PowerQuantNLStuur uw vragenlijst

Gevorderde FAQ voor gebruiksverantwoordelijken — EU AI-verordening + NIS2

22 diepgaande antwoorden voor organisaties die de basisbeginselen al begrijpen en werken aan de implementatie van artikel 26, de reikwijdte van de FRIA, Bijlage IV-bewijs, leveranciersmanagement, boeterisico en de Digital Omnibus-tijdlijn. Artikelnummers verwijzen naar Verordening (EU) 2024/1689 (EU AI-verordening) en Richtlijn (EU) 2022/2555 (NIS2).

Deze pagina is technische documentatie, geen juridisch advies. PowerQuant ApS (CVR 46274067) is een leverancier van compliancebewijs; raadpleeg voor juridische interpretatie gekwalificeerde juridische adviseurs.


1. Wat vereist artikel 26 concreet van een gebruiksverantwoordelijke van een hoog-risico AI-systeem?

Artikel 26 beschrijft de kernverplichtingen van de gebruiksverantwoordelijke: (a) het systeem gebruiken overeenkomstig de gebruiksinstructies van de aanbieder (art. 26(1)); (b) menselijk toezicht toewijzen aan natuurlijke personen met de nodige bevoegdheid, opleiding, autoriteit en ondersteuning (art. 26(2)); (c) wanneer de gebruiksverantwoordelijke de invoergegevens beheert, er zorg voor dragen dat deze relevant en voldoende representatief zijn voor het beoogde doel (art. 26(4)); (d) de werking monitoren op basis van de instructies en de aanbieder/distributeur en de markttoezichtautoriteit informeren wanneer het gebruik een risico als bedoeld in art. 79(1) oplevert, en het gebruik zonder onnodige vertraging opschorten (art. 26(5)); (e) automatisch gegenereerde logboeken bijhouden voor zover deze onder het beheer van de gebruiksverantwoordelijke vallen, voor ten minste zes maanden, tenzij het Unierecht of nationaal recht anders bepaalt (art. 26(6)); (f) bij inzet op de werkplek werknemersvertegenwoordigers en betrokken werknemers informeren voordat het systeem in gebruik wordt genomen (art. 26(7)).

2. Wie moet een effectbeoordeling voor de grondrechten (FRIA) uitvoeren op grond van artikel 27?

Drie categorieën gebruiksverantwoordelijken moeten een FRIA uitvoeren vóór het eerste gebruik van een hoog-risico AI-systeem dat is opgenomen in Bijlage III: (i) publiekrechtelijke organen; (ii) particuliere entiteiten die openbare diensten verlenen; en (iii) elke gebruiksverantwoordelijke die AI gebruikt voor de beoordeling van kredietwaardigheid of voor risicobeoordeling en prijsstelling in levens- en ziektekostenverzekeringen (Bijlage III, punten 5(b) en (c)). De beoordeling moet het proces beschrijven dat het systeem ondersteunt, de periode en frequentie van gebruik, de categorieën betrokken natuurlijke personen en groepen, de specifieke risico's op schade, de geplande maatregelen voor menselijk toezicht en de te nemen maatregelen als de risico's zich voordoen — inclusief governance- en klachtenprocedures. Het resultaat wordt via het template van het AI-bureau gemeld aan de markttoezichtautoriteit, en een eventuele DPIA op grond van art. 35 AVG wordt aangevuld — maar niet vervangen — door de FRIA.

3. Wat zijn de administratieve boetetiers van de AI-verordening op grond van artikel 99?

Artikel 99 stelt drie maxima vast, telkens het hoogste van een vast bedrag of een percentage van de totale wereldwijde jaarlijkse omzet: (1) tot €35.000.000 of 7% van de totale wereldwijde jaarlijkse omzet voor inbreuken op de verbodsbepaling in artikel 5; (2) tot €15.000.000 of 3% voor inbreuken op de meeste andere verplichtingen die rusten op aanbieders, importeurs, distributeurs, gebruiksverantwoordelijken, aangemelde instanties en gemachtigde vertegenwoordigers (inclusief de verplichtingen van gebruiksverantwoordelijken op grond van art. 26); (3) tot €7.500.000 of 1% voor het verstrekken van onjuiste, onvolledige of misleidende informatie aan aangemelde instanties of nationale bevoegde autoriteiten. Voor kmo's, inclusief start-ups, geldt het laagste van het vaste bedrag of het percentage (art. 99(6)).

4. Hoe verhouden NIS2-boetes zich tot AI-verordening-boetes wanneer beide van toepassing zijn?

Dit zijn afzonderlijke regimes die kunnen stapelen. Op grond van NIS2 artikel 34 worden administratieve boetes opgelegd: essentiële entiteiten tot ten minste €10.000.000 (of, indien hoger, een bedrag gelijk aan 2% van de totale wereldwijde jaarlijkse omzet van het voorgaande boekjaar); belangrijke entiteiten tot ten minste €7.000.000 (of, indien hoger, 1,4%). Die NIS2-maxima staan volledig los van de handhaving op grond van de AI-verordening. De boetetiers van de AI-verordening (art. 99) — €35M/7%, €15M/3%, €7,5M/1% — zijn bovendien van toepassing voor hetzelfde incident als dat beide regimes worden getriggerd (bijv. een beveiligingsinbreuk in een hoog-risico AI-wervingssysteem dat tevens onder NIS2-meldplicht valt). NIS2 introduceert ook persoonlijke aansprakelijkheid voor het senior management bij grove nalatigheid bij cyberbeheer.

5. Wanneer gaan de verplichtingen van de gebruiksverantwoordelijke daadwerkelijk gelden?

De kaderdatum is 2 augustus 2026 — de datum waarop de hoofdstuk III-verplichtingen voor hoog-risico systemen (inclusief de verplichtingen van art. 26 voor gebruiksverantwoordelijken en de FRIA op grond van art. 27) oorspronkelijk van toepassing zouden worden. De voorlopige politieke overeenkomst van de Digital Omnibus van 7 mei 2026 stelt voor de toepasselijkheid van stand-alone Bijlage III hoog-risico toepassingen te verschuiven naar 2 december 2027, en AI ingebed in gereguleerde Bijlage I-producten (medische hulpmiddelen, machines, voertuigen, enz.) naar 2 augustus 2028. Deze wijzigingen treden pas in werking na formele goedkeuring en bekendmaking in het Publicatieblad van de EU — zolang dat niet is gebeurd, blijft 2 augustus 2026 de bindende datum. De verboden van artikel 5 en de AI-geletterdheidsplicht van artikel 4 gelden al vanaf 2 februari 2025, en het sanctieregime in hoofdstuk XII is van toepassing vanaf 2 augustus 2025.

6. Gelden de verplichtingen van de gebruiksverantwoordelijke ook buiten de EU?

Ja, op twee manieren. (i) Art. 2(1)(b) heeft betrekking op gebruiksverantwoordelijken die zijn gevestigd of zich bevinden binnen de Unie. (ii) Art. 2(1)(c) breidt de reikwijdte van de verordening extraterritoriaal uit tot aanbieders en gebruiksverantwoordelijken die buiten de Unie zijn gevestigd of zich bevinden, wanneer de output van het AI-systeem in de Unie wordt gebruikt. Een Noorse of Britse gebruiksverantwoordelijke die een hoog-risico wervingssysteem gebruikt om kandidaten voor een EU-dochteronderneming te screenen, valt dus binnen de werkingssfeer, ook al bevindt de entiteit van de gebruiksverantwoordelijke zich buiten de EU.

7. Zijn wij een gebruiksverantwoordelijke of een aanbieder als wij het hoog-risico model van een leverancier fine-tunen of rebranden?

Artikel 25(1) herclassificeert een gebruiksverantwoordelijke (of distributeur of importeur) als nieuwe aanbieder van het hoog-risico AI-systeem in drie situaties: (a) het plaatsen van uw naam of handelsmerk op een hoog-risico systeem dat al op de markt is gebracht of in gebruik is gesteld; (b) het aanbrengen van een wezenlijke wijziging aan een hoog-risico systeem waardoor het hoog-risico blijft op grond van art. 6; of (c) het wijzigen van het beoogde doel van een niet-hoog-risico AI-systeem zodat het hoog-risico wordt. In dat geval gaan de verplichtingen van de oorspronkelijke aanbieder op u over, en moet de oorspronkelijke aanbieder meewerken en de informatie delen die nodig is voor naleving (art. 25(2)). Het fine-tunen van een basismodel voor een hoog-risico HR-toepassing is hierbij de klassieke valkuil.

8. Wat is een 'wezenlijke wijziging' die ons in de aanbiedersstatus plaatst?

Art. 3(23) definieert wezenlijke wijziging als een wijziging van een AI-systeem na het op de markt brengen of in gebruik stellen ervan, die niet voorzien of gepland was in de initiële conformiteitsbeoordeling door de aanbieder en waardoor de naleving van de hoog-risicovereisten in hoofdstuk III, afdeling 2 wordt beïnvloed, of die leidt tot een wijziging van het beoogde doel waarvoor het AI-systeem is beoordeeld. Overweging 128 verduidelijkt dat hertraining binnen door de aanbieder vooraf bepaalde parameters geen wezenlijke wijziging is. Materiële wijzigingen in de trainingsdataverdeling, uitvoerklassen of het risicoprofiel zijn dat doorgaans wel.

9. Welke logboeken van geautomatiseerde logs moeten wij bewaren, en hoe lang?

Art. 26(6) verplicht gebruiksverantwoordelijken de logboeken te bewaren die automatisch door het hoog-risico AI-systeem worden gegenereerd, voor zover die logboeken onder hun beheer vallen, voor een periode die passend is voor het beoogde doel en ten minste zes maanden — tenzij ander Unie- of nationaal recht (met name de AVG) een andere periode voorschrijft. De logboeken zelf zijn gedefinieerd in art. 12: traceerbaarheid gedurende de levenscyclus van het systeem, waarmee situaties kunnen worden geïdentificeerd die kunnen leiden tot een risico als bedoeld in art. 79(1) of tot een wezenlijke wijziging, en die de postmarktmonitoring op grond van art. 72 vergemakkelijkt. Voor Bijlage III, punt 1 biometrische systemen stelt art. 12(3) expliciete minimumvereisten voor de logboekinhoud vast (gebruiksperiode, referentiedatabase, invoergegevens, betrokken personen bij verificatie).

10. Welke gebruiksinstructies moeten wij van de aanbieder ontvangen, en wat als deze ontoereikend zijn?

Art. 13 vereist dat aanbieders gebruiksinstructies verstrekken die de identiteit en contactgegevens van de aanbieder bevatten; de kenmerken, mogelijkheden en prestatiebeperkingen (inclusief beoogd doel, nauwkeurigheids-/robuustheids-/cyberbeveiligingsniveaus als bedoeld in art. 15, voorzienbaar misbruik, prestaties bij personen/groepen, specificaties van invoergegevens); door de aanbieder vooraf bepaalde wijzigingen; maatregelen voor menselijk toezicht op grond van art. 14; computationele en hardwarevereisten, verwachte levensduur en onderhoud; en een beschrijving van het logboekverzamelingsmechanisme. Als de instructies ontbreken, onvolledig zijn of gebruik overeenkomstig het beoogde doel niet mogelijk maken, kan de gebruiksverantwoordelijke niet steunen op naleving van art. 26(1). In de praktijk: weiger levering, eis een gecorrigeerde versie en documenteer het verzoek — dit wordt bewijs bij latere handhavingsacties.

11. Hoe ziet effectief menselijk toezicht (art. 14) er concreet uit aan de kant van de gebruiksverantwoordelijke?

Art. 14 legt de ontwerpplicht bij de aanbieder, maar art. 26(2) legt de operationele plicht bij de gebruiksverantwoordelijke: toezicht toewijzen aan natuurlijke personen met de nodige bevoegdheid, opleiding, autoriteit en ondersteuning. In de praktijk betekent dit (i) met naam genoemde personen per systeem met gedocumenteerde functiebeschrijvingen; (ii) bewijs dat zij de mogelijkheden en beperkingen van het systeem begrijpen en de uitvoer correct kunnen interpreteren (art. 14(4)(a)–(b)); (iii) de autoriteit om te besluiten de uitvoer niet te gebruiken, deze te negeren of te herroepen, en het systeem te stoppen via een 'stop'-knop of vergelijkbare procedure (art. 14(4)(d)–(e)); (iv) bewustzijn van automatiseringsbias (art. 14(4)(b)). Voor Bijlage III punt 1 biometrische identificatie vereist art. 14(5) bovendien verificatie door ten minste twee natuurlijke personen met de nodige bevoegdheid voordat enige actie wordt ondernomen.

12. Zijn wij verplicht iets te registreren in de EU-database?

Gebruiksverantwoordelijken die een publieke autoriteit zijn (en degenen die namens hen handelen) van hoog-risico Bijlage III-systemen moeten zichzelf en het gebruik van het systeem registreren in de EU-database voordat zij het in gebruik nemen (art. 49(3)–(4) en art. 71). Gebruiksverantwoordelijken in de particuliere sector registreren zichzelf niet rechtstreeks — de aanbieder registreert het hoog-risico AI-systeem zelf op grond van art. 49(1) en de vermelding van de aanbieder bevat de systeemidentificator. Gebruiksverantwoordelijken dienen die door de aanbieder verstrekte registratiereferentie op te nemen in hun AI-inventaris als bewijs van de wettigheid van het op de markt brengen.

13. Welk bewijs moeten wij kunnen tonen bij een inspectie door een markttoezichtautoriteit?

Art. 26(12) vereist dat gebruiksverantwoordelijken meewerken met bevoegde autoriteiten bij maatregelen die zij treffen met betrekking tot het hoog-risico AI-systeem. In de praktijk zullen autoriteiten vragen om: (i) de AI-inventaris die elk systeem koppelt aan de categorie in Bijlage III, de rol (gebruiksverantwoordelijke vs. aanbieder) en het EU-database-ID van de aanbieder; (ii) de CE-gemarkeerde conformiteitsverklaring van de aanbieder en de gebruiksinstructies (art. 47, art. 13); (iii) FRIA-resultaten en het meldingstemplate dat naar de markttoezichtautoriteit is gestuurd waar art. 27 van toepassing is; (iv) toewijzingen van toezichtsrollen, opleidingsregisters en incidentlogboeken; (v) automatisch gegenereerde logboeken op grond van art. 26(6); (vi) de op grond van art. 86 aan betrokken personen op verzoek verstrekte uitleg; (vii) werkpleknotificatieregisters op grond van art. 26(7); (viii) opleidingsregisters AI-geletterdheid op grond van art. 4.

14. Wat betekent het recht op uitleg van art. 86 voor een gebruiksverantwoordelijke?

Art. 86 geeft elke persoon die onderworpen is aan een besluit van de gebruiksverantwoordelijke op basis van de uitvoer van een hoog-risico Bijlage III AI-systeem (met uitzondering van punt 2 — kritieke infrastructuur) en dat rechtsgevolgen heeft of de persoon op vergelijkbare wijze aanzienlijk treft op een manier die hij of zij als schadelijk voor zijn of haar gezondheid, veiligheid of grondrechten beschouwt, het recht om van de gebruiksverantwoordelijke een duidelijke en betekenisvolle uitleg te ontvangen over de rol van het AI-systeem in de besluitvormingsprocedure en de voornaamste elementen van het genomen besluit. Gebruiksverantwoordelijken dienen per hoog-risico systeem vooraf een uitlegtemplate klaar te hebben in plaats van dit te improviseren onder tijdsdruk wanneer een verzoek binnenkomt, en dienen dit af te stemmen op eventuele parallelle verplichtingen op grond van art. 22 AVG.

15. Wij gebruiken een AI-systeem dat mogelijk een GPAI-model is dat is gefinetuned voor HR. Wat verandert er?

Als het systeem dat u inzet een hoog-risico AI-systeem is, gelden uw verplichtingen op grond van art. 26 ongeacht de modelarchitectuur die erachter zit. De GPAI-modelverplichtingen van de aanbieder (hoofdstuk V — technische documentatie op grond van art. 53, transparantie naar downstream-aanbieders, auteursrechtbeleid op grond van art. 53(1)(c), en voor modellen met systeemrisico de aanvullende verplichtingen van art. 55) liggen upstream. Als gebruiksverantwoordelijke is de praktische consequentie dat uw aanbieder u de art. 53-informatie moet verstrekken die u nodig hebt om het model in een hoog-risico systeem te integreren en uw verplichtingen op grond van art. 26 na te komen — inclusief beperkingen, evaluatieresultaten en beperkingen van het beoogde doel. Als de aanbieder weigert of dit niet kan, is dat een waardeketinrisico dat u moet documenteren.

16. Hoe verschilt een conformiteitsbeoordeling van de AI-verordening voor Bijlage III-systemen versus Bijlage I?

De meeste hoog-risico Bijlage III-systemen gebruiken de interne controleprocedure voor conformiteitsbeoordeling in Bijlage VI (zelfevaluatie door de aanbieder) — inclusief de HR-tech-categorie in Bijlage III, punt 4. Bijlage III, punt 1 biometrische systemen kunnen in bepaalde gevallen gebruikmaken van de derde-partijprocedure van Bijlage VII met een aangemelde instantie (art. 43(1)). Bijlage I hoog-risico systemen — AI ingebed in producten die al worden gereguleerd door geharmoniseerde Uniewetgeving die is opgenomen in Bijlage I, afdeling A (medische hulpmiddelen, machines, in-vitrodiagnostiek, enz.) — volgen de conformiteitsbeoordeling van de relevante sectorale regelgeving, waarbij AI-verordening-vereisten worden geïntegreerd (art. 43(3)). Gebruiksverantwoordelijken voeren de conformiteitsbeoordeling niet uit, maar verifiëren dat deze is uitgevoerd voordat zij het systeem gebruiken.

17. Wat staat er in de Bijlage IV technische documentatie, en moeten gebruiksverantwoordelijken een kopie bewaren?

Bijlage IV is de verantwoordelijkheid van de aanbieder — het bevat 9 verplichte punten: (1) algemene beschrijving van het AI-systeem; (2) gedetailleerde beschrijving van de elementen en het ontwikkelingsproces; (3) gedetailleerde informatie over het monitoren, functioneren en beheren van het AI-systeem; (4) beschrijving van de geschiktheid van prestatiestatistieken; (5) gedetailleerde beschrijving van het risicobeheersysteem op grond van art. 9; (6) beschrijving van relevante wijzigingen gedurende de levenscyclus; (7) lijst van toegepaste geharmoniseerde normen of, indien niet toegepast, een beschrijving van de gekozen oplossingen; (8) een kopie van de EU-conformiteitsverklaring op grond van art. 47; (9) gedetailleerde beschrijving van de postmarktmonitoring op grond van art. 72. Gebruiksverantwoordelijken hoeven geen volledige kopie van Bijlage IV te bewaren, maar dienen wel de gebruiksinstructies, de conformiteitsverklaring en de contactgegevens van de aanbieder bij te houden — en moeten in staat zijn om Bijlage IV-bewijs bij de aanbieder op te vragen wanneer autoriteiten daarom verzoeken.

18. Wat moet er in AI-leverancierscontracten staan om ons als gebruiksverantwoordelijke compliant te houden?

Minimaal: (i) een bindende waarborg dat het systeem een hoog-risico AI-systeem is (waar van toepassing) dat rechtmatig op de EU-markt is gebracht op grond van art. 16 met geldige CE-markering en conformiteitsverklaring (art. 47); (ii) toezegging om gebruiksinstructies op grond van art. 13 te leveren in een voor de gebruiksverantwoordelijke acceptabele Unietal (art. 13(1)); (iii) samenwerkingsclausule op grond van art. 25(4) die de aanbieder verplicht informatie en toegang te delen die noodzakelijk zijn voor de gebruiksverantwoordelijke om aan art. 26 te voldoen; (iv) kennisgeving van wezenlijke wijzigingen en materiële veranderingen vóór implementatie; (v) samenwerking bij incidentmelding op grond van art. 73; (vi) audit- en logboektoegangsrechten afgestemd op art. 26(6); (vii) informatiestromen voor postmarktmonitoring op grond van art. 72; (viii) gegevensverwerkingsovereenkomst op grond van de AVG wanneer persoonsgegevens worden verwerkt (art. 28 AVG).

19. Geldt de AI-geletterdheidsplicht van art. 4 voor de gehele organisatie of alleen voor toezichtspersoneel?

Art. 4 vereist dat aanbieders en gebruiksverantwoordelijken maatregelen nemen om naar beste vermogen te zorgen voor een voldoende niveau van AI-geletterdheid bij hun personeel en andere personen die namens hen AI-systemen bedienen of gebruiken, rekening houdend met hun technische kennis, ervaring, opleiding en training en de context waarin de AI-systemen worden gebruikt, en met inachtneming van de personen of groepen waarop de AI-systemen worden toegepast. De plicht geldt al vanaf 2 februari 2025 en is risicoproportioneel: toezichtspersoneel van hoog-risico systemen heeft een diepgaandere opleiding nodig dan incidentele gebruikers van een chatbot. Er is geen voorgeschreven curriculum — de toets is of de opleiding passend is voor de rol en de context. Documenteer het opleidingsprogramma, de functies die het bestrijkt en het bewijs dat elke persoon het heeft doorlopen.

20. Welke verplichtingen voor incidentmelding gelden voor een gebruiksverantwoordelijke?

Art. 26(5) vereist dat gebruiksverantwoordelijken zonder onnodige vertraging de aanbieder/distributeur en de relevante markttoezichtautoriteit informeren en het gebruik opschorten wanneer zij reden hebben om aan te nemen dat het gebruik van het hoog-risico systeem overeenkomstig de instructies kan leiden tot een risico als bedoeld in art. 79(1). Afzonderlijk legt art. 73 de primaire meldplicht voor ernstige incidenten bij de aanbieder — maar gebruiksverantwoordelijken moeten de aanbieder zonder onnodige vertraging informeren nadat zij kennis hebben gekregen van een ernstig incident (art. 26(5) jo. art. 73(1)). Ernstig incident is gedefinieerd in art. 3(49) en omvat incidenten die direct of indirect leiden tot de dood van een persoon, ernstige schade aan de gezondheid van een persoon, een ernstige en onomkeerbare verstoring van kritieke infrastructuur, schending van verplichtingen op grond van het Unierecht ter bescherming van grondrechten, of ernstige schade aan eigendommen of het milieu.

21. Hoe verhoudt de AI-verordening zich tot NIS2 voor een HR-tech-gebruiksverantwoordelijke die 'belangrijke' personeelsgegevens verwerkt?

De werkingssfeer van NIS2 is sectoraal en op basis van omvang (Bijlagen I en II), niet op basis van AI-specifieke criteria. Een HR-tech-leverancier of interne HR-techfunctie zal zelden rechtstreeks onder NIS2 vallen — maar een moedergroep die als essentiële of belangrijke entiteit is aangemerkt op grond van NIS2 (bijv. in de bankensector, energie, gezondheidszorg, digitale infrastructuur, ICT-dienstverlening) heeft NIS2-verplichtingen voor haar gehele IT-omgeving, inclusief de AI-systemen ingebed in HR-werkstromen. Wanneer beide van toepassing zijn, moet zowel worden voldaan aan de cyberbeveiligingsvereiste voor hoog-risico systemen van de AI-verordening (art. 15) als aan de technische, operationele en organisatorische maatregelen van NIS2 art. 21. De meldingstermijnen verschillen: de melding van ernstige incidenten op grond van de AI-verordening is 'zonder onnodige vertraging' (art. 73), terwijl NIS2 een vroegtijdige waarschuwing binnen 24 uur, een incidentmelding binnen 72 uur en een eindrapport binnen één maand vereist (art. 23).

22. Wij zijn een kleine Noordse kmo. Is er enige proportionaliteit in de AI-verordening?

Ja, drie hefbomen helpen kmo's: (i) art. 62 verplicht lidstaten om kmo's en start-ups prioritaire toegang te geven tot AI-regelgevingssandboxen en op maat gemaakte bewustmakings- en opleidingsmaatregelen; (ii) art. 56(2)(e) verplicht gedragscodes rekening te houden met de behoeften van kmo's; (iii) art. 99(6) begrenst de boetes voor kmo's tot het laagste van het percentage of het vaste bedrag (het omgekeerde van de 'het hoogste van beide' regel voor grote ondernemingen). De materiële verplichtingen van art. 26 voor gebruiksverantwoordelijken zelf worden niet kleiner op basis van bedrijfsomvang — de proportionaliteit zit in de manier waarop aan de verplichtingen wordt voldaan (een kleinere gebruiksverantwoordelijke kan een lichter toezichtprogramma documenteren, maar het moet wel bestaan en controleerbaar zijn).


PowerQuant M1 (AI-inventaris + analyse van leemten + memo over artikel 4-maatregelen) en M2 (Pakket Aanbestedingsbewijs) vertalen bovenstaande vragen in gedocumenteerd bewijs per systeem. Vaste prijs, levering binnen 5 dagen, bronvermelding tot op het niveau van de AI-verordening-tekst.