EU AI-verordening compliance
AI leverancier due diligence: wat je als deployer moet controleren
Als je als Nederlands MKB een AI-systeem inkoopt, ben jij als deployer verantwoordelijk voor naleving van de EU AI-verordening. Dit is precies welke documentatie je moet opvragen, welke contractuele clausules je nodig hebt, en wanneer je opnieuw moet beoordelen.
De meeste AI-problemen bij MKB beginnen niet met slechte technologie. Ze beginnen met een getekend contract waarbij niemand heeft gevraagd: wat staat er eigenlijk in dit systeem, en wie is er verantwoordelijk als het misgaat?
Dat is geen hypothetische vraag meer. Artikel 26 van de EU AI-verordening legt deployers — dus jij als bedrijf dat een AI-systeem van een leverancier gebruikt — concrete verplichtingen op. Niet de aanbieder. Jij. Dat betekent dat je bij het selecteren van een AI-leverancier niet alleen kijkt naar prijs en functionaliteit, maar ook naar wat die leverancier jou juridisch en technisch kan aanleveren.
Deze checklist helpt je dat gestructureerd te doen.
Waarom deployers zelf verantwoordelijk zijn
Kijk, de EU AI-verordening maakt onderscheid tussen aanbieders (de partij die het systeem ontwikkelt en op de markt brengt) en deployers (de partij die het systeem in gebruik neemt). Voor hoog-risico AI-systemen — denk aan HR-tools die cv's screenen, systemen die toegang tot diensten beïnvloeden, of software die werkprestaties beoordeelt — gelden voor beide partijen eigen verplichtingen.
Als deployer moet je onder meer menselijk toezicht organiseren, zorgen dat medewerkers voldoende AI-geletterdheid hebben (Artikel 4), en voor sommige toepassingen een grondrechten-impactbeoordeling (FRIA) uitvoeren (Artikel 27). Maar om dat te kunnen doen, heb je informatie nodig die alleen de aanbieder heeft. Die informatie moet je dus actief opvragen — liefst vóórdat je tekent.
Boetes voor niet-naleving lopen op tot 15 miljoen euro of 3% van de wereldwijde omzet voor deployers die hun verplichtingen schenden. Dat staat in Artikel 99 van de verordening.
Fase 1: Documentatie die je moet opvragen
Risicoklasse en wettelijke grondslag
Vraag altijd: in welke risicoklasse valt dit systeem volgens de EU AI-verordening? Een serieuze aanbieder weet dit antwoord. Is het een hoog-risico systeem (Bijlage III), dan is een reeks extra verplichtingen van toepassing — voor zowel aanbieder als jou als deployer.
Vraag ook of het systeem een CE-markering heeft en of er een EU-conformiteitsverklaring beschikbaar is. Dat is niet optioneel voor hoog-risico systemen.
Technische documentatie
Hoog-risico aanbieders zijn verplicht technische documentatie op te stellen. Vraag concreet:
- Een beschrijving van het systeem, inclusief doel, trainingdata en beperkingen
- Informatie over de prestatiemetingen en de gebruikte testmethoden
- Beschrijving van menselijke toezichtmaatregelen die in het systeem zijn ingebouwd
- Instructies voor gebruik (de zogenoemde instructions for use — vraag of er een Nederlandstalige versie is)
Als de aanbieder zegt dat dit allemaal vertrouwelijk is en je niets kan aanleveren: rode vlag. Je hoeft de broncode niet te zien, maar basale systeeminformatie heeft iedere deployer nodig.
DPIA-input
Veel AI-systemen verwerken persoonsgegevens. Dat betekent dat je als deployer mogelijk een gegevensbeschermingseffectbeoordeling (DPIA) moet uitvoeren onder de AVG. De Autoriteit Persoonsgegevens heeft hierover duidelijke richtlijnen gepubliceerd.
Vraag bij de aanbieder:
- Welke persoonsgegevens verwerkt het systeem?
- Worden data gedeeld met derde partijen of subverwerkers?
- Is de aanbieder bereid een verwerkersovereenkomst (AVG) te tekenen?
- Heeft de aanbieder zelf een DPIA uitgevoerd, en kan je inzage krijgen in de bevindingen?
Dit is informatie die je nodig hebt voor je eigen DPIA. Een aanbieder die dit weigert te verstrekken, maakt het jou onmogelijk aan je AVG-verplichtingen te voldoen.
Incidenthistorie en updates
Vraag naar bekende fouten, biases of incidenten met het systeem. Serieuze aanbieders hebben dit gedocumenteerd. Vraag ook hoe het systeem geüpdatet wordt en of die updates de risicoklassificatie kunnen beïnvloeden.
Fase 2: Contractuele clausules
Een contract dat alleen over prijs en SLA gaat, is voor AI-systemen onvoldoende. Zorg dat je de volgende punten expliciet regelt.
Rolverdeling deployer/aanbieder
Leg in het contract vast wie welke verplichtingen draagt. Als de aanbieder beweert dat jij als deployer geen extra verplichtingen hebt omdat zij alles regelen — vraag dan om dat schriftelijk, met verwijzing naar de specifieke artikelen van de AI-verordening. Dat is namelijk zelden volledig waar.
Informatieverplichtingen
De aanbieder moet je op de hoogte stellen van wijzigingen die de risicoklasse of compliance-status beïnvloeden. Dat is een verplichting onder de verordening, maar schrijf het ook contractueel in. Zo heb je een duidelijk aanspreekpunt als het systeem verandert.
Auditrechten en toegang tot documentatie
Zorg dat je het recht hebt om documentatie op te vragen en periodieke audits te laten uitvoeren — of in ieder geval inzage te krijgen in certificaten en conformiteitsdocumentatie. Dit is niet overbodig: als de AP bij jou op de stoep staat, ben jij degene die moet aantonen dat je zorgvuldig hebt gehandeld.
Aansprakelijkheid bij AI-fouten
Wat gebeurt er als het systeem een fout maakt die schade veroorzaakt? Regel dit expliciet. Denk aan situaties waarbij een HR-tool een kandidaat onterecht afwijst, of een kredietbeoordelingssysteem een incorrect resultaat geeft. Artikel 86 van de EU AI-verordening geeft getroffen personen het recht op uitleg — jij moet die uitleg kunnen geven.
Beëindigingsclausule bij non-compliance
Neem een clausule op die je het recht geeft het contract te beëindigen als de aanbieder structureel niet voldoet aan zijn verplichtingen onder de AI-verordening. Dat klinkt vergezocht, maar naarmate handhaving aantrekt, wordt dit een reëele risicofactor.
Fase 3: Periodieke heroverweging
Een eenmalige due diligence bij aanschaf is niet voldoende. AI-systemen veranderen, de verordening wordt concreter via uitvoeringshandelingen, en jouw eigen gebruik van het systeem kan ook veranderen.
Plan minimaal één keer per jaar een heroverweging in. Check dan:
- Is de risicoklassificatie van het systeem nog actueel?
- Heeft de aanbieder updates uitgebracht die de werking of het datagebruik beïnvloeden?
- Zijn er incidenten gemeld bij de aanbieder of bij andere gebruikers?
- Klopt de verwerkersovereenkomst nog met de actuele datastromen?
- Zijn er nieuwe uitvoeringshandelingen of guidance van de Europese Commissie die van toepassing zijn?
Voor hoog-risico systemen geldt ook dat je als deployer incidenten moet registreren en bij ernstige incidenten de toezichthouder moet informeren. Dat is geen verplichting die je aan de aanbieder kunt delegeren.
Wat dit in de praktijk betekent
Eerlijk gezegd: de meeste MKB-bedrijven hebben dit gesprek met hun AI-leverancier nog nooit gevoerd. Ze hebben een SaaS-contract getekend, een tool in gebruik genomen, en aangenomen dat de leverancier wel alles heeft geregeld.
Dat werkt niet meer. De EU AI-verordening is in werking getreden, de eerste verbodsbepalingen gelden al, en voor hoog-risico systemen gelden de deployer-verplichtingen vanaf augustus 2026. Dat klinkt ver weg, maar het opbouwen van een gedocumenteerd due diligence-proces kost tijd.
Begin met het inventariseren welke AI-systemen je al gebruikt. Welke daarvan verwerken persoonsgegevens? Welke beïnvloeden beslissingen over mensen? Voor die systemen stuur je een gestructureerde informatieopvraag naar je leverancier — gebaseerd op de punten hierboven.
Leveranciers die hierop inhoudelijk kunnen reageren, zijn de moeite waard. Leveranciers die dit wegwuiven, geven je eigenlijk het antwoord dat je nodig hebt.
Wil je weten waar je nu staat? De gratis 2-minuten compliance-check op comply.khairos.ai geeft je een eerste beeld van welke verplichtingen op jouw organisatie van toepassing zijn, inclusief welke AI-systemen in scope vallen voor de EU AI-verordening.
# Hulp nodig bij compliance?
De gratis 2-minuten compliance-check laat je direct zien waar je gaten zitten. Geen e-mailadres nodig om je score te zien.
Start de gratis check →