Hoog-risico AI-systemen moeten vóór plaatsing op de EU-markt een volledig technisch dossier bijhouden. Art. 11 en Bijlage IV bepalen exact wat er moet worden opgenomen — van systeemarchitectuur tot gegevensbeheer voor training en plannen voor post-marktbewaking.
Wat is het technisch dossier?
De technische documentatie — gewoonlijk het "technisch dossier" genoemd — is het hoofdbewijspakket dat aantoont dat een hoog-risico AI-systeem voldoet aan alle vereisten van de EU AI-verordening. Verplicht door Art. 11 en gestructureerd door Bijlage IV, moet het vóór de plaatsing van het systeem op de EU-markt worden opgesteld en gedurende de gehele levenscyclus van het systeem worden bijgehouden.
Het technisch dossier wordt niet centraal ingediend. De aanbieder bewaart het en presenteert het op verzoek aan markttoezichtautoriteiten en aangemelde instanties. Dit is een pull-model: autoriteiten komen naar u toe; u moet klaar zijn om een volledig, coherent pakket te overhandigen, niet een ad hoc stapel bestanden die onder druk is samengesteld.
Art. 11 legt aanbieders drie plichten op:
- Opstellen vóór marktplaatsing of ingebruikstelling.
- Bijhouden — elke substantiële wijziging van het systeem vereist bijwerking van het dossier en herziening van de conformiteitsbeoordeling.
- Beschikbaar stellen aan bevoegde autoriteiten en aangemelde instanties op verzoek, binnen een bepaalde termijn (doorgaans 10 werkdagen onder nationale markttoezichtregels).
De norm voor "bijgewerkt" is functioneel: het technisch dossier moet het systeem weerspiegelen zoals het werkelijk is ingezet, niet zoals het oorspronkelijk was ontworpen. Als een modelupdate prestatiekenmerken, nauwkeurigheidsdrempels of trainingsgegevens wijzigt, moet het dossier dienovereenkomstig worden herzien.
Wie heeft technische documentatie nodig?
Technische documentatie op grond van Art. 11 en Bijlage IV is verplicht voor aanbieders van:
- Hoog-risico AI-systemen vermeld in Bijlage III — zelfstandige systemen op gebieden zoals biometrische categorisering, werving, kredietscoring, beheer van kritieke infrastructuur, onderwijs, rechtshandhaving, migratie en grensbeheer, en rechtsbedeling (onderworpen aan het significante-risicofilter van Art. 6(3))
- AI-systemen die functioneren als veiligheidscomponenten in gereglementeerde producten van Bijlage I — AI ingebed in medische hulpmiddelen, machines, voertuigen, luchtvaartuigapparatuur en soortgelijke producten die vallen onder bestaande EU-productveiligheidswetgeving
Technische documentatie is niet vereist voor:
- Minimaal-risico AI-systemen (chatbots, spamfilters, aanbevelingsengines buiten hoog-risico categorieën)
- AI-systemen die uitsluitend onderworpen zijn aan transparantieverplichtingen op grond van Art. 50 (bijv. deepfake-bekendmakingen, emotieherkenning-bekendmakingen waar niet hoog risico)
- Aanbieders van AI-modellen voor algemene doeleinden (GPAI) — die hebben afzonderlijke documentatieverplichtingen op grond van Art. 53, inclusief technische documentatie voor het model zelf, maar niet het Bijlage IV-formaat ontworpen voor ingezette hoog-risico systemen
Als u een gebruiker bent (geen aanbieder), bent u niet verplicht het technisch dossier op te stellen. Gebruikers moeten echter logboeken van systeemgebruik bijhouden (Art. 26(5)), en aanbieders hebben het recht deze logboeken te gebruiken bij het bijwerken van technische documentatie of het afhandelen van incidentmeldingen.
De 14 elementen van Bijlage IV
Bijlage IV specificeert de minimuminhoud van het technisch dossier. Er is geen star formaat — aanbieders mogen de documentatie naar eigen inzicht organiseren — maar alle 14 elementen moeten aanwezig en substantieel zijn. Aanvinkvakjes zonder ondersteunend bewijs voldoen niet aan Bijlage IV.
| # | Bijlage IV-element | Wat het moet bevatten |
|---|---|---|
| 1 | Algemene beschrijving | Systeemnaam, versie-ID, beoogd doel, beoogde gebruikers, geografische markten, naam en adres aanbieder, eventuele gemachtigde vertegenwoordiger |
| 2 | Systeemcomponenten | Hardwarevereisten, softwarecomponenten, gebruikte modellen of bibliotheken van derden, overzicht trainingsmethodologie, algoritmische benadering (bijv. supervised learning, reinforcement learning, transformerarchitectuur) |
| 3 | Ontwerpspecificaties | Systeemarchitectuur, gegevensstroomdiagrammen, belangrijkste ontwerpbeslissingen en hun grondslag, gemaakte compromissen (bijv. nauwkeurigheid vs. verklaarbaarheid), uitvoerformaat en hoe outputs ingaan in downstream-beslissingen |
| 4 | Trainings-, validatie- en testgegevens | Gegevenssets gebruikt in elke fase, gegevensbronnen, gegevensbeheerprocedures, statistische eigenschappen van gegevenssets (grootte, verdeling, dekking), gegevensverwerkings- en voorverwerkingsprotocollen, maatregelen genomen om gegevenssetsvertekeningen te detecteren en aan te pakken |
| 5 | Risicobeheerdocumentatie | Het volledige Art. 9-risicobeheersysteem: geïdentificeerde risico's voor gezondheid, veiligheid en grondrechten; risico-inschatting en -evaluatie; aangenomen risicobeperking; geaccepteerde restrisico's; grondslag voor acceptatie van restrisico's |
| 6 | Levenscycluswijzigingen | Beschrijving van alle substantiële wijzigingen aangebracht na initiële inzet, hun aard en omvang, hoe de conformiteit na elke wijziging opnieuw is beoordeeld, versiegeschiedenis met datums |
| 7 | Maatregelen voor menselijk toezicht | Hoe Art. 14-vereisten worden geïmplementeerd: overrullings- en stopmechanismen, interfaces die menselijke operators in staat stellen outputs te monitoren, trainings- of kwalificatievereisten voor operators, gedocumenteerde procedures voor menselijke interventie |
| 8 | Validatie- en testprocedures | Gebruikte prestatiemetrieken (nauwkeurigheid, precisie, recall, F1, AUC, eerlijkheidsmetrieken), beschrijvingen van testgegevenssets, testomstandigheden en -omgeving, vertekening-testmethodologie en -resultaten, robuustheid en stresstest, out-of-distribution prestaties |
| 9 | Cyberbeveiligingsmaatregelen | Technische maatregelen tegen modelsteling, datavergiftiging, adversariale aanvallen, prompt-injectie (voor LLM-gebaseerde systemen), toegangscontroles, versleuteling in transit en in rust, kwetsbaarhedenbeheerprocedures |
| 10 | Vertekening- en nauwkeurigheidsmonitoring | Lopende monitoringprocedures na inzet, nauwkeurigheidsdrempels waaronder het systeem een beoordeling triggert, prestatiereferentiepunten uitgesplitst naar demografische groepen waar relevant, procedures voor handelen bij gedetecteerde drift of vertekening |
| 11 | Gebruiksinstructies | Het Art. 13-document gericht op gebruikers: beoogd doel en gebruikssituaties, prestatiekenmerken en -beperkingen, bekende beperkingen, onderhouds- en updatevereisten, loggingverplichtingen voor gebruikers, contactpunt voor incidentrapportage |
| 12 | Plan voor post-marktbewaking | Het Art. 72-bewakingssysteemontwerp: gegevens verzameld van gebruikers, frequentie van bewakingscycli, drempels die een beoordeling of update triggeren, procedure voor melding van ernstige incidenten (Art. 73), procedure voor het terugkoppelen van bewakingsgegevens naar risicobeheer |
| 13 | Beschrijving van interfaces | API's en integratiepunten, invoergegevensformaten en -beperkingen, uitvoerformaten en hun semantiek, integratie met andere systemen of componenten, versiecompatibiliteit |
| 14 | Geharmoniseerde normen en gemeenschappelijke specificaties | Lijst van toegepaste geharmoniseerde normen (bijv. ISO/IEC 42001:2023, EN-normen onder het AI-verordening normalisatieprogramma), aangenomen gemeenschappelijke specificaties op grond van Art. 41, de mate waarin elke norm is toegepast, eventuele afwijkingen en hun rechtvaardiging |
Praktische opmerking over element 4 (trainingsgegevens): Bijlage IV vereist niet dat u de gegevenssets openbaar maakt of standaard aan autoriteiten verstrekt. Het vereist dat de documentatie bestaat en kan worden geproduceerd. Voor eigen gegevenssets zal een beschrijving van gegevensbeheerprocedures, statistische samenvattingen en resultaten van vertekening-tests doorgaans aan de vereiste voldoen zonder commercieel gevoelige gegevens te onthullen.
Praktische opmerking over element 14 (normen): Vanaf medio 2026 is het AI-verordening normalisatieprogramma nog in uitvoering. ISO/IEC 42001 (AI-beheersystemen) is beschikbaar en wordt breed gerefereerd. Aanbieders moeten de Europese normalisatiewerkzaamheden onder CEN/CENELEC JTC 21 volgen en dit gedeelte bijwerken naarmate geharmoniseerde normen worden gepubliceerd in het Publicatieblad.
EU-conformiteitsverklaring (Art. 47)
De EU-conformiteitsverklaring (EU DoC) is een apart verplicht document — het maakt geen deel uit van het technisch dossier, maar verwijst ernaar. De EU DoC is de formele verklaring van de aanbieder dat het AI-systeem voldoet aan alle toepasselijke vereisten van de EU AI-verordening.
Een geldige EU DoC moet bevatten:
- De naam en het adres van de aanbieder (en gemachtigde vertegenwoordiger indien van toepassing)
- De naam, versie, serienummer of batchnummer van het AI-systeem indien van toepassing
- Een verklaring dat het systeem voldoet aan de EU AI-verordening
- De gebruikte conformiteitsbeoordelingsprocedure: Bijlage VI (interne controle / zelfbeoordeling) voor de meeste Bijlage III-systemen, of Bijlage VII (beoordeling door een derde partij via aangemelde instantie) voor biometrische categoriserings-AI en AI gebruikt in kritieke infrastructuur waarvoor betrokkenheid van derden vereist is
- Een lijst van de geharmoniseerde normen of gemeenschappelijke specificaties waarop men vertrouwt
- De handtekening van de gemachtigde vertegenwoordiger van de aanbieder met datum en plaats
De EU DoC moet 10 jaar na marktplaatsing worden bewaard en op verzoek worden geproduceerd. Ze vergezelt de CE-markering (zie hieronder).
Voor AI-systemen ingebed in Bijlage I-producten kan de EU DoC worden samengevoegd met de conformiteitsverklaring vereist op grond van de relevante sectorale wetgeving, mits deze alle elementen bevat die door beide rechtsinstrumenten zijn vereist.
CE-markering (Art. 48)
Hoog-risico AI-systemen die op de EU-markt worden gebracht, moeten de CE-markering dragen, die conformiteit met de EU AI-verordening en andere toepasselijke geünieerde geharmoniseerde wetgeving die hetzelfde product dekt, aangeeft.
Uitzonderingen: AI-systemen in Bijlage III-categorieën ingezet door overheidsinstanties voor eigen intern gebruik zijn vrijgesteld van CE-markeringsvereisten. Ze blijven onderworpen aan alle andere verplichtingen — technische documentatie, risicobeheer, menselijk toezicht, registratie — maar hoeven geen CE-markering aan te brengen.
CE-markering moet worden aangebracht vóór het systeem op de EU-markt wordt gebracht. Ze moet zichtbaar, leesbaar en onuitwisbaar zijn. Wanneer de fysieke aard van het systeem het direct aanbrengen van de markering niet toestaat, kan deze op de verpakking of in de gebruiksinstructies verschijnen.
Wanneer een hoog-risico AI-systeem een component is van een Bijlage I-product dat al CE-markering vereist op grond van sectorspecifieke wetgeving (bijv. medische hulpmiddelen, machines), dekt de CE-markering conformiteit met zowel de sectorale wetgeving als de AI-verordening. Aanbieders moeten duidelijk documenteren welke conformiteitsbeoordelingsprocedures ten grondslag liggen aan de CE-markering.
Praktische checklist: Minimaal levensvatbaar technisch dossier
Verifieer vóór plaatsing van een hoog-risico AI-systeem op de EU-markt dat deze 10 items volledig zijn en gedocumenteerd:
- [ ] Systeembeschrijving en versiebeheer — naam, versie, beoogd doel gedocumenteerd; een wijzigingenlog bestaat
- [ ] Architectuurdiagram — gegevensstroom- en componentdiagram dat alle hardware-, software- en derden-elementen toont
- [ ] Inventaris trainingsgegevens en governancerecord — gegevenssets gecatalogiseerd met bron, omvang, splits en kwaliteitsprocedures gedocumenteerd
- [ ] Risicobeoordeling (per Art. 9) — geïdentificeerde risico's, beperkingsmaatregelen en geaccepteerde restrisico's gedocumenteerd en goedgekeurd
- [ ] Resultaten vertekening-tests — testmethodologie gedocumenteerd; resultaten uitgesplitst naar relevante demografische groepen waar van toepassing
- [ ] Nauwkeurigheidsmetrieken op een representatieve testset — prestatiemetrieken gedocumenteerd met testomstandigheden; drempels gedefinieerd
- [ ] Document menselijk toezicht procedure — overrullingsmechanismen beschreven; operatorkwalificatievereisten (training, kwalificatie) gedocumenteerd
- [ ] Cyberbeveiligingsbeoordeling — bekende aanvalsvectoren beoordeeld; technische tegenmaatregelen gedocumenteerd
- [ ] Gebruiksinstructies (gebruikersgericht) — Art. 13-document compleet, inclusief beperkingen, loggingverplichtingen en contactpunt incidentrapportage
- [ ] Plan voor post-marktbewaking — omvang gegevensverzameling, monitoringfrequentie, beoordelingsdriggeren en incidentrapportageprocedure gedocumenteerd
Deze checklist dekt het minimum. Een goed voorbereide technische documentatie gaat verder — met name wat betreft de vertekening-testmethodologie, modelkaarten voor componentmodellen en bewijs dat het risicobeheersproces iteratief is en geen eenmalige oefening.
Hoe dit samenhangt met de EU AI-verordening Academy
Het Pro-niveau van de EU AI-verordening Academy bevat kant-en-klare sjablonen voor technische documentatie die alle 14 Bijlage IV-elementen dekken, waaronder:
- Een gestructureerd XLSX-werkboek met één tabblad per Bijlage IV-element, vooraf gevuld met prompts en voorbeeldvermeldingen
- Een DOCX technisch dossier-skelet klaar voor bewerking
- Een risicobeoordelingswerkblad dat het iteratieve Art. 9-proces volgt
- Een gegevensgovernancerecord-sjabloon dat trainings-, validatie- en testgegevenssets dekt
- Een sjabloon voor post-marktbewakingsplan afgestemd op Art. 72
Deze sjablonen zijn ontworpen om te worden aangepast aan uw specifieke systeem — het zijn startpunten met substantiële inhoud, geen lege formulieren.
Gerelateerde pagina's:
- Bijlage III — Hoog-risico AI categorieën en verplichtingen
- Conformiteitsbeoordelingsprocedures (Bijlage VI en VII)
- EU AI-verordening Academy — sjablonen en training
- Tools — Conformiteitsbeoordelingsselectie
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
De aanbieder van het hoog-risico AI-systeem is als enige verantwoordelijk voor het opstellen en bijhouden van technische documentatie. Gebruikers zijn niet verplicht deze op te stellen, maar moeten toegangslogboeken bewaren en moeten deze mogelijk aan aanbieders verstrekken voor rapportagedoeleinden.
Technische documentatie moet worden bewaard gedurende 10 jaar na het tijdstip waarop het AI-systeem op de EU-markt is gebracht of in gebruik is gesteld (Art. 18). Voor AI-systemen ingebed in producten die vallen onder de wetgeving van Bijlage I, is de bewaartermijn van de productwetgeving van toepassing als die langer is.
Nee — technische documentatie wordt niet centraal ingediend. Ze moet worden bewaard door de aanbieder en op verzoek beschikbaar worden gesteld aan markttoezichtautoriteiten en aangemelde instanties. Registratie in de EU AI-databank (Art. 71) is verplicht, maar het volledige technisch dossier blijft bij de aanbieder.
Een formeel document ondertekend door de aanbieder waarin staat dat het AI-systeem voldoet aan de vereisten van de EU AI-verordening. Het moet de systeemnaam, versie, aanbiedersidentiteit, een lijst van toepasselijke vereisten waaraan is voldaan, de gebruikte conformiteitsbeoordelingsprocedure en een verwijzing naar relevante geharmoniseerde normen bevatten. Het vergezelt de CE-markering.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.