Artikel 26 van Verordening (EU) 2024/1689 — Verplichtingen van deployers van hoog-risico AI-systemen. Officiële tekst, praktische interpretatie, kernverplichtingen en complianceimplicaties.
Samenvatting van de officiële tekst
Artikel 26 van Verordening (EU) 2024/1689 stelt de verplichtingen vast die rusten op deployers — degenen die hoog-risico AI-systemen in gebruik nemen — en is opgenomen in Titel III, Hoofdstuk 3 van de wet. Het artikel bepaalt dat deployers passende technische en organisatorische maatregelen moeten nemen om te waarborgen dat zij dergelijke systemen gebruiken in overeenstemming met de gebruiksinstructies van de aanbieder (Artikel 26(1)). Deployers zijn verplicht de taak van menselijk toezicht toe te wijzen aan personen die de nodige competentie, opleiding en bevoegdheid bezitten om deze taak effectief uit te voeren (Artikel 26(2)).
Wanneer deployers het gebruiksdoel bepalen of aanzienlijke invloed uitoefenen op de werking van het AI-systeem, dragen zij verhoogde verantwoordelijkheden die overeenkomen met de rol van een aanbieder. Deployers moeten de werking van het hoog-risico AI-systeem monitoren op basis van de gebruiksinstructies en, waar relevant, de aanbieder informeren over geïdentificeerde risico's (Artikel 26(5)). Zij mogen het systeem niet gebruiken op manieren die in strijd zijn met die instructies of medewerkers onder druk zetten op een manier die een goede toezicht in gevaar brengt.
Artikel 26(7) verplicht deployers de automatisch gegenereerde logbestanden van het hoog-risico AI-systeem te bewaren voor zover dergelijke logbestanden onder hun beheer vallen, en deze te bewaren gedurende een periode die passend is voor het beoogde doel en de toepasselijke sectorale regels, en niet minder dan zes maanden. Artikel 26(9) legt een verplichting op aan deployers van publiekrechtelijke organen en bepaalde particuliere exploitanten om vóór de inzet een grondrechteneffectbeoordeling uit te voeren en te documenteren, en deze te registreren in de EU-database die is ingesteld op grond van Art. 71.
Wat dit betekent in de praktijk
Artikel 26 heeft directe gevolgen voor elke organisatie die een hoog-risico AI-systeem integreert in haar activiteiten zonder de ontwikkelaar of oorspronkelijke aanbieder van dat systeem te zijn. Typische deployers zijn ziekenhuizen die AI-ondersteunde diagnostische hulpmiddelen gebruiken, werkgevers die AI gebruiken voor wervingsscreening, banken die AI-kredietscoringsengines gebruiken, en overheidsinstanties die AI gebruiken voor beslissingen over uitkeringsaanspraken.
Concreet moet een deployer beginnen met het grondig lezen en implementeren van de gebruiksinstructies van de aanbieder — deze vormen een compliancebasislijn. Vóór de livegang moet de deployer bepalen welk personeelslid of team de toezichtsverantwoordelijkheid draagt en ervoor zorgen dat zij de opleiding en bevoegdheid hebben om in te grijpen, het systeem te pauzeren of de uitvoer te overschrijven. Druk om toezichtmechanismen te negeren of te omzeilen is expliciet verboden.
Tijdens de werking moet de deployer door het systeem gegenereerde logbestanden bewaren. Voor een bank die een kredietrisicomodel van derden inzet, betekent dit het bewaren van geautomatiseerde beslissingslogboeken gedurende ten minste zes maanden en ervoor zorgen dat deze toegankelijk zijn voor audit of regelgevend toezicht. Als het systeem onverwachte uitvoer begint te produceren of betrokken is bij een incident dat schade veroorzaakt of mogelijk veroorzaakt, moet de deployer onmiddellijk escaleren naar de aanbieder en, indien noodzakelijk, naar de nationale toezichthoudende autoriteit.
Deployers in de publieke sector en particuliere bedrijven die publieke diensten verlenen, staan voor een extra stap: een formele grondrechteneffectbeoordeling moet worden voltooid en geregistreerd in de EU-database voordat het systeem wordt geactiveerd. Deze beoordeling moet voorzienbare effecten op rechten zoals non-discriminatie, privacy en behoorlijke rechtsgang identificeren en mitigerende maatregelen documenteren.
Deployers die verder gaan dan hun instructies — door een systeem te hergebruiken voor een ander toepassingsgeval of de configuratie wezenlijk te wijzigen — riskeren te worden herclassificeerd als aanbieders op grond van Art. 25, waarmee de volledige last van verplichtingen als aanbieder van toepassing wordt, inclusief conformiteitsbeoordeling.
Kernverplichtingen
- Volg de gebruiksinstructies: Zet het hoog-risico AI-systeem in en gebruik het strikt in overeenstemming met de instructies van de aanbieder; elk gebruik buiten het beoogde doel leidt tot mogelijke herclassificatie als aanbieder.
- Zorg voor competent menselijk toezicht: Wijs personen aan met de nodige competentie, opleiding en bevoegdheid om effectief menselijk toezicht uit te oefenen; geef medewerkers geen instructies of prikkels om toezichtfuncties te omzeilen.
- Monitor en rapporteer risico's en incidenten: Monitor continu de prestaties van het systeem; informeer de aanbieder en, waar van toepassing, de relevante markttoezichtautoriteit onmiddellijk over elk ernstig risico of incident dat tijdens het gebruik wordt geïdentificeerd.
- Bewaar automatisch gegenereerde logbestanden: Bewaar logbestanden die door het AI-systeem zijn gegenereerd gedurende minimaal zes maanden of langer waar vereist door toepasselijk recht of sectorale regels, voor zover die logbestanden onder het beheer van de deployer vallen.
- Voer een grondrechteneffectbeoordeling uit en registreer deze: Deployers van publiekrechtelijke organen en particuliere exploitanten die publieke diensten verlenen, moeten een gedocumenteerde grondrechteneffectbeoordeling voltooien en registreren in de EU-database vóór de inzet.
- Informeer en bescherm getroffen werknemers: Wanneer het systeem wordt gebruikt in arbeidscontexten, moeten deployers werknemersvertegenwoordigers en de betrokken personen informeren in overeenstemming met het toepasselijke Unierecht en nationale recht vóór de inzet.
Relatie met andere artikelen
Artikel 26 moet worden gelezen in samenhang met verschillende onderling verbonden bepalingen. Art. 25 definieert wanneer een deployer wordt herclassificeerd als aanbieder — een drempel die deployers actief moeten bewaken wanneer zij een systeem wijzigen of hergebruiken. Art. 13 (Transparantie en verstrekking van informatie aan deployers) bepaalt wat de aanbieder moet communiceren via gebruiksinstructies, wat direct bepaalt hoe naleving van Artikel 26(1) eruitziet. Art. 14 (Menselijk toezicht) werkt de technische vereisten uit die aanbieders in systemen moeten inbouwen om deployers in staat te stellen hun toezichttaken onder Artikel 26(2) te vervullen.
Art. 71 (EU-database) onderbouwt de registratieplicht die op grond van Artikel 26(9) aan publieke deployers wordt opgelegd. Art. 73 (Melding van ernstige incidenten) vormt een aanvulling op Artikel 26(5) door het procedureel kader voor incidentmeldingen te beschrijven. In arbeidscontexten kruist Artikel 26(6) met Richtlijn 2002/14/EG betreffende informatie en raadpleging van werknemers. Voor deployers in gereguleerde sectoren — financiën, gezondheidszorg, transport — kan sectorspecifiek Unierecht aanvullende of overlappende verplichtingen opleggen die samenhangen met de basislijn van Artikel 26.
Compliancetijdlijn
De EU AI-wet is op 1 augustus 2024 in werking getreden, waarbij de verplichtingen op een gefaseerd schema van toepassing zijn. Bepalingen over verboden AI-praktijken werden van toepassing op 2 februari 2025. Verplichtingen met betrekking tot AI-modellen voor algemeen gebruik werden van toepassing op 2 augustus 2025.
Artikel 26, als verplichting die van toepassing is op hoog-risico AI-systemen die zijn opgesomd in Bijlage III, wordt van toepassing op 2 augustus 2026 voor de meeste hoog-risico systemen, met een verlengde termijn van 2 augustus 2027 voor hoog-risico systemen op het gebied van werkgelegenheid, onderwijs en toegang tot essentiële diensten waar bestaande harmonisatiewetgeving van de Unie van toepassing is (die systemen die zijn opgesomd in Bijlage I). Deployers moeten daarom 2 augustus 2026 behandelen als de primaire compliancedeadline voor operationele gereedheid, aanwijzing van menselijk toezicht, infrastructuur voor logbewaring en procedures voor grondrechteneffectbeoordeling, terwijl zij onmiddellijk beginnen met voorbereidend werk om voldoende doorlooptijd te bieden voor governance, inkoopreview en personeelstraining.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Een deployer is elke natuurlijke of rechtspersoon, overheidsinstantie, agentschap of ander orgaan dat een hoog-risico AI-systeem gebruikt onder eigen verantwoordelijkheid, behalve wanneer het systeem wordt gebruikt in het kader van een zuiver persoonlijke, niet-professionele activiteit. Dit omvat bedrijven, publieke instellingen en operatoren die AI van derden met hoog risico integreren in hun workflows.
Deployers moeten passende technische en organisatorische maatregelen implementeren om te waarborgen dat zij hoog-risico AI-systemen gebruiken in overeenstemming met de gebruiksinstructies van de aanbieder. Zij moeten ook menselijk toezicht toewijzen aan gekwalificeerde personen, de prestaties monitoren en het gebruik opschorten als zij risico's identificeren.
Ja. Artikel 26(9) verplicht deployers die organen zijn geregeld door publiek recht, of particuliere exploitanten die openbare diensten verlenen, tot het uitvoeren van een grondrechteneffectbeoordeling alvorens bepaalde hoog-risico AI-systemen in gebruik te nemen. Deze beoordeling moet vóór de inzet worden geregistreerd in de EU-database.
Op grond van Artikel 26(5) moeten deployers de aanbieder onmiddellijk informeren en, waar van toepassing, de relevante markttoezichtautoriteit. Als de deployer de aanbieder niet kan bereiken, moet hij de autoriteit rechtstreeks op de hoogte stellen. De verplichting geldt wanneer de deployer reden heeft om aan te nemen dat het systeem een risico vormt of een ernstig incident heeft veroorzaakt.
Nee. Conformiteitsbeoordeling is de verantwoordelijkheid van de aanbieder op grond van Art. 43. Deployers zijn verantwoordelijk voor correct gebruik volgens de instructies van de aanbieder, passend menselijk toezicht, gegevensbeheer voor invoer die zij controleren, en rapportageverplichtingen. Deployers die een systeem wezenlijk wijzigen, kunnen echter verplichtingen als aanbieder krijgen.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.