Deployer-verplichtingen checklist voor founders en compliance leads

Deployer-verplichtingen onder de EU AI Act moeten worden gecontroleerd voordat een team een hoog-risico AI-systeem in gebruik neemt, het gebruik wijzigt, het uitbreidt naar een nieuwe klant- of medewerkerworkflow, of op de output vertrouwt voor een belangrijke beslissing. De praktische checklist is helder: bevestig de rol, gebruik het systeem volgens providerinstructies, wijs competent menselijk toezicht toe, controleer inputdata waar het team die data controleert, monitor live gebruik, bewaar logs, beheer kennisgevingen en impact-assessmenttriggers, en leg vast wanneer gebruik moet worden gepauzeerd of geescaleerd.

Voor SaaS-teams is dit een operationele workflow, geen los juridisch memo. Het raakt productconfiguratie, implementatie, vendor management, support, training, security logging, privacy review en incident response. Een founder of compliance lead moet in een record kunnen zien welk systeem wordt gebruikt, waarom het bedrijf deployer is, welke instructies gelden, wie toezicht houdt, welk bewijs bestaat en wat een herbeoordeling veroorzaakt.

Gebruik deze checklist naast AI-governanceverwachtingen voor SaaS-vendors. De andere gerelateerde onderwerpen zijn nog niet in het Nederlands gelokaliseerd.

1. Bevestig systeem en use case

Noem het exacte AI-systeem en de workflow. Leg provider, product, versie of configuratie, doel, business owner, gebruikers, betrokken personen, inputdata, output, beslismoment en gebruikscontext vast. Noteer of het om klanten, medewerkers, sollicitanten, contractors of interne operations gaat.

Leg vast of het systeem hoog-risico, transparantieplichtig, minimaal risico of nog ongeclassificeerd is. Als classificatie openstaat, is de checklist niet compleet. Het record moet eigenaar, open vragen, gevraagde providerdocumenten en beslisdatum tonen.

2. Bepaal of het bedrijf deployer is

Een deployer gebruikt een AI-systeem onder de autoriteit van de organisatie, behalve bij persoonlijk niet-professioneel gebruik. SaaS-bedrijven kunnen deployer zijn wanneer ze derdepartij-AI gebruiken in support, hiring, trust and safety, fraud review, customer scoring, content moderation of interne processen.

Documenteer wie het systeem koos, wie operationeel gebruik bepaalt, wie toegang, drempels, prompts, regels of escalaties beheert, wie gebruikers traint en wie beslist of output wordt geaccepteerd, beoordeeld, overrulled of genegeerd.

3. Borg providerinstructies

Artikel 26 vraagt technische en organisatorische maatregelen zodat hoog-risico systemen volgens instructies worden gebruikt. Bewaar actuele instructies, release notes, grenzen, ondersteunde en verboden gebruiken, monitoringverwachtingen, human-oversightinstructies en escalatieroutes.

Maak ze vindbaar voor product, security, legal, support en operations. Noteer versie en reviewdatum. Als support of implementatie eigen handleidingen gebruikt, stem die af met de officiele instructies voordat het systeem live gaat.

4. Wijs menselijk toezicht toe

Menselijk toezicht is niet klaar met een teamnaam in een policy. Artikel 26 vraagt natuurlijke personen met competentie, training, autoriteit en ondersteuning. Het record moet rollen of namen, training, beslisrechten en interventiepunten bevatten.

Vraag per workflow of de reviewer de output begrijpt, genoeg context ziet, kan overrulen, pauzeren, escaleren of weigeren, en weet wanneer het systeem buiten goedgekeurd gebruik valt.

5. Controleer input, monitoring en logs

Waar de deployer inputdata controleert, moeten die data relevant en voldoende representatief zijn voor het beoogde doel. Denk aan klantdata, HR-data, tickets, documenten, prompts, labels, CRM-velden, transacties of configuraties. Leg kwaliteitschecks, uitgesloten data, verouderde data, bias- of representativiteitsrisico's en remediation owner vast.

Deployers moeten werking monitoren op basis van instructies. Signalen kunnen supporttickets, klachten, overridepercentages, sampling, incidenten, drift, vendormeldingen, misbruik of herhaalde handmatige correcties zijn.

Automatisch gegenereerde logs onder controle van de deployer moeten passend en minstens zes maanden worden bewaard, tenzij ander recht geldt. Leg vast welke logs bestaan, wie ze controleert, retentie, toegang, securitybeperkingen, privacy review, export en incidentretrieval.

6. Kennisgevingen, impact en escalatie

Voor gebruik van een hoog-risico AI-systeem op de werkplek moeten werkgever-deployers waar toepasselijk werknemersvertegenwoordigers en getroffen werknemers informeren. Afhankelijk van het systeem en artikel 50 kunnen ook kennisgevingen nodig zijn aan personen die aan AI-interacties of AI-ondersteunde beslissingen worden onderworpen.

Artikel 27 kan voor bepaalde deployers een fundamental-rights impact assessment vereisen. Artikel 26 wijst ook op gebruik van providerinformatie voor DPIA-verplichtingen onder GDPR waar dat geldt. Documenteer beslissing, feiten, eigenaar en herbeoordelingstriggers.

Als gebruik volgens instructies een risico kan opleveren, moet de route provider of distributeur, markttoezichtautoriteit en opschorting omvatten. Voor ernstige incidenten moet de route provider, importeur of distributeur, autoriteit, legal, security, privacy en klantcommunicatie noemen.

7. Evidence pack en herbeoordeling

Organiseer bewijs rond beslissingen: rolanalyse, classificatie, instructies, goedgekeurd gebruik, toezicht, training, inputcontroles, monitoring, logretentie, kennisgevingen, impactbeslissing, vendorcontacten, incidentroute en herbeoordelingstriggers.

Heropen de checklist wanneer instructies, versie, workflow, klantsegment, inputdata, automatisering, menselijke review, klachten, logs, incidenten of officiele guidance veranderen.

FAQ

Wat is het praktische doel?

Aantonen dat het team providerinstructies volgt, competent toezicht toewijst, gebruik monitort, relevante input controleert, logs bewaart, kennisgevingen beheert en risico's escaleert.

Wanneer geldt dit voor SaaS-teams?

Wanneer het team een AI-systeem onder eigen autoriteit gebruikt in een bedrijfsproces, vooral bij hoog-risico gebruik of workflows rond klanten, medewerkers, sollicitanten, fraude, veiligheid of operations.

Wat documenteer je eerst?

Een record per AI-workflow: rol, classificatie, instructies, goedgekeurd gebruik, toezicht, monitoring, logs, kennisgevingen, impactbeslissing, incidentroute en herbeoordelingstriggers.

Bronnen

• Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence.
• European Commission AI Act Service Desk, Article 26.
• European Commission AI Act Service Desk, Article 27.
• European Commission AI Act Service Desk, Article 50.
• European Commission AI Act Service Desk, Article 4.