PowerQuantNLStuur uw vragenlijst

Artikel 26 van Verordening (EU) 2024/1689 stelt de verplichtingen vast voor gebruiksverantwoordelijken van hoog-risico AI-systemen. De twaalf leden hieronder zijn elk in begrijpelijk Nederlands geherformuleerd, met de bewijsstukken die een gebruiksverantwoordelijke dient te bewaren om naleving aan te tonen. Artikel 4 (AI-geletterdheid) en Artikel 50 (transparantie) staan naast Artikel 26 en zijn als afzonderlijke overlays opgenomen.

Artikel 26 — de twaalf leden

Art 26(1) — Gebruik het systeem conform de instructies van de aanbieder

Vereiste: Neem passende technische en organisatorische maatregelen zodat het hoog-risico AI-systeem wordt gebruikt overeenkomstig de bij het systeem behorende gebruiksinstructies.

Te bewaren bewijsstukken: Standaard werkprocedure per systeem; ondertekende bevestiging van elke operator dat zij de gebruiksinstructies hebben ontvangen.

Art 26(2) — Wijs menselijk toezicht toe aan een bekwaam natuurlijk persoon

Vereiste: Menselijk toezicht moet worden toegewezen aan natuurlijke personen die beschikken over de nodige competentie, opleiding en bevoegdheid, en de nodige ondersteuning.

Te bewaren bewijsstukken: Benoemde toezichtsrol met functiebeschrijving; opleidingsregisters gekoppeld aan Artikel 4; gedocumenteerde bevoegdheid om in te grijpen of gebruik te schorsen.

Art 26(3) — Onverminderd andere Unie- of nationale wetgeving

Vereiste: De leden 1 en 2 laten andere verplichtingen van de gebruiksverantwoordelijke en de vrijheid van de gebruiksverantwoordelijke om zijn eigen middelen en activiteiten te organiseren ter uitvoering van de door de aanbieder aangegeven menselijke toezichtsmaatregelen onverlet.

Te bewaren bewijsstukken: Interne nota die de verplichtingen van Artikel 26 koppelt aan parallelle verplichtingen uit de AVG, sectorale wetgeving en ondernemingsraadakkoorden.

Art 26(4) — Zorg voor relevante en representatieve inputdata — waar u daar controle over heeft

Vereiste: Voor zover de gebruiksverantwoordelijke controle uitoefent over de inputdata, zorgt de gebruiksverantwoordelijke ervoor dat de inputdata relevant en voldoende representatief is voor het beoogde doel van het hoog-risico AI-systeem.

Te bewaren bewijsstukken: Gegevensbeheersbeleid; controlinventaris die aangeeft welke inputvelden de gebruiksverantwoordelijke (versus de aanbieder) beheert; gedocumenteerde datakwaliteitscontroles op de gecontroleerde velden.

Art 26(5) — Monitor de werking; schort op en meld bij ernstig risico

Vereiste: Monitor de werking op basis van de gebruiksinstructies. Wanneer de gebruiksverantwoordelijke reden heeft om aan te nemen dat het gebruik een risico in de zin van Artikel 79(1) kan opleveren, stelt hij de aanbieder of distributeur en de markttoezichtautoriteit hiervan onverwijld in kennis en schort hij het gebruik van het systeem op. Meld ernstige incidenten conform Artikel 73.

Te bewaren bewijsstukken: Monitoring-draaiboek; incidentenlogboek met tijdstempels; escalatiepad naar aanbieder en bevoegde autoriteit; gedocumenteerde schorssingsprocedure.

Art 26(6) — Bewaar automatisch gegenereerde logboeken gedurende ten minste zes maanden

Vereiste: Bewaar de logboeken die automatisch door het hoog-risico AI-systeem worden gegenereerd, voor zover deze onder de controle van de gebruiksverantwoordelijke vallen. De bewaartermijn bedraagt ten minste 6 maanden, tenzij andere toepasselijke Unie- of nationale wetgeving (met name de AVG) anders vereist.

Te bewaren bewijsstukken: Logboekexportprocedure; bewaringsbeleid; bewijs van onveranderlijke opslag; integratie met AVG-bewaringsregels.

Art 26(7) — Informeer werknemersvertegenwoordigers en betrokken werknemers vóór inzet op de werkvloer

Vereiste: Werkgevers die hoog-risico AI-systemen inzetten op de werkvloer, moeten de werknemersvertegenwoordigers en de betrokken werknemers vóór ingebruikname of gebruik ervan informeren dat zij onderworpen zullen zijn aan het gebruik ervan.

Te bewaren bewijsstukken: Notulen van ondernemingsraadvergadering; schriftelijke kennisgeving aan betrokken werknemers met dagtekening vóór livegang; bewijs van intranetten publicatie.

Art 26(8) — Registreer gebruik in de EU-databank — overheidsinstanties en instellingen van de Unie

Vereiste: Gebruiksverantwoordelijken die overheidsinstanties, -agentschappen of -organen zijn, of instellingen, organen, bureaus of agentschappen van de Unie, registreren hun gebruik van hoog-risico AI-systemen in de EU-databank als bedoeld in Artikel 71 vóór ingebruikname.

Te bewaren bewijsstukken: Bevestigde registratie; interne verwijzing naar de ingediende gegevens van Bijlage VIII Afdeling C.

Art 26(9) — Gebruik de informatie van de aanbieder voor de AVG-DPIA waar van toepassing

Vereiste: Waar van toepassing, gebruiken gebruiksverantwoordelijken de informatie verstrekt op grond van Artikel 13 om te voldoen aan hun gegevensbeschermingseffectbeoordelingsverplichting op grond van Artikel 35 AVG. De DPIA blijft de verantwoordelijkheid van de gebruiksverantwoordelijke.

Te bewaren bewijsstukken: DPIA-document met expliciete verwijzing naar de gebruiksinstructies van de aanbieder op grond van Artikel 13; goedkeuring door de FG; periodieke herzieningscyclus.

Art 26(10) — Rechterlijke machtiging voor post-remote biometrische identificatie

Vereiste: Gebruiksverantwoordelijken van post-remote biometrische identificatiesystemen in het kader van onderzoeken voor gerichte zoekopdrachten naar een verdachte of veroordeelde persoon, moeten voorafgaande toestemming vragen aan een rechterlijke of administratieve autoriteit wiens beslissing bindend is (met de beperkte uitzondering in Artikel 26(10)).

Te bewaren bewijsstukken: Machtigingslogboek per gebruik; interne beoordeling van tijdigheid; beperkt tot handhavingsgebruiksverantwoordelijken — niet van toepassing op HR-tech.

Art 26(11) — Informeer betrokken personen over door hoog-risico AI gedreven beslissingen

Vereiste: Gebruiksverantwoordelijken van hoog-risico AI-systemen als bedoeld in Bijlage III die besluiten nemen of helpen nemen die betrekking hebben op natuurlijke personen, moeten de betrokken personen informeren dat zij onderworpen zijn aan het gebruik van het hoog-risico AI-systeem.

Te bewaren bewijsstukken: Gestandaardiseerde openbaarmakingstekst opgenomen in beslissingsbrieven (aanbod, afwijzing, beoordelingsgesprek); auditspoor dat aantoont dat de openbaarmaking is verzonden.

Art 26(12) — Werk samen met bevoegde autoriteiten

Vereiste: Gebruiksverantwoordelijken werken samen met de relevante bevoegde autoriteiten bij elke actie die die autoriteiten ondernemen in verband met het hoog-risico AI-systeem ter uitvoering van deze verordening.

Te bewaren bewijsstukken: Aangewezen centraal contactpunt; draaiboek voor documentverstrekking; juridische-bewaarplichtprocedure voor AI-systeemregistraties.

Overlays Artikel 4 + Artikel 50

Art 4 — Waarborg voldoende AI-geletterdheid van personeel en andere personen die het systeem bedienen

Vereiste: Aanbieders en gebruiksverantwoordelijken nemen maatregelen om, naar best vermogen, een voldoende niveau van AI-geletterdheid te waarborgen bij hun personeel en andere personen die namens hen met de werking en het gebruik van AI-systemen te maken hebben, rekening houdend met technische kennis, ervaring, opleiding en training en de gebruikscontext. Van kracht sinds 2 februari 2025.

Te bewaren bewijsstukken: Rolgebaseerde geletterdheidsmapping; gedocumenteerde opleiding per persoon met tijdstempel; opfriscyclus.

Art 50(1) — Kennisgeving over AI-interactie gericht aan de gebruiker

Vereiste: Aanbieders zorgen ervoor dat AI-systemen die bedoeld zijn om rechtstreeks met natuurlijke personen te interageren, zodanig zijn ontworpen dat die personen worden geïnformeerd dat zij met een AI-systeem interageren, tenzij dit duidelijk blijkt uit de context. Van toepassing vanaf 2 augustus 2026.

Te bewaren bewijsstukken: Beoordeelde openbaarmakingstekst; plaatsing nabij het eerste interactiepunt; toegankelijkheidscontrole.

Art 50(3) — Kennisgeving over emotieherkenning / biometrische categorisering (gebruiksverantwoordelijke)

Vereiste: Gebruiksverantwoordelijken van emotieherkenningssystemen of biometrische-categoriseringssystemen informeren de natuurlijke personen die aan het systeem worden blootgesteld over de werking ervan en verwerken persoonsgegevens in overeenstemming met de AVG en de Richtlijn rechtshandhaving. Van toepassing vanaf 2 augustus 2026.

Te bewaren bewijsstukken: Kennisgeving vóór blootstelling; beoordeling van de rechtsgrondslag onder de AVG; registratie van eventuele uitdrukkelijke toestemming indien daarop een beroep wordt gedaan.

Art 50(4) — Openbaarmaking van deepfake en tekst van algemeen belang (gebruiksverantwoordelijke)

Vereiste: Gebruiksverantwoordelijken van een AI-systeem dat beeld-, audio- of video-inhoud genereert of bewerkt die een deepfake vormt, maken openbaar dat de inhoud kunstmatig is gegenereerd of bewerkt. Gebruiksverantwoordelijken van AI-systemen die tekst genereren die wordt gepubliceerd met als doel het publiek te informeren over zaken van algemeen belang, moeten de AI-generatie openbaar maken, met beperkte uitzonderingen. Van toepassing vanaf 2 augustus 2026.

Te bewaren bewijsstukken: Standaard openbaarmakingsonderschrift; controle van de redactionele workflow; memo met uitzonderingsgronden indien een beroep wordt gedaan op de Artikel 50(4)-uitzondering.

Hoe deze checklist te gebruiken

  1. Loop voor elk hoog-risico AI-systeem in uw inventaris de twaalf Artikel 26-rijen en de vier overlayrijen door.
  2. Markeer elke rij als Aanwezig / Gedeeltelijk / Ontbreekt en voeg de documentverwijzing voor de bewijskolom toe.
  3. Ontbrekende items worden werkpakkettickets met een eigenaar en een streefdatum. Gedeeltelijke items worden ofwel afgesloten of leiden tot een expliciete geaccepteerd-risico-notitie ondertekend door de eindverantwoordelijke bestuurder.
  4. Voer de checklist opnieuw uit na elke versie-upgrade van de aanbieder, na elke melding van een ernstig incident op grond van Artikel 73 en ten minste jaarlijks.

Artikel 27 FRIA — afzonderlijke werkstroom

Artikel 27 verplicht bepaalde gebruiksverantwoordelijken (publiekrechtelijke lichamen, particuliere exploitanten van diensten van algemeen belang, en gebruiksverantwoordelijken van twee specifieke subpunten van Bijlage III) om vóór het eerste gebruik een grondrechteneffectbeoordeling uit te voeren. Deze is niet in de Artikel 26-checklist opgenomen omdat de triggers en het bewijspakket verschillen. Private HR-tech-gebruiksverantwoordelijken overwegen de FRIA bij wijze van beste praktijk uit te voeren en als voorbereiding op due-diligence-vragenlijsten van klanten.

Fasering — wat wanneer van toepassing is

  • 2 februari 2025: Artikel 4 AI-geletterdheid en Artikel 5 verboden praktijken zijn van toepassing.
  • 2 augustus 2025: Governance-, GPAI- en sanctiebepalingen zijn van toepassing.
  • 2 augustus 2026: Bijlage III hoog-risico regime, Artikel 26 verplichtingen voor gebruiksverantwoordelijken, Artikel 27 FRIA en Artikel 50 transparantie zijn van toepassing; toezicht- en handhavingskader operationeel.
  • 2 augustus 2027: Artikel 6(1) Bijlage I productgeïntegreerd hoog-risico regime (AI als veiligheidscomponent of product gedekt door harmonisatiewetgeving van de Unie — machines, medische hulpmiddelen, enz.).
  • Opmerking: Het politieke akkoord van 7 mei 2026 over de Digital Omnibus stelt voor bepaalde Bijlage III hoog-risico deadlines uit te stellen. Totdat dit formeel is aangenomen en in het Publicatieblad is bekendgemaakt, blijven de bovenstaande data gezaghebbend.

Bronnen

  • Regulation (EU) 2024/1689 (AI Act), Articles 4, 5, 26, 27, 50, 71, 73, 79 and Annex III — https://eur-lex.europa.eu/eli/reg/2024/1689/oj
  • Regulation (EU) 2016/679 (GDPR), Articles 13, 22, 35.
  • European Commission AI Act Service Desk — Article 26 explanatory notes (current 2026).

Opmerking: PowerQuant levert software en documentatie voor gebruik in uw interne nalevingsproces — geen juridisch advies. De toepasselijkheid van elk lid van Artikel 26 hangt af van uw specifieke inzetcontext.