De conformiteitsbeoordeling is een van de meest onderschatte onderdelen van de AI Act. Veel aanbieders weten dat hun systeem hoog-risico is, maar denken dat naleving zich beperkt tot interne documentatie. In werkelijkheid is de conformiteitsbeoordeling de poort tot de EU-markt: zonder geldige procedure, ondertekende EU-conformiteitsverklaring en CE-markering mag het systeem niet in de handel worden gebracht of in gebruik worden gesteld. Deze gids legt uit welke routes er zijn, welke documenten u nodig heeft en hoe u tot CE-markering komt.
Wat is een conformiteitsbeoordeling onder de AI Act?
De conformiteitsbeoordeling is de procedure waarmee een aanbieder aantoont dat een hoog-risico AI-systeem voldoet aan de eisen uit hoofdstuk III, afdeling 2 van de AI Act (artikelen 8 tot en met 15). Het gaat dan om risicobeheer, datagovernance, technische documentatie, transparantie, menselijk toezicht, robuustheid, nauwkeurigheid en cyberveiligheid.
De beoordeling is een verplicht onderdeel van de markttoegang. Zonder afgeronde conformiteitsbeoordeling kan een aanbieder geen EU-conformiteitsverklaring opstellen en mag het systeem niet voorzien worden van CE-markering. Een ongemarkeerd hoog-risico systeem op de EU-markt brengen is een overtreding uit de zwaarste boetecategorie.
Twee routes: interne controle versus notified body
De AI Act kent twee procedurele routes. De keuze is niet aan u, maar volgt uit de aard van het systeem en de toepasselijke bijlage.
Route 1: Interne controle (Bijlage VI, vergelijkbaar met Module A)
Bij interne controle voert u de beoordeling zelf uit. U beschikt over een kwaliteitsmanagementsysteem (artikel 17), u stelt het technisch dossier (artikel 11) op, u verifieert dat het systeem voldoet aan alle relevante eisen, en u tekent vervolgens de EU-conformiteitsverklaring. Een externe auditor komt er niet aan te pas. Documentatie moet wel beschikbaar zijn voor toezichthouders gedurende ten minste tien jaar na het in de handel brengen.
Route 2: Notified body (Bijlage VII, vergelijkbaar met Module H)
Bij deze route wordt uw kwaliteitsmanagementsysteem en uw technisch dossier beoordeeld door een aangewezen notified body. De notified body geeft een certificaat af dat onderdeel wordt van uw conformiteitsverklaring. De notified body voert ook periodieke surveillance uit en kan onaangekondigde audits doen.
Interne controle volstaat voor de meeste Bijlage III-systemen
Voor het overgrote deel van de Bijlage III-systemen volstaat interne controle. Denk aan AI-systemen voor:
- Selectie en beoordeling in werkgelegenheid (recruitment, performance-management)
- Toegang tot onderwijs en beoordeling van leerresultaten
- Kredietwaardigheidsbeoordeling van natuurlijke personen
- Risicobeoordeling en prijsstelling van levens- en zorgverzekeringen
- Toegang tot essentiele particuliere of openbare diensten
- Bepaalde toepassingen in rechtshandhaving, migratie en justitie
Dit betekent niet dat de lat lager ligt. U moet het hele kwaliteitsmanagementsysteem en het technisch dossier op orde hebben. U heeft alleen geen externe goedkeuring nodig voorafgaand aan markttoegang. Wel kunt u door een toezichthouder achteraf gecontroleerd worden, en moet u dan exact dezelfde kwaliteit van dossier kunnen tonen als bij een notified body-route.
Tip voor MKB-aanbieders: ook al kunt u de route zelf doen, een vrijwillige second opinion door een externe expert voorafgaand aan markttoegang scheelt veel risico bij latere handhaving. Zeker als uw systeem op meerdere lidstaten gericht is.
Notified body verplicht voor biometrie en specifieke producten
Een notified body is verplicht in twee situaties.
Biometrische identificatie op afstand
Voor AI-systemen voor biometrische identificatie op afstand uit Bijlage III, categorie 1, is een notified body verplicht. Dit geldt ook voor biometrische categoriseringssystemen en emotieherkenning, voor zover die niet onder het verbod van artikel 5 vallen.
AI als veiligheidscomponent van Bijlage I-producten
Voor AI-systemen die onderdeel zijn van producten die al onder bestaande EU-productwetgeving vallen (Bijlage I), zoals medische apparatuur, machines, speelgoed, liften, persoonlijke beschermingsmiddelen of vliegtuigen, sluit de AI Act aan bij de bestaande sectorale procedures. Vrijwel al die procedures vereisen al een notified body, en de AI-component wordt daarbinnen meegenomen.
Welke documenten heeft u nodig?
Onafhankelijk van de route die u kiest, draait conformiteitsbeoordeling om een vast pakket documenten. De kern bestaat uit:
- Technisch dossier (artikel 11, Bijlage IV): beschrijving van het systeem, doel, architectuur, dataspecificaties, trainings- en validatiemethode, prestatiemetingen, risicobeheer, menselijk toezicht en cyberbeveiliging.
- Risicobeheersysteem (artikel 9): doorlopend proces dat risico's identificeert, evalueert, beperkt en monitort gedurende de gehele levenscyclus.
- Kwaliteitsmanagementsysteem (artikel 17): processen voor ontwerp, ontwikkeling, datakwaliteit, post-market monitoring, klachtenafhandeling en correctieve maatregelen.
- Instructies voor gebruik (artikel 13): gericht aan de deployer, met informatie over capaciteiten, beperkingen, gebruiksvoorwaarden en menselijk toezicht.
- Logging-capaciteit (artikel 12): aantoonbaar ingebouwde logs gedurende de levenscyclus van het systeem.
- EU-conformiteitsverklaring (artikel 47): uw formele juridische verklaring van naleving.
EU-conformiteitsverklaring (artikel 47): inhoud en taal
De EU-conformiteitsverklaring is een schriftelijk document dat u als aanbieder ondertekent. Bijlage V van de AI Act schrijft de inhoud voor:
- Naam en handelsmerk van het AI-systeem en eventuele aanvullende identificatie
- Naam en adres van de aanbieder en eventueel de gemachtigde vertegenwoordiger
- Verklaring dat de aanbieder uitsluitend verantwoordelijk is voor de afgifte
- Verklaring dat het systeem voldoet aan de relevante eisen van de AI Act en eventueel andere harmonisatiewetgeving
- Verwijzingen naar de geharmoniseerde normen en gemeenschappelijke specificaties die zijn toegepast
- Indien van toepassing: naam en nummer van de notified body en het afgegeven certificaat
- Plaats en datum van afgifte, naam en functie van de ondertekenaar en zijn handtekening
De verklaring is opgesteld in een door de relevante lidstaten geaccepteerde EU-taal. Voor de Nederlandse markt is dat Nederlands of Engels, met de praktische voorkeur voor Nederlands richting toezichthouders.
CE-markering: regels voor aanbrengen, ook digitaal
Na afgifte van de conformiteitsverklaring brengt u de CE-markering aan. Voor pure software is fysieke markering vaak niet mogelijk, dus de AI Act laat digitale CE-markering uitdrukkelijk toe. Drie regels:
- Zichtbaar, leesbaar en onuitwisbaar: de markering moet duidelijk vindbaar zijn voor deployers en toezichthouders.
- Bij notified body-route: nummer toevoegen: direct na het CE-logo komt het identificatienummer van de notified body.
- Bij digitale levering: CE-markering verschijnt in de instellingen, in een About-scherm of in de begeleidende documentatie. Verwijzing in alleen een PDF is onvoldoende.
Aanvullende declaratie bij wijzigingen
Een hoog-risico AI-systeem leeft. Modellen worden bijgewerkt, data wordt heroverwogen, nieuwe functies worden toegevoegd. De AI Act onderscheidt routinematige wijzigingen van substantiele wijzigingen. Een substantiele wijziging triggert een nieuwe conformiteitsbeoordeling.
Voorbeelden van substantiele wijzigingen:
- Toepassen van het systeem voor een nieuw bedoeld doel dat niet in de oorspronkelijke documentatie staat
- Wijziging in de architectuur of de trainingsdata waardoor prestatie of risicoprofiel significant verandert
- Toevoegen van functionaliteit die buiten de oorspronkelijke risicoanalyse valt
Voorbeelden die geen substantiele wijziging vormen, mits vooraf voorzien in de risicobeheercyclus: beveiligingspatches, kleine modelverfijning binnen de geteste bandbreedte, prestatiemonitoring en correctieve maatregelen.
Registratie in de EU-databank (artikel 49)
Voor het in de handel brengen registreert de aanbieder het hoog-risico systeem in de openbare EU-databank. Voor sommige Bijlage III-categorieen (rechtshandhaving, migratie) is de registratie niet-openbaar. Deployers die overheidsinstanties zijn, registreren bovendien hun eigen gebruik van het systeem. De registratie omvat onder andere de naam van de aanbieder, beschrijving van het systeem, het bedoelde doel, status van naleving en de instructies voor gebruik.
Stappenplan: van idee tot CE-markering in 9 stappen
- Classificeer uw systeem: bepaal aan de hand van artikel 6 en Bijlage III of u inderdaad hoog-risico bent.
- Kies de juiste route: interne controle of notified body, op basis van de toepassing en eventueel onderliggende sectorale wetgeving.
- Richt uw kwaliteitsmanagementsysteem in: overweeg ISO 42001 als basis (zie ISO 42001).
- Stel het technisch dossier op: volg de structuur van Bijlage IV punt voor punt.
- Implementeer risicobeheer en datagovernance: documenteer beslissingen over datakeuzes, bias-mitigatie en testresultaten.
- Bouw logging en menselijk toezicht in: aantoonbaar in het ontwerp, niet pas in deployment.
- Voer de conformiteitsbeoordeling uit: intern of via notified body.
- Stel de EU-conformiteitsverklaring op en breng CE-markering aan.
- Registreer het systeem in de EU-databank en start post-market monitoring.
De meest voorkomende fouten in 2025 en 2026: technisch dossier dat alleen het model beschrijft maar niet het hele systeem, onvolledige risicoanalyse waarbij doelgroepen en use cases ontbreken, ontbrekend kwaliteitsmanagementsysteem (men gaat ervan uit dat ISO 27001 volstaat, maar dat dekt het AI-specifieke deel niet), instructies voor gebruik die alleen op de gemiddelde gebruiker zijn geschreven en niet op de professionele deployer, en geen plan voor substantiele wijzigingen waardoor elke update een juridisch risico wordt.
Geharmoniseerde normen: het vermoeden van overeenstemming
De AI Act werkt met het beproefde principe van het vermoeden van overeenstemming. Past een aanbieder geharmoniseerde normen toe waarvan de referentie in het Publicatieblad van de EU is gepubliceerd, dan wordt vermoed dat het systeem voldoet aan de overeenkomstige eisen van de wet. Dat verlicht de bewijslast aanzienlijk, omdat u bij toezicht kunt verwijzen naar erkende normatieve documenten in plaats van uw eigen redenering opnieuw op te bouwen.
Voor de AI Act zijn meerdere normen in ontwikkeling onder mandaat van de Europese Commissie, onder regie van CEN en CENELEC via Joint Technical Committee 21. ISO/IEC 42001 (AI-managementsystemen) is een belangrijke aanvulling, evenals normen op het gebied van risicobeheer, datakwaliteit, robuustheid en transparantie. Verwacht in 2026 en 2027 een gestaag groeiend pakket. Voor aanbieders betekent dit: bouw uw kwaliteitsmanagementsysteem vanaf de start zo in dat normen later toegepast en gerefereerd kunnen worden zonder een complete herziening.
Post-market monitoring en meldplicht
Conformiteitsbeoordeling is geen eenmalige actie. Na markttoegang gelden de verplichtingen uit hoofdstuk IX van de AI Act: post-market monitoring (artikel 72), meldplicht voor ernstige incidenten (artikel 73) en correctieve maatregelen.
Wat u als aanbieder concreet inricht:
- Een gedocumenteerd plan voor post-market monitoring, gericht op de specifieke risico's die in de risicoanalyse zijn vastgesteld.
- Procedures om signalen van deployers, eindgebruikers en betrokkenen te capteren en op te volgen.
- Een proces om ernstige incidenten binnen de wettelijke termijn (in principe vijftien dagen, korter bij wijdverspreide schendingen) te melden bij de bevoegde nationale toezichthouder.
- Continue feedback in uw risicobeheer- en kwaliteitsmanagementsysteem zodra patronen zichtbaar worden.
Toezichthouders kijken nadrukkelijk naar deze cyclus: een sluitende conformiteitsbeoordeling vooraf, gecombineerd met aantoonbare post-market discipline, is wat een naleving-dossier "in control" maakt.
Klaar voor uw conformiteitsbeoordeling?
De gratis ActCheck-scan geeft u in 10 minuten inzicht in de classificatie van uw systeem en welke route, documenten en stappen voor u relevant zijn.
Start de gratis check