Artikel 10 van Verordening (EU) 2024/1689 — Gegevens en gegevensbeheer. Officiële tekst, praktische interpretatie, kernverplichtingen en complianceimplicaties.
Samenvatting van de officiële tekst
Artikel 10 van Verordening (EU) 2024/1689 (de EU AI-verordening), opgenomen in Titel III, Hoofdstuk 2, stelt verplichte vereisten voor gegevensbeheer vast voor aanbieders van hoog-risico AI-systemen. Het artikel is van toepassing op trainings-, validatie- en testdatasets die worden gebruikt bij de ontwikkeling van dergelijke systemen.
Op grond van Artikel 10(2) moeten praktijken voor gegevensbeheer betrekking hebben op: de ontwerpkeuzes achter gegevensverzameling; gegevensvoorbereidingsbewerkingen, waaronder annotatie, labeling, opschoning, verrijking en aggregatie; de formulering van relevante aannames met betrekking tot het beoogde gebruik; en een onderzoek naar mogelijke vooroordelen die waarschijnlijk invloed hebben op gezondheid, veiligheid of grondrechten.
Artikel 10(3) vereist dat trainings-, validatie- en testdatasets onderworpen zijn aan passende gegevensbeheerpraktijken en relevant, representatief, foutvrij en volledig zijn in het licht van het beoogde doel. Waar volledige vrijheid van fouten niet haalbaar is, moeten aanbieders resterende fouten en hun potentiële impact documenteren.
Artikel 10(4) heeft betrekking op de verwerking van bijzondere categorieën persoonsgegevens — zoals gedefinieerd in Artikel 9 van Verordening (EU) 2016/679 (AVG) en Artikel 10 van Verordening (EU) 2018/1725 — waarbij een dergelijke verwerking strikt wordt beperkt tot het bewaken en corrigeren van vooroordelen, onder passende waarborgen. Artikel 10(5) bepaalt dat lidstaten specifieke voorwaarden kunnen vaststellen voor de verwerking van gevoelige persoonsgegevens in het algemeen belang voor AI-ontwikkelingsdoeleinden, onder strikte voorwaarden. Artikel 10(6) verduidelijkt dat de datasetsvereisten proportioneel van toepassing zijn op aanbieders die gebruikmaken van reeds bestaande datasets die zij niet oorspronkelijk hebben verzameld, voor zover een dergelijk onderzoek technisch uitvoerbaar is.
Wat dit betekent in de praktijk
Artikel 10 legt concrete verplichtingen op aan elke organisatie die een hoog-risico AI-systeem in de EU ontwikkelt of inzet. In de praktijk vereist naleving het opzetten en onderhouden van een gestructureerd gegevensbeheerprogramma dat de volledige ontwikkelingslevenscyclus bestrijkt.
Voor een aanbieder die een door AI ondersteund wervingsscreeninginstrument ontwikkelt (een Bijlage III, punt 4-systeem), vereist Artikel 10 het documenteren van de redenen waarom specifieke datasets zijn gekozen, welke voorverwerkingsstappen zijn toegepast en hoe de datasets de demografische diversiteit van de beoogde sollicitantengroep beslaan. Als de trainingsgegevens sollicitanten uit bepaalde regionale of etnische achtergronden ondervertegenwoordigen, moet de aanbieder deze lacune identificeren, het risico op vooroordeel ten aanzien van gelijke behandeling beoordelen en ofwel de dataset corrigeren of technische mitigaties implementeren — alles traceerbaar in de technische documentatie vereist door Artikel 11.
Voor een aanbieder die een AI-model of dataset van derden integreert, vereist Artikel 10(6) nog steeds een inspanningsverplichting om de eigenschappen van de vooraf gebouwde gegevens ten opzichte van het beoogde gebruik te onderzoeken. Vertrouwen op het gegevensblad van een upstream-leverancier is op zichzelf niet voldoende; downstream-aanbieders moeten valideren dat de gegevenseigenschappen aansluiten bij hun specifieke inzetcontext.
In de praktijk zouden complianceteams moeten: een datamanagementplan per systeem onderhouden; records van gegevensherkomst bijhouden; gedocumenteerde beoordelingen van vooroordelen en representativiteit uitvoeren in de trainings-, validatie- en testfasen; en ervoor zorgen dat elk gebruik van gevoelige persoonsgegevens voor bijsturing van vooroordelen gedekt is door een rechtmatige grondslag en passende toegangscontroles. Deze records vormen onderdeel van de technische documentatie die op verzoek beschikbaar moet zijn voor nationale bevoegde autoriteiten.
Kernverplichtingen
- Kader voor gegevensbeheer: Gedocumenteerde praktijken voor gegevensbeheer en -management vaststellen die alle stadia bestrijken — training, validatie en testen — vóór het op de markt brengen van een hoog-risico AI-systeem.
- Kwaliteitscriteria voor datasets: Waarborgen dat datasets voldoen aan vier cumulatieve kwaliteitscriteria: relevantie voor het beoogde doel, representativiteit van de inzetcontext, vrijheid van fouten (of gedocumenteerde resterende foutpercentages), en volledigheid.
- Onderzoek naar vooroordelen: Een onderzoek uitvoeren en documenteren van datasets op vooroordelen die kunnen leiden tot discriminatie of risico's voor gezondheid, veiligheid of grondrechten, en corrigerende maatregelen toepassen waar vooroordelen worden geïdentificeerd.
- Documentatie van gegevensvoorbereiding: Alle gegevensvoorbereidingsbewerkingen vastleggen — annotatie, labeling, opschoning, verrijking en aggregatie — samen met de aannames en ontwerpkeuzes die deze hebben gevormd.
- Beperkt gebruik van gevoelige gegevens: Bijzondere categorieën persoonsgegevens uitsluitend verwerken voor het detecteren en corrigeren van vooroordelen, onder AVG-equivalente waarborgen, en alleen waar strikt noodzakelijk en proportioneel.
- Datasets van derden en reeds bestaande datasets: Een proportioneel, technisch uitvoerbaar onderzoek uitvoeren van alle reeds bestaande of externe datasets om te verifiëren dat zij voldoen aan de vereisten die relevant zijn voor het specifieke gebruik door de aanbieder.
Relatie tot andere artikelen
Artikel 10 bevindt zich in het centrum van het kader van hoog-risico AI-vereisten en heeft directe verbinding met verschillende andere bepalingen. Artikel 9 (risicobeheersysteem) voedt Artikel 10: risico's die via gegevensbeheer worden geïdentificeerd — zoals vooroordeel in datasets — moeten worden beheerd via het iteratieve risicobeheersproces. Artikel 11 (technische documentatie) en Bijlage IV vereisen dat aanbieders keuzes inzake gegevensbeheer en datasetkenmerken vastleggen als onderdeel van de conformiteitsdocumentatie die wordt beoordeeld door aangemelde instanties of zelfbeoordeeld.
Artikel 13 (transparantie en informatieverstrekking) vertrouwt op gegevensdocumentatie om zinvolle gebruiksinstructies mogelijk te maken, met name met betrekking tot bekende beperkingen die voortvloeien uit gegevenskwaliteitsleemten. Artikel 17 (kwaliteitsbeheersysteem) vereist dat gegevensbeheer wordt geïnstitutionaliseerd binnen de bredere kwaliteitsprocessen van de aanbieder.
Voor systemen die persoonsgegevens verwerken, raakt Artikel 10 aan AVG-verplichtingen — Artikel 5 (beginselen inzake gegevenskwaliteit) en Artikel 25 (gegevensbescherming door ontwerp) zijn complementaire vereisten waaraan aanbieders tegelijkertijd moeten voldoen. Artikel 10(4) verwijst uitdrukkelijk naar Verordening (EU) 2016/679 en Verordening (EU) 2018/1725 om de toegestane verwerking van gevoelige gegevens af te bakenen.
Tijdlijn voor naleving
De EU AI-verordening is op 1 augustus 2024 in werking getreden, twintig dagen na publicatie in het Publicatieblad van de EU (PB L 2024/1689, 12 juli 2024). Artikel 10 volgt het gefaseerde toepassingsschema dat van toepassing is op hoog-risico AI-systemen:
- 2 februari 2025: Verboden op AI-praktijken met onaanvaardbaar risico (Artikel 5) werden afdwingbaar; geen directe verplichting onder Artikel 10 in dit stadium.
- 2 augustus 2025: Vereisten voor GMAI-modellen (Titel VIII) werden van toepassing; nationale markttoezichtautoriteiten namen de operationele verantwoordelijkheid voor toezicht op hoog-risico systemen op zich.
- 2 augustus 2026: Artikel 10 wordt volledig afdwingbaar voor hoog-risico AI-systemen vermeld in Bijlage III (algemene hoog-risico toepassingen, waaronder biometrische identificatie, kritieke infrastructuur, onderwijs, werkgelegenheid, essentiële diensten, rechtshandhaving, migratie en justitie). Aanbieders moeten op deze datum gedocumenteerd en operationeel compliant gegevensbeheer hebben.
- 2 augustus 2027: Artikel 10 wordt afdwingbaar voor hoog-risico AI-systemen gereguleerd onder Bijlage I (productveiligheidswetgeving, waaronder machines, medische hulpmiddelen, voertuigen en luchtvaart). Deze systemen moeten alle vereisten voor gegevensbeheer nakomen binnen hun productconformiteitsbeoordelingen vóór deze verlengde deadline.
Aanbieders wordt sterk aangeraden ruim vóór de toepasselijke deadline te beginnen met gegevensbeheergap-analyses, aangezien het corrigeren van trainingsgegevens en het aankopen van conforme gegevens van derden aanzienlijke doorlooptijd kunnen vereisen.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Artikel 10 verplicht aanbieders van hoog-risico AI-systemen om praktijken voor gegevensbeheer en -management te implementeren voor trainings-, validatie- en testdatasets. Dit omvat het waarborgen dat datasets relevant, representatief, foutvrij en volledig zijn ten aanzien van het beoogde doel. Aanbieders moeten ook gegevens onderzoeken op mogelijke vooroordelen en de keuzes inzake gegevensverzameling en -verwerking documenteren.
Artikel 10 is van toepassing op aanbieders — rechtspersonen of natuurlijke personen die hoog-risico AI-systemen ontwikkelen of laten ontwikkelen om onder eigen naam of handelsmerk op de markt te brengen of in gebruik te stellen. Het geldt voor elk hoog-risico AI-systeem vermeld in Bijlage III of bijlagen voor gereguleerde sectoren, ongeacht of de aanbieder binnen of buiten de EU is gevestigd.
Er bestaan beperkte uitzonderingen voor open-source modellen, maar aanbieders die hoog-risico AI-systemen op de EU-markt brengen met behulp van open-source componenten blijven verantwoordelijk voor naleving van Artikel 10 met betrekking tot de trainings-, validatie- en testgegevens die zij gebruiken of samenstellen voor dat systeem.
Artikel 10 is van toepassing op hoog-risico AI-systemen onder Bijlage III (met uitzondering van kredietinstellingen) vanaf 2 augustus 2026. Voor hoog-risico AI-systemen gereguleerd onder specifieke Uniale harmonisatiewetgeving vermeld in Bijlage I, loopt de deadline door tot 2 augustus 2027. Nationale markttoezichtautoriteiten zijn per 2 augustus 2025 begonnen met toezichtstaken.
De verordening definieert geen vaste statistische drempel. Aanbieders moeten via gedocumenteerde analyse aantonen dat trainingsgegevens de beoogde geografische, demografische, contextuele en operationele inzetomstandigheden beslaan. Representatieleemten moeten worden geïdentificeerd, beoordeeld op vooroordeelrisico, en gemitigeerd via technische maatregelen of compenserende waarborgen gedocumenteerd in het technisch dossier.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.