Artikel 9 — Risicobeheersysteem (EU AI-verordening)

Artikel 9 van Verordening (EU) 2024/1689 — Risicobeheersysteem. Officiële tekst, praktische interpretatie, belangrijkste verplichtingen en nalevingsimplicaties.

Samenvatting van de officiële tekst

Artikel 9 van Verordening (EU) 2024/1689 legt een verplicht, continu risicobeheersysteem op aan aanbieders van hoog-risico AI-systemen gedurende de gehele levenscyclus van het systeem. De bepaling vereist dat het risicobeheersysteem bestaat uit een iteratief proces dat is geïntegreerd in de ontwikkeling en werking van het hoog-risico AI-systeem, en regelmatig wordt bijgewerkt in het licht van nieuwe informatie die is verzameld tijdens toezicht na het in de handel brengen.

Concreet vereist Artikel 9 van aanbieders dat zij: (a) alle bekende en redelijkerwijs voorzienbare risico's verbonden aan het hoog-risico AI-systeem identificeren en analyseren; (b) risico's inschatten en evalueren die kunnen optreden wanneer het systeem wordt gebruikt in overeenstemming met het beoogde doel en onder omstandigheden van redelijkerwijs voorzienbaar misbruik; (c) risico's evalueren die voortvloeien uit beschikbare gegevens en het gedrag van personen die met het systeem omgaan; en (d) passende risicobeheersmaatregelen nemen op basis van deze analyse.

Risicobeheersmaatregelen moeten zodanig zijn dat elk restrisico verbonden aan elk gevaar, evenals het algemene restrisico van het hoog-risico AI-systeem, als aanvaardbaar wordt beoordeeld. Artikel 9 bepaalt ook dat er tests moeten worden uitgevoerd om passende maatregelen te identificeren, en dat dergelijke tests moeten worden uitgevoerd aan de hand van gedefinieerde statistieken en probabilistische drempelwaarden. Bijzondere aandacht is vereist wanneer het systeem waarschijnlijk in contact komt met kinderen of andere kwetsbare groepen. Informatie die voortkomt uit de ervaring van gebruikers moet worden teruggekoppeld naar het risicobeheersproces van de aanbieder.

Wat dit in de praktijk betekent

Artikel 9 is een van de meest operationeel veeleisende vereisten in Titel III van de EU AI-verordening. Het is van toepassing op elke rechtspersoon die kwalificeert als aanbieder van een hoog-risico AI-systeem — de entiteit die het systeem ontwikkelt of laat ontwikkelen en het op de markt brengt of in gebruik neemt onder zijn eigen naam of handelsmerk.

In praktische termen vereist naleving het opzetten van een gedocumenteerd risicobeheerskader voordat het systeem op de markt wordt gebracht. Dit is geen formaliteit: de verordening vereist een iteratief proces dat gedurende de hele levensduur van het product aanhoudt, wat betekent dat risicobeheerdocumentatie moet evolueren naarmate het systeem wordt bijgewerkt, opnieuw getraind of ingezet in nieuwe contexten.

Een conform risicobeheersysteem omvat doorgaans: een gestructureerde risicoidentificatieprocedure die zowel bedoeld gebruik als plausibele misbruikscenario's omvat; een risicoschattingsmatrix die de kans en ernst van schade evalueert; een catalogus van mitigerende maatregelen met gedocumenteerde motivering voor hun selectie; formele pre-markt tests aan de hand van gedefinieerde statistieken; en een mechanisme om feedback na het in de handel brengen — inclusief incidentgegevens verstrekt door gebruikers — terug te koppelen naar de lopende risicoanalyse.

Zo moet een aanbieder van een op AI gebaseerde kredietbeoordelingstool die is geclassificeerd als hoog-risico onder Annex III documenteren hoe het model discriminerende uitkomsten kan produceren, welke technische en organisatorische maatregelen dat risico verminderen, en hoe prestatiescijfers uit de echte wereld een herbeoordeling zullen triggeren. Een AI-systeem dat wordt gebruikt in een medische context moet daarnaast de verhoogde zorgplicht aanpakken waarbij kwetsbare gebruikers betrokken zijn. Risicobeheersresultaten vloeien rechtstreeks door naar de technische documentatie die vereist is door Art. 11 en de conformiteitsbeoordeling onder Art. 43-44.

Belangrijkste verplichtingen

Stel een continu risicobeheersysteem in en onderhoud dit dat de gehele levenscyclus van het hoog-risico AI-systeem omvat, van ontwerp tot buiten gebruik stelling, bijgewerkt in het licht van toezichtgegevens na het in de handel brengen.
Identificeer alle bekende en redelijkerwijs voorzienbare risico's, inclusief risico's die voortvloeien uit redelijkerwijs voorzienbaar misbruik, uit interactie met andere systemen en uit de sociotechnische context van inzet.
Schat en evalueer risico's met betrekking tot hun kans op voorkomen en de ernst van mogelijke schade, rekening houdend met het beoogde doel en de categorieën personen die waarschijnlijk worden getroffen, inclusief kwetsbare groepen en kinderen.
Neem risicobeheersmaatregelen die geïdentificeerde risico's terugbrengen tot een aanvaardbaar restrisico; waar technische maatregelen onvoldoende zijn, moeten organisatorische of informatieve maatregelen deze aanvullen.
Voer pre-markt tests uit met behulp van gedefinieerde statistieken en probabilistische drempelwaarden die passend zijn voor het beoogde doel, om te valideren dat geselecteerde maatregelen effectief zijn en dat het restrisico aanvaardbaar is.
Integreer feedback van toezicht na het in de handel brengen van gebruikers en eindgebruikers in het lopende risicobeheersproces, zodat het systeem responsief blijft op bewijs uit de echte wereld van schade of bijna-ongelukken.

Relatie tot andere artikelen

Artikel 9 staat centraal in het vereistenkader van Hoofdstuk 2 en is structureel gekoppeld aan verschillende andere bepalingen. Het hangt af van Art. 6 en Annex III voor zijn toepassingsgebied: alleen systemen die kwalificeren als hoog-risico zijn onderworpen aan zijn verplichtingen. De resultaten van het Artikel 9-proces vloeien rechtstreeks door naar Art. 11 (technische documentatie), dat vereist dat aanbieders aantonen dat een conform risicobeheersysteem bestaat en is toegepast.

Artikel 9 sluit ook nauw aan bij Art. 10 (gegevens en gegevensbeheer), aangezien de kwaliteit van trainings-, validatie- en testgegevens het risicoprofiel dat moet worden beheerd wezenlijk beïnvloedt. Art. 13 (transparantie en verstrekking van informatie) vereist dat bepaalde risicogerelateerde informatie aan gebruikers wordt meegedeeld, en Art. 14 (menselijk toezicht) specificeert maatregelen die frequent dienen als eerstelijnsmiddelen voor risicobeperking onder Artikel 9. Art. 26 legt stroomafwaartse verplichtingen op aan gebruikers om gebruik in de echte wereld te monitoren en relevante informatie terug te rapporteren aan aanbieders, waardoor de feedbacklus die Artikel 9 vereist wordt gesloten. Ten slotte formaliseert Art. 72 (toezicht na het in de handel brengen) de gegevensverzamelingsmechanismen die het iteratieve risicobeheersproces in de loop van de tijd ondersteunen.

Nalevingstijdlijn

De EU AI-verordening is op 1 augustus 2024 in werking getreden. Artikel 9, als een kernvereiste van Hoofdstuk 2 die van toepassing is op hoog-risico AI-systemen, volgt de algemene nalevingstijdlijn voor Titel III-verplichtingen:

1 augustus 2024 — Verordening treedt in werking; de overgangsklok van 24 maanden begint voor de meeste hoog-risico verplichtingen.
2 februari 2025 — Verboden op AI-praktijken met onaanvaardbaar risico (Art. 5) worden van toepassing. Artikel 9 is nog niet van toepassing.
2 augustus 2025 — Regels voor AI-modellen voor algemeen gebruik (Titel VIII) worden van toepassing. Artikel 9 is nog steeds niet verplicht voor de meeste hoog-risico systemen.
2 december 2026 — Artikel 9 wordt volledig van toepassing op hoog-risico AI-systemen vermeld in Annex III (AI-systemen op gebieden zoals onderwijs, werkgelegenheid, essentiële diensten, rechtshandhaving, migratie en rechtsbedeling). Aanbieders moeten tegen deze datum over een conform risicobeheersysteem beschikken.
2 augustus 2027 — Verlengde termijn voor hoog-risico AI-systemen die veiligheidscomponenten zijn van producten die reeds vallen onder bestaande harmonisatiewetgeving van de Unie vermeld in Annex I (bijv. machines, medische hulpmiddelen, burgerluchtvaart).

Aanbieders die hoog-risico AI-systemen ontwikkelen of aanschaffen, moeten 2 december 2026 behandelen als hun harde deadline voor gereedheid voor naleving van Artikel 9, en risicobeheerskaders ruim van tevoren in hun ontwikkelingsprocessen integreren om tijd te laten voor testen, documentatie en conformiteitsbeoordeling.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-23 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Wie moet een risicobeheersysteem implementeren op grond van Artikel 9?

Aanbieders van hoog-risico AI-systemen zoals gedefinieerd in Art. 6 en Annex III van Verordening (EU) 2024/1689 zijn verplicht een risicobeheersysteem op te zetten en te onderhouden voordat zij hun systeem op de markt brengen of in gebruik nemen.

Wat moet het risicobeheersysteem onder Artikel 9 omvatten?

Het systeem moet bekende en redelijkerwijs voorzienbare risico's identificeren en analyseren, risico's inschatten en evalueren die tijdens gebruik kunnen optreden, passende risicobeheersmaatregelen nemen en ervoor zorgen dat restrisico's als aanvaardbaar worden beschouwd op grond van de verordening.

Is een eenmalige risicobeoordeling voldoende voor naleving van Artikel 9?

Nee. Artikel 9 vereist een continu, iteratief proces dat gedurende de gehele levenscyclus van het hoog-risico AI-systeem wordt uitgevoerd, inclusief toezicht na het in de handel brengen. Het systeem moet worden bijgewerkt naarmate nieuwe informatie over risico's beschikbaar komt.

Wat zijn scenario's van 'redelijkerwijs voorzienbaar misbruik' en waarom zijn deze belangrijk?

Artikel 9 vereist expliciet dat aanbieders rekening houden met risico's die voortvloeien uit redelijkerwijs voorzienbaar misbruik — niet alleen bedoeld gebruik. Dit betekent dat aanbieders plausibele manieren moeten analyseren waarop het systeem onjuist of te kwader trouw kan worden gebruikt en die risico's dienovereenkomstig moeten beperken.

Hoe verhoudt Artikel 9 zich tot de testverplichtingen in Artikel 9(7)?

Artikel 9(7) vereist dat testprocedures worden vastgesteld en uitgevoerd om de meest geschikte risicobeheersmaatregelen te identificeren. Testen moet worden uitgevoerd aan de hand van vooraf gedefinieerde statistieken en probabilistische drempelwaarden die passend zijn voor het beoogde doel, en moet plaatsvinden vóór plaatsing op de markt.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.