder onderbouwing van de aanbieder. Vraag daarom in het aanbestedingsdossier:
- De technische documentatie van de aanbieder (provider).
- Een gebruiksaanwijzing die het doel, de beperkingen en de eisen aan menselijk toezicht van het systeem beschrijft.
- Bewijs van CE-markering en de EU-conformiteitsverklaring voor hoogrisico-AI.
- Gegevens over logfuncties zodat u logs kunt bewaren volgens artikel 26.
Zonder deze onderbouwing riskeert u een systeem over te nemen dat u niet rechtmatig in gebruik kunt nemen.
Grondrechteneffectbeoordeling (artikel 27 FRIA)
Publiekrechtelijke organen moeten volgens artikel 27 een grondrechteneffectbeoordeling (FRIA) uitvoeren voordat een hoogrisico-AI-systeem volgens Bijlage III in gebruik wordt genomen. De beoordeling moet onder meer de processen beschrijven waarin het systeem wordt gebruikt, de betrokken personen, de risico's op schade en de maatregelen voor menselijk toezicht. Plan de FRIA al in de planning — het is een voorwaarde voor ingebruikname, geen documentatie achteraf.
Verplichtingen van de gebruiksverantwoordelijke (artikel 26)
Als gebruiksverantwoordelijke van hoogrisico-AI bent u volgens artikel 26 onder meer verantwoordelijk om:
- Het systeem te gebruiken volgens de gebruiksaanwijzing van de aanbieder.
- Menselijk toezicht door competente personen te waarborgen.
- De werking te monitoren en ernstige incidenten te melden.
- Automatisch gegenereerde logs te bewaren.
- Betrokken personen indien nodig te informeren dat zij onder het systeem vallen.
De rolverdeling tussen aanbieder en gebruiksverantwoordelijke wordt verduidelijkt in artikel 25, dat ook regelt wanneer een gebruiksverantwoordelijke als aanbieder kan worden aangemerkt. Stel in het contract eisen aan rolduidelijkheid (artikel 25), logging, menselijk toezicht en incidentmelding. Essentiële diensten, rechtshandhaving, migratie en onderwijs zijn gebieden in Bijlage III die bijzonder relevant zijn voor de publieke sector.
Tijdlijn
- 2 februari 2025: Artikel 4 (AI-geletterdheid) en artikel 5 (verboden praktijken) van kracht.
- 2 augustus 2026: Artikel 50 (transparantie) en de verplichtingen voor gebruiksverantwoordelijken gekoppeld aan Bijlage III worden van kracht.
- Voorstel — 2 december 2027: De Digital Omnibus stelt voor om de verplichtingen onder Bijlage III uit te stellen. Het Europees Parlement keurde het voorstel goed op 16 juni 2026, maar de Raad wacht op publicatie in het EU-Publicatieblad. Het voorstel is nog niet in werking getreden en moet als een voorstel worden behandeld.
Sancties
Overtredingen kunnen zeer kostbaar worden (artikel 99):
- Verboden praktijken (artikel 5): tot 35 miljoen EUR of 7 % van de wereldwijde jaaromzet.
- Overtredingen van transparantie (artikel 50) en hoogrisico-eisen: tot 15 miljoen EUR of 3 %.
- Onjuiste informatie aan autoriteiten: tot 7,5 miljoen EUR of 1 %.
Voorafgaand aan de aanbesteding
- Bepaal uw rol: wees u ervan bewust dat u waarschijnlijk gebruiksverantwoordelijke wordt.
- Classificeer het systeem: valt het onder Bijlage III?
- Neem documentatie-eisen (technische documentatie, gebruiksaanwijzing, CE) op in het dossier.
- Plan de artikel 27 FRIA vóór ingebruikname.
- Regel rolduidelijkheid (artikel 25), logging, toezicht en incidentmelding in het contract.
- Stem af met de NIS2-eisen op het gebied van cyberbeveiliging voor essentiële en belangrijke entiteiten.
PowerQuant wordt geleverd als documentatieondersteuning: Module 1 (AI-inventarisatie + Artikel 4-register) en Module 2 (Leverancierdocumentatiepakket). Prijzen zijn indicatief.
Deze pagina bevat algemene informatie over de AI-verordening en vormt geen juridisch advies.