Artikel 10 van Verordening (EU) 2024/1689 vormt de gegevensbasis van het hoog-risico regime. Het staat tussen Artikel 9 (risicobeheer) en Artikel 11 (technische documentatie) in en bepaalt welke data gebruikt mag worden, onder welk beheer, en hoe bias moet worden aangepakt. Deze pagina behandelt de vier operationele leden en de beperkte Artikel 10(5)-grondslag voor de verwerking van bijzondere categorieën persoonsgegevens ter detectie en correctie van bias.
Voor wie Artikel 10 geldt
Artikel 10 is van toepassing op hoog-risico AI-systemen die gebruik maken van technieken waarbij AI-modellen worden getraind met data. Voor hoog-risico AI-systemen waarbij geen training op data plaatsvindt, is Artikel 10 uitsluitend van toepassing op de testdatasets. De primaire verplichte partij is de aanbieder, maar herclassificatie op grond van Artikel 25 kan deze verplichtingen overhevelen naar een gebruiksverantwoordelijke die een systeem wezenlijk wijzigt, en gebruiksverantwoordelijken op grond van Artikel 26 die inputdata aanleveren, moeten ervoor zorgen dat deze relevant en voldoende representatief is voor het beoogde doel.
Artikel 10(2) — gegevensbeheerspraktijken
Trainings-, validatie- en testdatasets moeten onderworpen zijn aan gegevensbeheer- en managementpraktijken die passend zijn voor het beoogde doel van het hoog-risico AI-systeem. Die praktijken moeten met name betrekking hebben op:
- de relevante ontwerpkeuzes;
- dataverzamelingsprocessen en de oorsprong van de data en, in geval van persoonsgegevens, het oorspronkelijke doel van de dataverzameling;
- relevante datavoorbereidingsbewerkingen, zoals annotatie, labeling, opschoning, bijwerking, verrijking en aggregatie;
- de formulering van aannames, in het bijzonder met betrekking tot de informatie die de data geacht wordt te meten en te vertegenwoordigen;
- een beoordeling van de beschikbaarheid, kwantiteit en geschiktheid van de benodigde datasets;
- onderzoek naar mogelijke vooringenomenheden die waarschijnlijk de gezondheid en veiligheid van personen beïnvloeden, een negatieve impact hebben op grondrechten of leiden tot discriminatie die verboden is onder het Unierecht, in het bijzonder wanneer data-outputs inputs voor toekomstige bewerkingen beïnvloeden;
- passende maatregelen om geïdentificeerde mogelijke vooringenomenheden te detecteren, te voorkomen en te beperken;
- de identificatie van relevante lacunes of tekortkomingen in de data die naleving van de verordening belemmeren, en hoe die lacunes en tekortkomingen kunnen worden verholpen.
Artikel 10(3) — kwaliteitscriteria
Trainings-, validatie- en testdatasets moeten relevant, voldoende representatief en naar best vermogen vrij van fouten en volledig zijn voor het beoogde doel. Zij moeten de juiste statistische eigenschappen hebben, inclusief, waar van toepassing, met betrekking tot de personen of groepen personen ten aanzien van wie het hoog-risico AI-systeem bedoeld is te worden gebruikt. Deze kenmerken van de datasets kunnen worden bereikt op het niveau van afzonderlijke datasets of op het niveau van een combinatie daarvan.
Artikel 10(4) — contextrelevante eigenschappen
Trainings-, validatie- en testdatasets moeten, voor zover vereist door het beoogde doel, rekening houden met de kenmerken of elementen die kenmerkend zijn voor de specifieke geografische, contextuele, gedragsmatige of functionele omgeving waarbinnen het hoog-risico AI-systeem bedoeld is te worden gebruikt.
Praktisch gezien vormt een wervingssysteem dat hoofdzakelijk is getraind op data van één arbeidsmarkt en wordt ingezet in een andere, een vermoedelijke nalevingstekortkoming op grond van Artikel 10(4) die de gebruiksverantwoordelijke vóór aankoop aan de aanbieder dient te melden.
Artikel 10(5) — bijzondere categorieën persoonsgegevens voor biasdetectie
Voor zover dit strikt noodzakelijk is om biasdetectie en -correctie in relatie tot hoog-risico AI-systemen te waarborgen, mogen aanbieders van dergelijke systemen bij wijze van uitzondering bijzondere categorieën persoonsgegevens als bedoeld in Artikel 9(1) van Verordening (EU) 2016/679 (GDPR) verwerken, met inachtneming van passende waarborgen voor de grondrechten en vrijheden van natuurlijke personen. Die waarborgen moeten ten minste het volgende omvatten:
- biasdetectie en -correctie kan niet effectief worden uitgevoerd door andere data te verwerken, waaronder synthetische of geanonimiseerde data;
- de bijzondere categorieën persoonsgegevens zijn onderworpen aan technische beperkingen op het hergebruik en het gebruik van de meest geavanceerde beveiligings- en privacybeschermende maatregelen, waaronder pseudonimisering;
- de bijzondere categorieën persoonsgegevens zijn onderworpen aan maatregelen om te waarborgen dat de verwerkte persoonsgegevens zijn beveiligd, beschermd en onderworpen aan passende waarborgen, met inbegrip van strikte controles en documentatie van de toegang, om misbruik te voorkomen en te waarborgen dat alleen bevoegde personen toegang hebben;
- de bijzondere categorieën persoonsgegevens mogen niet worden doorgezonden, overgedragen of anderszins toegankelijk worden gemaakt voor andere partijen;
- de bijzondere categorieën persoonsgegevens worden verwijderd zodra de bias is gecorrigeerd of de persoonsgegevens het einde van hun bewaartermijn hebben bereikt, afhankelijk van wat het eerst plaatsvindt;
- de registers van verwerkingsactiviteiten op grond van Verordeningen (EU) 2016/679 en (EU) 2018/1725 en Richtlijn (EU) 2016/680 bevatten de redenen waarom de verwerking van bijzondere categorieën persoonsgegevens strikt noodzakelijk was om vooringenomenheden te detecteren en te corrigeren, en waarom dat doel niet kon worden bereikt door andere data te verwerken.
Artikel 10(6) en de uitzondering voor uitsluitend testen
Voor de ontwikkeling van hoog-risico AI-systemen die geen gebruik maken van technieken waarbij AI-modellen worden getraind, zijn de leden 2 tot en met 5 uitsluitend van toepassing op de testdatasets.
Hoe Artikel 10 verband houdt met de verplichtingen van de gebruiksverantwoordelijke
- Voorkooponderzoek (due diligence). Gebruiksverantwoordelijken dienen de aanbieder vóór ondertekening te vragen om een verklaring over Artikel 10(2)(g) biasbeperkende maatregelen en Artikel 10(4) contextgeschiktheid — ontbrekende antwoorden zijn rode vlaggen.
- Artikel 26(4) kwaliteit van inputdata. Waar gebruiksverantwoordelijken controle uitoefenen over de inputdata, moeten zij ervoor zorgen dat de inputdata relevant en voldoende representatief is voor het beoogde doel van het hoog-risico AI-systeem.
- Artikel 27 FRIA. De resultaten van Artikel 10 dragen bij aan de grondrechteneffectbeoordeling die vereist is van bepaalde Artikel 27 gebruiksverantwoordelijken (publiekrechtelijke lichamen en particuliere actoren die openbare diensten verlenen, plus de gebruiksverantwoordelijken onder Bijlage III punten 5(b) en 5(c)).
- Artikel 11 / Bijlage IV. De bevindingen van Artikel 10 maken deel uit van de technische documentatie die een gebruiksverantwoordelijke moet raadplegen op grond van de gebruiksinstructies van Artikel 13.
Veelvoorkomende misvattingen
- "Artikel 10 maakt bias illegaal." Dat is niet zo. Het vereist onderzoek naar vooringenomenheden die de gezondheid, veiligheid of grondrechten kunnen beïnvloeden en passende beperking. Resterende bias is aanvaardbaar indien gedocumenteerd en beperkt.
- "Artikel 10(5) laat ons ras- of seksuele-oriëntatiedata verzamelen." Alleen de aanbieder, alleen strikt noodzakelijk, alleen wanneer andere data onvoldoende is, en met alle zes waarborgen. Het is een beperkte uitzondering, geen algemene toestemming.
- "Synthetische data omzeilt Artikel 10." Artikel 10(5)(a) beschouwt synthetische en geanonimiseerde data expliciet als de voorkeursroute. Kwaliteitscriteria op grond van Artikel 10(3) zijn nog steeds van toepassing op synthetische datasets.
- "Artikel 10 is het probleem van de aanbieder." Artikel 26(4) legt een kwaliteitsplicht voor inputdata op aan gebruiksverantwoordelijken, en wezenlijke wijziging (Art 25) maakt de gebruiksverantwoordelijke de aanbieder voor alle verplichtingen van Afdeling 2, inclusief Artikel 10.
Gerelateerde EU-gidsen
- Menselijk toezicht — Artikel 14
- Registratie & logboekhouding — Artikel 12
- Tijdlijn EU AI-verordening voor gebruiksverantwoordelijken
- Handhaving & sancties — wie toeziet en hoe
- NIS2 essentiële vs. belangrijke entiteiten
Bronnen
- Regulation (EU) 2024/1689, Articles 9, 10, 11, 13, 25, 26, 27 — EUR-Lex: https://eur-lex.europa.eu/eli/reg/2024/1689/oj
- Regulation (EU) 2016/679 (GDPR), Article 9 — EUR-Lex: https://eur-lex.europa.eu/eli/reg/2016/679/oj
- European Commission — AI Act Service Desk, Article 10: https://ai-act-service-desk.ec.europa.eu/en/ai-act/article-10
Opmerking: Artikel 10(5) vereist een strikte noodzakelijkheids- en evenredigheidsbeoordeling op grond van GDPR Artikel 9. Raadpleeg altijd uw FG of externe adviseur voordat u hier een beroep op doet. PowerQuant levert documentatiesjablonen — geen juridisch advies.