Artikel 17 — Kwaliteitsbeheersysteem (EU AI-verordening)

Artikel 17 van Verordening (EU) 2024/1689 — Kwaliteitsbeheersysteem. Officiële tekst, praktische interpretatie, belangrijkste verplichtingen en nalevingsimplicaties.

Samenvatting van de officiële tekst

Artikel 17 van Verordening (EU) 2024/1689 verplicht aanbieders van hoog-risico AI-systemen een kwaliteitsbeheersysteem (KBS) op te zetten voordat dergelijke systemen op de markt worden gebracht of in gebruik worden gesteld. Het KBS moet op een systematische en ordelijke wijze worden gedocumenteerd en moet alle fasen van de levenscyclus van het AI-systeem omvatten.

De verordening bepaalt dat het KBS minimaal het volgende moet omvatten: de strategie van de aanbieder voor naleving van regelgeving, inclusief procedures voor conformiteitsbeoordeling; de technieken, procedures en systematische acties die worden gebruikt voor ontwerp, ontwerpcontrole en verificatie van het AI-systeem; de procedures voor gegevensbeheer met betrekking tot verwerving, verzameling, analyse, labelling, opslag, filtering, mining, aggregatie en bewaring van gegevens; het risicobeheersysteem zoals bedoeld in Artikel 9; de instelling en uitvoering van het post-marktsurveillancesysteem overeenkomstig Artikel 72; procedures voor incidentrapportage in overeenstemming met Artikel 73; de afhandeling van communicatie met bevoegde autoriteiten, aangemelde instanties en andere relevante exploitanten; systemen en procedures voor archivering; middelenbeheer inclusief maatregelen in verband met de toeleveringsketen; en een verantwoordingskader waarin verantwoordelijkheden in de gehele organisatie worden gedocumenteerd.

Wanneer aanbieders natuurlijke personen of micro-ondernemingen zijn zoals gedefinieerd in Aanbeveling 2003/361/EG van de Commissie, is de Commissie bevoegd uitvoeringshandelingen vast te stellen die vereenvoudigde KBS-regelingen toestaan, waarbij het evenredigheidsbeginsel wordt erkend dat door de verordening heen loopt.

Wat dit in de praktijk betekent

Voor elke organisatie die een hoog-risico AI-systeem ontwikkelt of op de EU-markt brengt, betekent Artikel 17 dat naleving geen eenmalige oefening kan zijn die op het moment van vrijgave wordt uitgevoerd. Het moet zijn ingebed in een levend organisatorisch systeem dat de gehele productlevenscyclus beheerst — van de eerste ontwerpbeslissingen tot en met de uitrol, monitoring en uiteindelijke buitengebruikstelling.

In concrete termen moet een aanbieder kunnen aantonen dat er gedocumenteerde procedures bestaan en worden gevolgd in elke fase. Een aanbieder van AI voor de gezondheidszorg kan bijvoorbeeld niet simpelweg een model trainen en het indienen voor conformiteitsbeoordeling. De organisatie moet aantonen dat de gegevensverzameling gedocumenteerde governanceregels heeft gevolgd, dat ontwerpkeuzes zijn beoordeeld aan de hand van risicocriteria, dat verantwoordelijkheden voor toezicht zijn toegewezen en vastgelegd, en dat er een mechanisme bestaat om post-implementatie-incidenten te detecteren en te rapporteren.

De KBS-verplichting betekent dat naleving evenzeer een organisatorische en procedurele uitdaging is als een technische. Bedrijven die al werken onder ISO 9001 of sectorspecifieke managementkaders — zoals ISO 13485 bij medische hulpmiddelen — zullen aanzienlijke overlap vinden, maar zullen hun bestaande systemen nog steeds expliciet moeten koppelen aan de vereisten van de AI-verordening in plaats van equivalentie aan te nemen.

Kleinere aanbieders profiteren van de evenredigheidsbepaling: micro-ondernemingen kunnen in aanmerking komen voor vereenvoudigde regelingen op grond van uitvoeringshandelingen van de Commissie. Dit ontheft hen echter niet van de onderliggende materiële verplichtingen; het kan alleen van invloed zijn op de vorm waarin die verplichtingen worden gedocumenteerd en beheerd.

In de praktijk moeten aanbieders het KBS behandelen als de centrale ruggengraat waaruit alle andere nalevingsartefacten — technische documentatie, risicoregisters, post-markttoezichtplannen, incidentlogboeken — worden gegenereerd en beheerd.

Belangrijkste verplichtingen

Stel een gedocumenteerd kwaliteitsbeheersysteem in voordat een hoog-risico AI-systeem op de markt wordt gebracht of in gebruik wordt gesteld, met inbegrip van alle levenscyclusfasen.
Integreer de risicobeheerprocedures die vereist zijn door Artikel 9 in het KBS, zodat risicoidentificatie, -evaluatie en -mitigatie systematisch en traceerbaar zijn.
Documenteer gegevensbeheerpraktijken met betrekking tot verwerving, labelling, verwerking, opslag en bewaring, in overeenstemming met de gegevensgoverancevereisten van Artikel 10.
Handhaaf de technische documentatie gespecificeerd in Artikel 11 en Bijlage IV als KBS-output, up-to-date en toegankelijk houdend voor conformiteitsbeoordeling en markttoezichtdoeleinden.
Implementeer procedures voor post-markttoezicht en incidentrapportage binnen het KBS-kader, in overeenstemming met respectievelijk Artikelen 72 en 73.
Definieer en documenteer verantwoordingsstructuren, rollen en verantwoordelijkheden in de gehele organisatie, inclusief toezicht op de toeleveringsketen waar componenten van derden bijdragen aan het AI-systeem.

Relatie tot andere artikelen

Artikel 17 fungeert als de organisatorische ruggengraat van het nalevingsregime voor hoog-risico AI-systemen dat is vastgelegd in Titel III, Hoofdstuk 3. Het ontleent zijn materiële inhoud aan meerdere verweven verplichtingen: het risicobeheersysteem van Artikel 9, de gegevens- en gegevensgoverancevereisten van Artikel 10, en het regime voor technische documentatie van Artikel 11 vloeien allemaal rechtstreeks in wat het KBS moet omvatten en produceren.

Het KBS moet ook de conformiteitsbeoordelingsprocedures in Artikelen 43 en 44 ondersteunen, aangezien de documentatie die het genereert het primaire bewijs vormt dat wordt beoordeeld door aangemelde instanties of zelfbeoordelingsprocessen. Post-implementatieverplichtingen op grond van Artikel 72 (post-markttoezicht) en Artikel 73 (melding van ernstige incidenten) moeten worden ingebed in KBS-procedures in plaats van te worden beheerd als afzonderlijke ad-hocactiviteiten.

Artikel 26 legt gebruiksverantwoordelijken plichten op die afzonderlijk maar complementair zijn aan de KBS-verplichtingen voor aanbieders. Waar aanbieders en gebruiksverantwoordelijken overlappen — bijvoorbeeld wanneer een organisatie een hoog-risico AI-systeem zowel intern ontwikkelt als uitrolt — moet het KBS van Artikel 17 worden gelezen naast de verplichtingen voor gebruiksverantwoordelijken van Artikel 26 om volledige dekking te waarborgen.

Tijdlijn voor naleving

De EU AI-verordening is in werking getreden op 1 augustus 2024, na publicatie in het Publicatieblad van de Europese Unie. De toepassing van de bepalingen ervan is gefaseerd:

Februari 2025 — Verboden op AI-praktijken met onaanvaardbaar risico (Artikel 5) zijn van toepassing geworden.
Augustus 2025 — Verplichtingen met betrekking tot AI-modellen voor algemene doeleinden (Titel VIII) zijn van toepassing geworden.
2 augustus 2026 — Artikel 17 wordt van toepassing op aanbieders van hoog-risico AI-systemen vermeld in Bijlage III (systemen op gebieden zoals biometrie, kritieke infrastructuur, onderwijs, werkgelegenheid, essentiële diensten, rechtshandhaving, migratie en rechtsbedeling).
2 augustus 2027 — Artikel 17 wordt van toepassing op aanbieders van hoog-risico AI-systemen die worden beheerst door Bijlage I (AI-componenten in producten die al onderworpen zijn aan harmonisatiewetgeving van de Unie, zoals medische hulpmiddelen, machines en luchtvaartuigapparatuur).

Aanbieders wier systemen al vóór deze data op de markt zijn, profiteren van overgangsregelingen krachtens Artikel 111, die volledige KBS-nalevingsverplichtingen kunnen uitstellen onder voorwaarden die betrekking hebben op significante wijzigingen en lopende cycli voor conformiteitsbeoordeling. Organisaties dienen ruim vóór de toepasselijke deadline te beginnen met het ontwerpen van het KBS en gap-assessments, zodat er voldoende tijd is voor interne validatie, eventuele betrokkenheid van aangemelde instanties en iteratieve verfijning voordat de verplichting van toepassing wordt.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-23 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Wie is verplicht een kwaliteitsbeheersysteem op te zetten op grond van Artikel 17?

Artikel 17 legt de verplichting tot een kwaliteitsbeheersysteem uitsluitend op aan aanbieders van hoog-risico AI-systemen zoals gedefinieerd in Artikel 6 en Bijlage III van Verordening (EU) 2024/1689. Gebruiksverantwoordelijken zijn niet aan deze specifieke verplichting onderworpen, hoewel zij afzonderlijke plichten dragen krachtens Artikel 26.

Wat moet een kwaliteitsbeheersysteem omvatten op grond van Artikel 17?

Het KBS moet minimaal omvatten: een strategie voor naleving van regelgeving, ontwerp- en ontwikkelingsmethodologieën, procedures voor gegevensbeheer, risicobeheer zoals vereist door Artikel 9, technische documentatie conform Artikel 11, registratie en archivering, post-markttoezicht conform Artikel 72, verplichtingen inzake incidentrapportage, en regelingen voor menselijk toezicht.

Vereist Artikel 17 een gecertificeerd kwaliteitsbeheersysteem zoals ISO 9001?

Artikel 17 schrijft geen specifieke certificeringsstandaard voor. Naleving van erkende normen zoals ISO 9001 of sectorspecifieke equivalenten kan echter ondersteuning bieden bij het aantonen van conformiteit, met name wanneer geharmoniseerde normen onder Artikel 40 KBS-vereisten opnemen.

Hoe verhoudt het kwaliteitsbeheersysteem zich tot de technische documentatie?

Het KBS en de technische documentatie zijn nauw met elkaar verbonden. Het KBS moet de technische documentatie die vereist is door Artikel 11 en Bijlage IV genereren en bijhouden, en de documentatie zelf dient als primair bewijs dat het KBS correct functioneert tijdens conformiteitsbeoordeling.

Wanneer wordt Artikel 17 van toepassing?

Artikel 17 is van toepassing op aanbieders van hoog-risico AI-systemen in Bijlage III vanaf 2 augustus 2026, en op aanbieders van hoog-risico AI-systemen die vallen onder Bijlage I (sectorspecifieke harmonisatiewetgeving van de Unie) vanaf 2 augustus 2027, met inachtneming van de overgangsbepalingen in Artikel 111.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.