Een conformiteitsbeoordeling is de procedure waarmee een provider van een hoog-risico AI-systeem aantoont dat het systeem voldoet aan de vereisten van de EU AI Act vóór het op de markt wordt gebracht of in gebruik wordt genomen. Het is het poortwachtermechanisme van de AI Act voor hoog-risico systemen: geen enkel hoog-risico AI-systeem mag legaal op de EU-markt worden gebracht of in gebruik worden genomen zonder een voltooide conformiteitsbeoordeling. De beoordeling levert een technisch documentatiepakket op, een formele conformiteitsverklaring, en — wanneer de beoordeling zelf wordt uitgevoerd — een dossier dat gedurende ten minste 10 jaar na het op de markt brengen beschikbaar moet worden gehouden.
Conformiteitsbeoordelingen dienen twee doelgroepen. Voor de markt vertegenwoordigen zij de gedocumenteerde verzekering van de provider dat het systeem is beoordeeld aan de hand van de vereisten van de AI Act en compliant is bevonden. Voor toezichthouders zijn zij de primaire bron van bewijs in elk markttoezichtonderzoek. Een beoordeling die onvolledig, onnauwkeurig of oppervlakkig is, is niet louter een documentatietekortkoming: het is een directe nalevingsfout die kan leiden tot een verbod op het op de markt brengen van het systeem, terugroepingsbevelen en aanzienlijke financiële sancties.
De AI Act voorziet in twee soorten conformiteitsbeoordeling, en welke van toepassing is, hangt af van de aard van het hoog-risico AI-systeem. Voor de meeste hoog-risico AI-systemen van Bijlage III mag de provider een zelfbeoordeling uitvoeren — een interne procedure uitgevoerd aan de hand van de vereisten van de AI Act, gebruikmakend van het eigen technische personeel en de eigen processen van de provider, zonder betrokkenheid van een aangemelde instantie. De provider geeft een conformiteitsverklaring af op basis van deze zelfbeoordeling.
Conformiteitsbeoordeling door een geaccrediteerde aangemelde instantie is verplicht voor hoog-risico AI-systemen die biometrische identificatiesystemen zijn, bepaalde AI-systemen die worden gebruikt in kritieke infrastructuur, en AI-systemen die veiligheidscomponenten zijn van producten die onderworpen zijn aan beoordeling door een derde partij op grond van bestaande EU-productveiligheidswetgeving. Wanneer een beoordeling door een derde partij vereist is, mag het systeem pas op de markt worden gebracht nadat de aangemelde instantie een positief beoordelingscertificaat heeft afgegeven.
Zelfs wanneer zelfbeoordeling is toegestaan, is zij niet eenvoudig. Het zelfbeoordelingsproces vereist gedetailleerde technische documentatie over het ontwerp, de architectuur, de trainingsdata, de prestatiemetrieken, de testresultaten en het risicobeheersdossier van het systeem — alles beoordeeld aan de hand van de normen en vereisten die zijn gespecificeerd in de AI Act en, geleidelijk, in geharmoniseerde technische normen die worden ontwikkeld onder de AI Act. Providers die niet beschikken over de interne technische capaciteit om een rigoureuze zelfbeoordeling uit te voeren, dienen externe technische adviseurs in te schakelen om het proces te ondersteunen.
De conformiteitsbeoordeling evalueert het hoog-risico AI-systeem aan de hand van de vereisten van Hoofdstuk III, Afdeling 2 van de AI Act. Deze vereisten omvatten: risicobeheer (een continu proces dat risico's gedurende de gehele levenscyclus van het systeem identificeert en beperkt); gegevens en gegevensbeheer (trainings-, validatie- en testdatasets die voldoen aan kwaliteitscriteria voor relevantie, representativiteit en vrijheid van fouten); technische documentatie (uitgebreide documentatie van het systeem die de autoriteiten in staat stelt de naleving te beoordelen); registratie (logfunctionaliteit die post-inzettraceerbaarheid mogelijk maakt); transparantie naar deployers (gebruiksaanwijzingen die mogelijkheden, beperkingen en prestatiemetrieken documenteren); menselijk toezicht (ontwerpkenmerken die menselijke controle en prioritering van systeemoutput mogelijk maken); nauwkeurigheid, robuustheid en cyberveiligheid (prestaties voldoen aan gespecificeerde metrieken en het systeem is bestand tegen manipulatie); en kwaliteitsbeheer (een organisatorisch kwaliteitsbeheersysteem dat de volledige ontwikkelingslevenscyclus dekt).
Voor elk van deze vereisten dient de beoordeling gedocumenteerd bewijs te produceren dat het systeem aan de norm voldoet. Waar geharmoniseerde normen bestaan, creërt naleving van die normen een vermoeden van conformiteit. Bij gebrek aan gepubliceerde geharmoniseerde normen — wat de situatie is voor de meeste vereisten in 2024 en 2025, aangezien de normen nog worden ontwikkeld — moeten providers de vereisten van de AI Act rechtstreeks interpreteren, een meer veeleisende oefening die baat heeft bij juridische en technische adviesinput.
Na een geslaagde conformiteitsbeoordeling dient de provider het hoog-risico AI-systeem te registreren in de EU AI-database die wordt beheerd door de Europese Commissie. Registratie creërt een openbaar dossier van het bestaan van het systeem, de provider, het beoogde doel en de nalevingsstatus. CE-markering dient te worden aangebracht op het systeem (of de bijbehorende documentatie) als aanduiding van naleving van de AI Act en eventuele andere toepasselijke EU-wetgeving.
De registratieverplichting geldt vóór het systeem op de markt wordt gebracht of in gebruik wordt genomen. Het is geen retrospectieve administratieve stap: een systeem dat wordt ingezet en vervolgens wordt geregistreerd, is een systeem dat niet-compliant was op het moment van inzet.
Nee. Beoordeling door een aangemelde instantie is verplicht voor biometrische identificatiesystemen en bepaalde andere categorieën. Voor de meerderheid van de hoog-risico AI-systemen van Bijlage III is zelfbeoordeling toegestaan, maar ze vereist rigoureuze technische documentatie en dient te worden uitgevoerd aan de hand van de volledige vereisten van Hoofdstuk III Afdeling 2. Zelfbeoordeling betekent geen oppervlakkige beoordeling: het betekent het toepassen van dezelfde inhoudelijke normen als bij beoordeling door een derde partij, waarbij de provider zelf de bewijslast draagt voor het aantonen van naleving.
De tijdlijn hangt af van de complexiteit van het systeem en de documentatiematuriteit van de provider. Voor een relatief eenvoudig Bijlage III-systeem met goede bestaande technische documentatie kan een zelfbeoordeling worden voltooid in 2 tot 3 maanden. Voor een complex biometrisch of veiligheidskritisch systeem dat beoordeling door een derde partij vereist, zijn tijdlijnen van 6 tot 12 maanden of meer realistisch, met name terwijl de capaciteit van aangemelde instanties wordt opgebouwd. Providers die de conformiteitsbeoordeling uitstellen tot vlak voor de deadline van augustus 2026, lopen het risico het proces niet tijdig te kunnen afronden.
De beoordeling dient te worden bijgewerkt wanneer het AI-systeem ingrijpend wordt gewijzigd — een wijziging die de naleving van de vereisten van de AI Act of het risicoprofiel van het systeem beïnvloedt. De definitie van ingrijpende wijziging in de AI Act is ruim genoeg om significante wijzigingen in trainingsdata, algoritmen, beoogd gebruik of prestatiekenmerken te omvatten. Providers dienen beoordelingsreviewtriggers in te bouwen in hun productontwikkelings- en wijzigingsbeheerprocessen.
Het op de markt brengen van een hoog-risico AI-systeem zonder voltooide conformiteitsbeoordeling, zonder registratie in de EU AI-database of zonder CE-markering is een directe schending van artikel 16 van de AI Act. Markttoezichtautoriteiten kunnen het op de markt brengen van het systeem verbieden, terugroeping vereisen en boetes opleggen van maximaal €15 miljoen of 3% van de jaarlijkse mondiale omzet. Wanneer het systeem persoonsgegevens heeft verwerkt, kunnen gelijktijdige GDPR-schendingen ook leiden tot optreden door de bevoegde gegevensbeschermingsautoriteit.
%402x.svg){kind=small}
%402x.svg){kind=icon}
%402x.svg){kind=icon}
