PowerQuantNLStuur uw vragenlijst

Vertrouwen

PowerQuant levert nalevingsbewijs voor de EU AI Act en NIS2. Geen advies, geen interpretaties — verifieerbare artefacten die u zelf, uw auditor of de toezichthouder kan controleren. Deze pagina maakt onze controleerbare claims expliciet en koppelt elke bewering aan de bron.

Met bronverwijzing naar de verordening

Elke bewering in onze leveringen is gekoppeld aan het exacte artikel, de bijlage of de overweging van Verordening (EU) 2024/1689.

  • Reikwijdte hoog-risico-AI in HR-context — bijlage III, punt 4 (werkgelegenheid, personeelsbeheer en toegang tot zelfstandige arbeid), inclusief systemen voor werving en selectie, taaktoewijzing, beoordeling van prestaties en gedrag, alsmede het monitoren en evalueren van werknemers.
  • Uitzondering en tegenuitzondering hoog-risico — art. 6, lid 3: een in bijlage III genoemd systeem geldt niet als hoog-risico wanneer het geen significant risico op schade voor gezondheid, veiligheid of grondrechten oplevert. Deze uitzondering geldt echter niet indien het systeem profilering van natuurlijke personen verricht; in dat geval blijft het systeem hoog-risico.
  • Verplichtingen aanbieder — art. 16 (algemene verplichtingen aanbieders van hoog-risico-AI-systemen), art. 17 (systeem voor kwaliteitsbeheer), art. 18 (documentatiebewaring) en art. 19 (automatisch gegenereerde logs).
  • Verplichtingen gebruiksverantwoordelijke — art. 26, inclusief menselijk toezicht, monitoring en informatieplicht jegens betrokkenen.
  • Conformiteitsbeoordeling en CE-markering — art. 43, art. 47 (EU-conformiteitsverklaring), art. 48 (CE-markering) en bijlage VI en VII.
  • Technische documentatie — art. 11 en bijlage IV.
  • Transparantie en informatie aan gebruiksverantwoordelijken — art. 13 en art. 50.
  • Risicobeheersysteem — art. 9.
  • Data en datagovernance — art. 10.
  • Menselijk toezicht — art. 14.
  • Nauwkeurigheid, robuustheid en cyberbeveiliging — art. 15.
  • AI-geletterdheid — art. 4, van toepassing sinds 2 februari 2025.
  • Registratie in EU-databank — art. 49 en art. 71.
  • Fundamentele-rechteneffectbeoordeling (FRIA) — art. 27, met name voor publiekrechtelijke instanties en private aanbieders van openbare diensten, alsmede voor gebruiksverantwoordelijken van bijlage III-systemen voor kredietwaardigheid en voor risicobeoordeling en prijsstelling bij levens- en zorgverzekeringen.

Iedere claim in een lever-artefact verwijst expliciet naar bovenstaande grondslagen. Onbevestigde of nog te wijzigen bepalingen worden als zodanig gemarkeerd, met datum.

Verifieerbaar ondertekend

Elke levering wordt cryptografisch ondertekend met Ed25519. De handtekening is door derden controleerbaar zonder toegang tot onze systemen.

  • Algoritme: Ed25519 (RFC 8032).
  • Publieke sleutel: gepubliceerd op powerquant.nl/.well-known/ en in onze sleuteltransparantielog.
  • Tijdstempel: elke levering bevat een door een onafhankelijke tijdstempelautoriteit ondertekende hash (RFC 3161), zodat aantoonbaar is wanneer het artefact bestond.
  • Verificatieprocedure: met openssl, minisign of een gelijkwaardig hulpmiddel. De procedure staat in elke levering beschreven; geen propriëtaire tooling vereist.
  • Sleutelrotatie: gepubliceerd via een ondertekende sleuteltransparantielog. Verlopen sleutels blijven verifieerbaar voor historische artefacten.

Een levering die niet verifieert, telt voor ons niet als geleverd.

Afgestemd op normen

PowerQuant werkt conform de control-structuur van ISO/IEC 27001 (informatiebeveiliging) en ISO/IEC 42001 (AI-managementsystemen).

Wij claimen geen certificering op naam van de klant en wekken niet de indruk dat onze leveringen de klant automatisch ISO-gecertificeerd maken. Onze afstemming betreft uitsluitend onze eigen interne processen, controles en het kwaliteitsbeheersysteem waarmee de leveringen tot stand komen — niet de AI-systemen van de klant.

Een conformiteitsbeoordeling of certificering van een AI-systeem blijft de verantwoordelijkheid van de aanbieder van dat systeem en, waar van toepassing, van een aangemelde instantie.

Gegevensbescherming

PowerQuant verwerkt persoonsgegevens conform de Algemene verordening gegevensbescherming (Verordening (EU) 2016/679).

  • Verwerkersovereenkomst conform art. 28 AVG, beschikbaar voor ondertekening voorafgaand aan verwerking.
  • Subverwerkerslijst: openbaar en versiebeheerd; klanten worden vooraf geïnformeerd over wijzigingen.
  • Beveiligingsmaatregelen conform art. 32 AVG: encryptie in rust en in transit, toegangsbeheer met minste privilege, gescheiden omgevingen, gestructureerde logging en vastgelegde incidentprocedures.
  • Doorgifte naar derde landen: uitsluitend op basis van een adequaatheidsbesluit of standaardcontractbepalingen (SCC's, Uitvoeringsbesluit (EU) 2021/914), aangevuld met aanvullende maatregelen waar nodig.
  • Datalekken: melding aan de klant zonder onnodige vertraging, met de gegevens die de klant nodig heeft voor zijn eigen meldplicht (art. 33 AVG).

Verankerd in toezicht

De EU AI Act wordt gehandhaafd door nationale markttoezichthouders, gecoördineerd door het Europees AI-bureau (binnen de Europese Commissie) en het Europees Comité voor AI (AI-board), zoals geregeld in art. 64 tot en met art. 70.

In Nederland is de toezichtstructuur nog niet definitief vastgesteld. Op basis van de huidige voorstellen:

  • Autoriteit Persoonsgegevens (AP) — voorgesteld als coördinerend toezichthouder, mede vanwege bestaande bevoegdheden onder de AVG en de rol van de Directie Coördinatie Algoritmes.
  • Rijksinspectie Digitale Infrastructuur (RDI) — voorgesteld als markttoezichthouder voor specifieke productcategorieën.

Dit zijn voorstellen in voorbereiding; de definitieve aanwijzing volgt uit nationale uitvoeringswetgeving. Wij volgen de besluitvorming en passen onze documentatie aan zodra de aanwijzing een feit is.

Regelgevingsstatus

Stand per 2 augustus 2026: Verordening (EU) 2024/1689 is geldend recht.

  • Sinds 2 februari 2025: de verboden praktijken uit art. 5 zijn van toepassing. Vanaf dezelfde datum geldt de verplichting tot AI-geletterdheid (art. 4).
  • Sinds 2 augustus 2025: de bepalingen voor AI-modellen voor algemene doeleinden (GPAI, hoofdstuk V) zijn van toepassing, evenals het governance-kader en de sanctiebepalingen.
  • Vanaf 2 augustus 2026: het merendeel van de verordening is van toepassing, waaronder de hoog-risico-verplichtingen voor systemen die onder bijlage III vallen (art. 6, lid 2).
  • Vanaf 2 augustus 2027: de hoog-risico-verplichtingen voor AI-systemen die als veiligheidscomponent of als product onder de in bijlage I genoemde Unie-harmonisatiewetgeving vallen (art. 6, lid 1).
  • Hoog-risico-verplichtingen uit bijlage III — politiek akkoord Digital Omnibus: op 7 mei 2026 is op politiek niveau een akkoord bereikt over een Digital Omnibus-pakket dat onder meer voorstelt de toepassingsdatum van de bijlage III-verplichtingen uit te stellen tot 2 december 2027. Dit akkoord is nog niet formeel aangenomen door de Raad en het Europees Parlement en vormt dus geen geldend recht. Tot aan formele aanname blijven de oorspronkelijke termijnen uit de verordening (2 augustus 2026 voor bijlage III) de geldende referentie; wij documenteren beide scenario's in elke levering.

Wij volgen de wetgevingstrajecten en markeren in elke levering de stand van zaken op de datum van ondertekening. Wijzigingen leiden tot een nieuwe, opnieuw ondertekende versie — nooit tot stille aanpassing van bestaande artefacten.


Vragen over deze pagina of een specifieke levering: kontakt@powerquant.dk.