Insights — AI Act Implementatie

AI Act implementatie voor financiële instellingen

Q: Wat is het verschil tussen aanbieder en deployer onder de AI Act?

Een aanbieder heeft het systeem ontwikkeld. Een deployer zet het in. Financiële instellingen zijn vaak deployer bij extern afgenomen systemen en aanbieder bij intern ontwikkelde systemen.

Checklist voor Compliance Leaders

Voor Compliance Leaders, Heads of Compliance en Regulatory Affairs bij financiële instellingen.

De deadline is concreter dan u denkt

Augustus 2026. Dat is wanneer de vereisten voor hoog-risico AI-systemen onder de AI Act volledig van kracht worden.

Klinkt ver. Is het niet.

Governance-structuren bouwen, systemen classificeren, controles inrichten, bewijs reproduceerbaar maken — dit kost tijd. Instellingen die in het tweede kwartaal van 2026 beginnen, halen de deadline niet.

De vraag is niet óf u moet beginnen. De vraag is waar u nu staat en wat er nog ontbreekt.

Stap 1

Inventariseer uw AI-systemen volledig

Voordat u iets kunt classificeren, moet u weten wat er bestaat.

Overzicht van alle systemen die geautomatiseerde of ondersteunde beslissingen nemen
Inclusief systemen van externe leveranciers
Inclusief intern ontwikkelde systemen
Per systeem: doel, eigenaar, gebruikende afdeling, beslissingen die het beïnvloedt
Inclusief systemen in pilot of test

Een onvolledig register is de meest voorkomende reden waarom instellingen governance-gaps hebben.

Stap 2

Classificeer elk systeem

Classificatie bepaalt welke verplichtingen van toepassing zijn.

Kredietwaardigheidsbeoordelingsystemen
Risicobeoordeling en prijsstelling bij verzekeringen
AML-analyse en transactiemonitoring
Systemen voor kritieke infrastructuur
Systemen voor personeelsbeheer (intern)

Classificatie is niet eenmalig. Bij significante systeemwijzigingen moet classificatie worden herzien.

Stap 3

Richt een risicobeheersysteem in per hoog-risico systeem

De AI Act vereist een continu risicobeheersysteem — niet een eenmalige risicobeoordeling.

Identificatie van bekende en voorzienbare risico's
Analyse bij correct gebruik én voorzienbaar misbruik
Mitigatiemaatregelen per geïdentificeerd risico
Residuele risico's geëvalueerd na mitigatie
Review-cyclus vastgesteld
Eigenaar benoemd per systeem

Het risicobeheersysteem is geen document. Het is een proces.

Stap 4

Zorg voor technische documentatie vóór ingebruikname

Voor elk hoog-risico AI-systeem moet documentatie beschikbaar zijn vóór gebruik.

Algemene beschrijving en beoogd doel
Ontwerp en architectuurbeschrijving
Trainingsdata: herkomst, scope, kwaliteitsmaatregelen
Validatie- en testresultaten
Beschrijving van menselijk toezicht
Cybersecurity-maatregelen
Voor externe systemen: documentatie van de aanbieder

Bij extern afgenomen modellen is het verkrijgen van voldoende documentatie een praktisch knelpunt.

Stap 5

Richt menselijk toezicht in

De AI Act vereist effectief menselijk toezicht — geen vinkje, maar een structurele inrichting.

Per systeem vastgelegd wie de toezichthoudende rol vervult
Criteria voor wanneer menselijke interventie vereist is
Toezichthouders beschikken over voldoende inzicht
Mogelijkheid tot overriding is geborgd
Toezichthouders zijn aantoonbaar getraind
Escalatiepad vastgelegd

"Menselijk toezicht" betekent niet dat een medewerker de output bekijkt. Het betekent dat die medewerker kan begrijpen, beoordelen, en ingrijpen.

Stap 6

Zorg voor automatische logging

Hoog-risico AI-systemen moeten automatisch events loggen.

Systeem logt activeringsperiodes
Referentiedatabases worden gelogd
Invoerdata wordt opgeslagen
Identificatie van betrokken personen wordt vastgelegd
Logs zijn niet manipuleerbaar
Retentieperiode is vastgesteld

Bij externe systemen: controleer of de aanbieder logging biedt die voldoet aan de vereisten.

Stap 7

Registreer hoog-risico systemen in de EU-database

Registratieplicht geldt voor aanbieders en deployers in bepaalde categorieën.

Bepaal per systeem of registratieplicht van toepassing is
Benodigde informatie is beschikbaar
Registratie gepland vóór ingebruikname
Wijzigingen worden tijdig doorgegeven

Stap 8

Zorg voor reproduceerbaar bewijs

Reproduceerbaar bewijs wordt gegenereerd vanuit een gedefinieerde governance-staat — niet samengesteld op basis van losse documenten.

Governance-staat is op elk moment opvraagbaar
Wijzigingen zijn gedateerd en getraceerd
Reviews zijn gedocumenteerd met datum en uitkomst
Incidenten zijn gelogd inclusief context
Bewijs is aantoonbaar niet achteraf samengesteld

Het verschil tussen "we hebben dit geregeld" en "we kunnen bewijzen dat we dit hebben geregeld" is het verschil dat toezichthouders beoordelen.

De meest gemaakte fouten

Classificatie als eenmalig project behandelen

Systemen evolueren. Classificatie moet meebewegen.

Governance bij IT neerleggen

AI-governance is een risk- en compliance-verantwoordelijkheid.

Externe leveranciers als "hun probleem" beschouwen

Als deployer bent u verantwoordelijk.

Wachten op definitieve guidance

De AI Act is van kracht. De kernvereisten staan vast.

Bewijs achteraf opbouwen

Toezichthouders beoordelen of bewijs reproduceerbaar is.

Veelgestelde vragen

Moeten wij een conformiteitsbeoordeling laten uitvoeren? +

Voor de meeste hoog-risico systemen is een interne conformiteitsbeoordeling voldoende. Een externe beoordeling door een notified body is verplicht voor een beperkte categorie systemen.

Wat is het verschil tussen aanbieder en deployer? +

Een aanbieder heeft het AI-systeem ontwikkeld. Een deployer zet het in. Financiële instellingen zijn vaak deployer bij extern afgenomen systemen en aanbieder bij intern ontwikkelde systemen.

Wat als wij niet zeker weten of een systeem hoog risico is? +

Bij twijfel: behandel het systeem als hoog risico totdat de classificatie is afgerond. Over-governance is correcter dan onder-governance bij toezicht.

Waar staat u nu?

Weten waar u staat is de eerste stap. Een gestructureerde analyse van uw toezichtblootstelling is de tweede.

Executive Session aanvragen Download Whitepaper