Laten we beginnen met de meest onderschatte stap in AI Act compliance: de conformiteitsbeoordeling. Veel Nederlandse organisaties die AI-systemen bouwen of inzetten zijn bezig met interne bewustwordingsprojecten, risicobeleid schrijven en stakeholders informeren. Maar de formele vraag — voldoet dit systeem daadwerkelijk aan alle vereisten van de EU AI Act voordat het op de markt wordt gebracht — wordt te vaak uitgesteld.
Dat uitstel is riskant. De conformiteitsbeoordeling is geen eenmalige toets die je op het laatste moment inruilt. Het is een aaneenschakeling van processen die parallel aan de ontwikkeling van het systeem moeten lopen.
De conformiteitsbeoordeling is de procedure die is vastgelegd in de artikelen 16 en 43 van de EU AI Act. Via deze procedure toont de aanbieder — de organisatie die een hoog-risico AI-systeem ontwikkelt of in substantieel gewijzigde vorm op de markt brengt — aan dat het systeem voldoet aan alle vereisten uit hoofdstuk III, afdeling 2.
Het resultaat is een technisch dossier. Dat dossier vormt de basis voor de EU-conformiteitsverklaring. Pas daarna mag het CE-merk worden aangebracht.
Vergelijk het met de keuringsplicht voor medische hulpmiddelen of machines. De AI Act heeft dat stelsel overgenomen en aangepast aan de specifieke kenmerken van AI: databeheer, menselijk toezicht, uitlegbaarheid en post-markttoezicht.
Alleen aanbieders van hoog-risico AI-systemen in de zin van artikel 6 en bijlage III moeten een conformiteitsbeoordeling uitvoeren. Bijlage III omvat acht categorieën, waaronder systemen die worden ingezet voor:
In de Nederlandse praktijk raken deze categorieën aan een breed scala van publieke en private organisaties: UWV, gemeenten die AI gebruiken voor uitkeringsbeslissingen, banken met creditscoremodellen, uitzendbureaus met geautomatiseerde cv-screening en ziekenhuizen met diagnostische AI.
De EU AI Act kent twee conformiteitsroutes.
(bijlage VI) is van toepassing op de meeste hoog-risico AI-systemen. De aanbieder voert de beoordeling zelf uit, zonder betrokkenheid van een externe partij. Dat klinkt eenvoudiger dan het is. Interne controle vereist volledige technische documentatie (bijlage IV), een werkend kwaliteitsmanagementsysteem (artikel 17), een doorlopend risicobeheersysteem (artikel 9), gevalideerde datasets (artikel 10), een plan voor post-marktmonitoring (artikel 72) en registratie in de EU-database vóór markplaatsing.
Sluit je aan bij duizenden professionals die AI-vaardigheden leren met interactieve cursussen.
Betrokkenheid van een aangemelde instantie is verplicht voor een beperkt aantal systemen: met name biometrische systemen voor real-time identificatie op afstand in de openbare ruimte (bijlage III, punt 1(a)) en bepaalde systemen voor individuele beslissingen over toegang tot essentiële diensten. Voor die systemen moet een door een lidstaat aangewezen keuringsinstantie worden ingeschakeld.
Voor de meeste zakelijke AI-toepassingen geldt: interne controle is de route, maar die route is veeleisend.
Stap 1 — Classificeer het systeem. Loop bijlage III na aan de hand van het gedocumenteerde beoogde gebruik. Let op: het gaat niet om wat een systeem technisch kan, maar om waarvoor het wordt ingezet. Een LLM geïntegreerd in een sollicitatieproces valt doorgaans onder punt 4 van bijlage III.
Stap 2 — Stel een kwaliteitsmanagementsysteem in. Artikel 17 vereist een gedocumenteerd KMS dat het volledige ontwikkelproces bestrijkt: ontwerp, ontwikkeling, testen en post-marktmonitoring. In de praktijk betekent dit: schriftelijke procedures, versiebeheer, aangewezen verantwoordelijken en interne reviewcycli.
Stap 3 — Stel het technisch dossier samen. Bijlage IV somt de vereiste onderdelen op. Dit omvat een algemene beschrijving van het systeem, ontwerpspecificaties, beschrijving van de trainingsmethode en dataset, risicobeheerdossiers, testresultaten, logmechanismen, cyberbeveiligingsmaatregelen en de EU-conformiteitsverklaring. Het dossier moet actueel worden gehouden gedurende de hele levenscyclus van het systeem.
Stap 4 — Voer het risicobeheersysteem uit. Artikel 9 vereist een doorlopend risicobeheersysteem. Geen eenmalige checklist, maar een aantoonbaar proces van identificeren, schatten, beoordelen en beheersen van risico's — gedocumenteerd en in versie bijgehouden.
Stap 5 — Valideer de data en modelprestaties. Artikel 10 stelt specifieke kwaliteitseisen aan trainings-, validatie- en testsets: relevant, representatief, vrij van fouten en toereikend voor het beoogde gebruik. Leg uw data governance praktijken schriftelijk vast.
Stap 6 — Voer de conformiteitsbeoordeling uit. Bij interne controle: beoordeel alle documentatie, bevestig dat het systeem aan elk toepasselijk vereiste voldoet en teken de EU-conformiteitsverklaring (artikel 47).
Stap 7 — Registreer in de EU-database. Vóór markplaatsing moeten hoog-risico AI-systemen worden geregistreerd in de EU AI Act-database die wordt beheerd door het AI Office. Registratie is verplicht, niet optioneel.
Stap 8 — Breng het CE-merk aan. Na ondertekening van de conformiteitsverklaring en registratie mag het CE-merk worden aangebracht (artikel 48). Zonder dit merk is legale markttoegang in de EU niet mogelijk.
De meest voorkomende fout is de conformiteitsbeoordeling behandelen als een documentatieproject aan het einde van het ontwikkeltraject. Het risicobeheersysteem, de datavalidatie en het KMS kunnen niet worden teruggeschreven naar een al afgerond systeem. Ze moeten worden ingebouwd tijdens de ontwikkeling.
Een tweede valkuil is onderschatting van bijlage IV. Organisaties die laat beginnen met het technisch dossier, komen er vaak achter dat cruciale informatie over databronnen, modelkeuzes en testmethodologie nooit aantoonbaar is vastgelegd.
Ten derde: de verplichtingen houden niet op bij markplaatsing. Post-marktmonitoring onder artikel 72 vereist actieve opvolging van systeemprestaties in de praktijk, meldingen van ernstige incidenten en regelmatige updates van het technisch dossier. De Rijksinspectie Digitale Infrastructuur en sectorale toezichthouders zullen dit meenemen in hun toezicht.
Veel Nederlandse organisaties bevinden zich in een tussenfase: ze hebben de hoog-risico classificatie herkend, maar de operationele vertaalslag naar conformiteitsprocessen is nog niet gemaakt. De deadline van augustus 2026 voor hoog-risico AI-systemen lijkt voor sommige teams nog ver weg. Dat is een misrekening.
Een conformiteitsbeoordeling die goed is uitgevoerd vraagt om maanden werk aan technische documentatie, risicoanalyse en datavalidatie. Organisaties die nu beginnen, zijn op schema. Organisaties die wachten tot Q1 2026, riskeren hetzij tijdsdruk die de kwaliteit van de documentatie ondermijnt, hetzij een vertraagde markplaatsing.
De eerste stap is niet het schrijven van een conformiteitsdossier. De eerste stap is een heldere classificatie: welke systemen in uw organisatie vallen onder bijlage III? Vanuit die lijst kan de prioritering worden bepaald en een realistisch tijdpad worden opgesteld.
De EU AI Act maakt van compliance een doorlopend proces, niet een eenmalig keurmerk. Organisaties die dat nu internaliseren, bouwen een structurele capaciteit op in plaats van een eenmalige exercise.