TL;DR: Stapsgewijze conformiteitsbeoordeling voor EU-kmo’s die AI met een hoog risico volgens bijlage III implementeren. Behandelt het onderscheid tussen gebruiker en aanbieder, documentatie en toezicht.

Om de conformiteitsbeoordeling volgens de EU AI-verordening correct uit te voeren, is één onderscheid cruciaal: bent u de organisatie die het AI-systeem heeft ontwikkeld en op de markt heeft gebracht, of de organisatie die het in haar eigen bedrijfsvoering gebruikt? Waarom dit belangrijk is: een Tsjechisch HR-techbedrijf met 25 medewerkers dat een tool voor het screenen van cv's ontwikkelt en aan klanten verkoopt, draagt de volledige last van de beoordeling. Dat betekent technische documentatie, een kwaliteitsmanagementsysteem, een conformiteitsverklaring en CE-markering. Een Nederlands logistiek bedrijf met 40 medewerkers dat een licentie neemt op diezelfde tool is een gebruiker met aanzienlijk lichtere verplichtingen. Als u die classificatie goed begrijpt, bepaalt dat of uw complianceproject twee weken of zes maanden in beslag neemt.

Deze gids loodst compliance officers, technische teams en operationele leiders bij groeiende SaaS-bedrijven en middelgrote softwarebedrijven door de vierstappenprocedure voor conformiteitsbeoordeling voor gebruikers, de volledige documentatieset die van aanbieders wordt verlangd, en de specifieke verschillen die bepalen welk traject op uw organisatie van toepassing is.

Wanneer conformiteitsbeoordeling vereist is

Conformiteitsbeoordeling is alleen vereist voor AI-systemen met een hoog risico uit bijlage III. Niet elke AI-tool die een professioneel dienstverlenend bedrijf of een groeiend SaaS-bedrijf gebruikt, komt hiervoor in aanmerking. De EU AI-verordening definieert in bijlage III acht categorieën van systemen met een hoog risico, die gebieden omvatten zoals biometrische identificatie, beheer van kritieke infrastructuur, onderwijs en opleiding, beslissingen op het gebied van werkgelegenheid, toegang tot essentiële diensten, wetshandhaving, migratie en grenscontrole, en rechtspraak.

Als uw AI-systeem niet onder een van deze categorieën valt, is conformiteitsbeoordeling niet vereist. U kunt nog steeds transparantieverplichtingen hebben op grond van artikel 50 en gegevensbeheerverplichtingen op grond van de AVG, maar de volledige nalevingsvereisten van bijlage III zijn niet van toepassing.

Als uw systeem wel onder bijlage III valt, is de volgende vraag of u een aanbieder of een implementator bent. De verordening behandelt deze rollen verschillend.

Aanbieder: een organisatie die een AI-systeem ontwikkelt, of laat ontwikkelen, en dit onder eigen naam of merk op de markt brengt. Op de markt brengen betekent het systeem beschikbaar stellen aan andere partijen.

Gebruiker: een organisatie die een AI-systeem gebruikt in het kader van haar beroepsactiviteiten. Gebruikers brengen het systeem niet op de markt. Zij nemen het in gebruik binnen hun eigen organisatie.

Het conformiteitstraject voor een aanbieder is aanzienlijk veeleisender dan voor een gebruiker.

De verplichtingen van de gebruiker: artikel 25 in de praktijk

De meeste kmo's die AI-tools van derden gebruiken voor wervingsscreening, kredietbeoordeling of andere toepassingen uit bijlage III zijn gebruikers. De verplichtingen uit hoofde van artikel 25 staan in verhouding tot die rol.

Als gebruiker van een AI-systeem met een hoog risico is uw compliance-team verantwoordelijk voor vier zaken.

Volg de gebruiksaanwijzing van de aanbieder. De aanbieder is verplicht technische documentatie en instructies te verstrekken waarin het beoogde doel, de voorwaarden waaronder het systeem veilig kan worden ingezet en eventuele vereisten voor menselijk toezicht worden beschreven. Als u het systeem buiten het beoogde doel inzet, verschuift de aansprakelijkheid van de aanbieder naar u.

Implementeer menselijk toezicht overeenkomstig artikel 14. Artikel 14 vereist dat implementatoren het toezicht toewijzen aan natuurlijke personen met de nodige competentie, opleiding en bevoegdheid om de output van het systeem te begrijpen, afwijkingen te identificeren en in te grijpen of het systeem te overschrijven wanneer dat nodig is. Het toezicht moet structureel mogelijk zijn: het systeem mag niet zo zijn ontworpen dat menselijke interventie wordt verhinderd.

Controleer op substantiële wijzigingen. Als het systeem wordt bijgewerkt op een manier die het beoogde doel of risicoprofiel ervan verandert, moet de conformiteitsbeoordeling mogelijk worden herhaald. Als gebruiker bent u verantwoordelijk voor het melden van wezenlijke wijzigingen aan uw aanbieder.

Registreer in de EU-database indien vereist. Gebruikers van bepaalde risicovolle systemen, met name in de context van overheidsinstanties, moeten het gebruik ervan registreren in de openbare AI-database van de EU. Voor de meeste kmo's in de privésector geldt deze verplichting in de eerste plaats voor aanbieders en niet voor implementatoren.

De verplichtingen van de aanbieder: artikel 17 en de volledige conformiteitsstack

Als uw organisatie een AI-systeem bouwt dat op de markt zal worden gebracht, of als uw operationele team een op maat gemaakt systeem heeft laten ontwikkelen dat zal worden gecommercialiseerd, bent u een aanbieder en zijn de volledige verplichtingen van bijlage III van toepassing.

De kernvereiste is een kwaliteitsmanagementsysteem (QMS) op grond van artikel 17 dat de gehele levenscyclus van het AI-systeem bestrijkt. Het QMS moet uw risicobeheerproces, uw praktijken op het gebied van gegevensbeheer, uw validatie- en testmethodologie, uw plan voor monitoring na het in de handel brengen en uw procedures voor het afhandelen van incidenten en afwijkingen documenteren.

Naast het QMS moeten aanbieders een set technische documentatie opstellen, een conformiteitsbeoordeling uitvoeren (zelfbeoordeling is toegestaan voor de meeste categorieën van bijlage III; een beoordeling door een aangemelde instantie is vereist voor biometrische identificatie en een klein aantal andere categorieën), een EU-conformiteitsverklaring opstellen en de CE-markering op het systeem aanbrengen voordat het in de handel wordt gebracht.

Voor een middelgroot softwarebedrijf dat actief is in een gereguleerd AI-domein is dit een aanzienlijke onderneming. Alleen al de conformiteitsbeoordeling vereist doorgaans input van juridische, technische en datateams, plus een externe beoordeling als u zich richt op gereguleerde sectoren zoals financiële dienstverlening of gezondheidszorg.

De vierstappenprocedure voor conformiteit voor gebruikers

Voor de meeste kmo's is de relevante procedure het traject voor gebruikers. Hier volgt een gestructureerde aanpak.

Stap 1: Classificeer het systeem. Controleer of het AI-systeem dat u implementeert daadwerkelijk onder bijlage III valt. Bekijk de specifieke categorie waaronder het zou kunnen vallen en controleer of een van de uitsluitingen van artikel 6 van toepassing is. Een AI-systeem dat wordt gebruikt voor een duidelijk ondersteunende functie (het genereren van interne rapporten, het samenvatten van notulen) zal waarschijnlijk niet als risicovol worden aangemerkt, zelfs als het raakvlakken heeft met een gereguleerd domein. Documenteer uw redenering voor de classificatie.

Stap 2: Verkrijg de technische documentatie en de conformiteitsverklaring van de aanbieder. Vraag, voordat u een systeem uit bijlage III implementeert, het technische documentatiepakket en de EU-conformiteitsverklaring van de aanbieder aan. De conformiteitsverklaring is de formele verklaring van de aanbieder dat het systeem voldoet aan de eisen van de EU AI-verordening. Als de aanbieder deze documenten niet kan overleggen, voldoet hij niet aan zijn eigen verplichtingen als aanbieder en mag u zijn systeem niet in een bijlage III-context implementeren.

Stap 3: Implementeer de maatregelen voor menselijk toezicht uit artikel 14. Ontwerp en documenteer uw proces voor menselijk toezicht op basis van de gebruiksaanwijzing van de aanbieder. Geef aan wie in uw operationele team verantwoordelijk is voor het toezicht, welke training deze persoon heeft gevolgd, hoe hij of zij kan ingrijpen in of het systeem kan overschrijven, en hoe beslissingen die door de AI zijn beïnvloed, worden beoordeeld en vastgelegd.

Stap 4: Documenteer uw operationele procedures. Stel een implementatiedocument op met daarin: de systeemclassificatie, de verkregen documentatie van de leverancier, uw toezichtsproces, eventuele genomen configuratiebeslissingen en uw procedure voor het monitoren en rapporteren van incidenten. Dit document hoeft voor de meeste kmo's niet uitgebreid te zijn, maar het moet wel bestaan en moet actueel worden gehouden naarmate het systeem evolueert.

Technische documentatie: de minimale set

De minimale set technische documentatie voor een bijlage III-systeem omvat zes gebieden.

Systeembeschrijving. Wat het systeem doet, hoe het op functioneel niveau werkt en wat het beoogde doel is. Dit omvat de gebruikte AI-aanpak, de inputs en outputs, en de implementatiecontext.

Verklaring van het beoogde doel. Een nauwkeurige verklaring van de use case waarvoor het systeem is ontworpen en gevalideerd. Implementatie buiten het beoogde doel vormt een nalevingsrisico voor de implementator en een aansprakelijkheidsrisico voor de aanbieder.

Risicobeheerproces. Hoe de aanbieder de risico's in verband met het systeem heeft geïdentificeerd, beoordeeld en beperkt, met inbegrip van risico's op fouten, vertekening en misbruik.

Documentatie inzake gegevensbeheer. De datasets die zijn gebruikt om het systeem te trainen en te valideren, de toegepaste maatregelen voor gegevenskwaliteit en eventuele bekende beperkingen of vertekeningen in de trainingsgegevens.

Metriek voor nauwkeurigheid, robuustheid en cyberbeveiliging. Kwantitatieve prestatiebenchmarks voor het systeem, inclusief nauwkeurigheid op validatiesets en de beveiligingsmaatregelen die het systeem beschermen tegen manipulatie.

Plan voor monitoring na marktintroductie. Hoe de aanbieder de prestaties van het systeem na implementatie zal monitoren, welke statistieken zij bijhouden en hoe zij updates of geïdentificeerde problemen aan implementatoren zullen communiceren.

Als implementator dient u alle zes onderdelen van uw aanbieder te ontvangen voordat u live gaat.

Veelgestelde vragen

Is de conformiteitsbeoordeling van de EU AI-verordening van toepassing op AI-tools die we intern gebruiken, en niet alleen op producten die we verkopen? Ja, als het interne gebruik binnen een categorie van bijlage III valt. Het intern implementeren van een AI-systeem met een hoog risico, bijvoorbeeld het gebruik van een AI-tool om de prestaties van werknemers te evalueren, brengt verplichtingen voor de implementator met zich mee op grond van artikel 25, ook al brengt u geen product op de markt.

Wij zijn een groeiend SaaS-bedrijf dat een AI-functie aanbiedt als onderdeel van een breder platform. Zijn wij een aanbieder? Vrijwel zeker ja, voor de AI-functiecomponent. Als u die functie beschikbaar stelt aan klanten, brengt u een AI-systeem op de markt. Als de functie een functie uit bijlage III vervult voor uw klanten, zijn de volledige verplichtingen voor aanbieders van toepassing op die functie, ongeacht of deze is ingebed in een breder niet-AI-product.

Kunnen we vertrouwen op de CE-markering van onze leverancier als bewijs van onze eigen naleving? De CE-markering toont aan dat de aanbieder de vereiste conformiteitsbeoordeling heeft voltooid. Als gebruiker kunt u hiernaar verwijzen als bewijs dat het systeem dat u implementeert, is beoordeeld. Het dekt echter niet uw verplichtingen als gebruiker. De implementatie van menselijk toezicht volgens artikel 14 en uw documentatie over de operationele implementatie blijven uw verantwoordelijkheid.

Wat gebeurt er als we een door ons geïmplementeerd AI-systeem met een hoog risico van een derde partij wijzigen? Een substantiële wijziging van een AI-systeem met een hoog risico kan ertoe leiden dat de organisatie die de wijziging aanbrengt, wordt aangemerkt als de aanbieder van die gewijzigde versie. De EU AI-verordening definieert een substantiële wijziging als een wijziging die van invloed is op het beoogde doel van het systeem, de prestatiestatistieken of het risicoprofiel. Als uw technische team wijzigingen van die omvang aanbrengt in een gelicentieerd systeem, vraag dan juridisch advies voordat u de gewijzigde versie implementeert.

Meer lezen

Als u voor het eerst bezig bent met de classificatie en conformiteitsplanning van bijlage III, biedt de AI-gereedheidsbeoordeling een gestructureerde basis voordat u juridisch advies inwint of begint met documentatie.

Auteur: Dr. Hernani Costa — Oprichter van First AI Movers en Core Ventures. AI-architect, strategisch adviseur en Fractional CTO die toonaangevende innovatieve bedrijven wereldwijd helpt bij het navigeren door AI-innovaties. PhD in computationele taalkunde, meer dan 25 jaar ervaring in technologie.

Oorspronkelijk gepubliceerd op First AI Movers onder CC BY 4.0.