Verplichtingen voor deployers: praktische gids voor SaaS-teams

Deployer-verplichtingen onder de EU AI Act gelden wanneer een organisatie een AI-systeem onder haar eigen gezag gebruikt. Voor SaaS-teams gaat het dus niet alleen om de vraag of het systeem intern is gebouwd of door een leverancier is geleverd. De operationele vraag is wie het gebruik controleert, of het systeem hoog risico is, welke provider-instructies gelden, wie menselijk toezicht uitvoert en welke evidence bestaat voor logs, monitoring en incidenten.

Artikel 26 verplicht deployers van hoog-risico AI-systemen om het systeem volgens instructies te gebruiken, competent menselijk toezicht toe te wijzen, inputdata te beheren wanneer zij die controleren, de werking te monitoren, automatisch gegenereerde logs onder hun controle te bewaren en te handelen bij risico's of ernstige incidenten. Soms zijn ook werknemersinformatie, registratiechecks, DPIA-ondersteuning of een fundamental rights impact assessment nodig.

Wanneer dit speelt

Een SaaS-bedrijf kan provider zijn voor een klantfeature en deployer voor intern gebruik of een systeem van een derde partij. Denk aan supporttriage, HR, risicoscoring, fraude, financiele workflows, klachtprioritering of beslissingen die klanten of medewerkers raken.

Beoordeel dit per workflow. Een algemeen AI-document verbergt vaak verschillende rollen. Houd deployer-plichten, provider-plichten, transparantie, privacy, security, vendor risk en klantdocumentatie apart maar gekoppeld.

Operationeel record

Maak per relevante workflow een deployer-record. Leg vast: systeem, leverancier, proces, doel, gebruikers, getroffen personen, datacategorieen, geografie, launchstatus, provider-instructies en interne documentatie.

Documenteer daarna rol en classificatie. Waarom is het team deployer? Is het hoog risico? Welke AI Act-route is relevant? Welke open vragen blokkeren launch? Vertaal elke verplichting naar een controle: instructies volgen, toezicht toewijzen, inputdata beheren, logs bewaren, monitoring uitvoeren en escaleren.

Checklist

• Benoem systeem, leverancier, workflow, doel, gebruikers en getroffen personen.
• Beslis of het bedrijf deployer, provider of beide is.
• Screen op hoog risico of een andere AI Act-route.
• Vertaal provider-instructies naar SOPs, tickets, acceptatiecriteria en training.
• Wijs menselijk toezicht toe met competentie, autoriteit en ondersteuning.
• Definieer inputdatacontroles.
• Maak logs, bewaartermijn, toegang en export duidelijk.
• Monitor fouten, klachten, vendorwijzigingen, misbruik en onverwachte patronen.
• Bereid incidentroute, opschorting, providercontact en escalatie voor.
• Bewaar evidence met owner, datum, beslissing en volgende review.

Veelgemaakte fouten

De eerste fout is aannemen dat de leverancier alles afdekt. Documentatie helpt, maar de deployer controleert het echte gebruik. De tweede fout is instructies niet te vertalen naar operatie. De derde is menselijk toezicht zonder gezag. De vierde is pas bij een incident ontdekken dat logs ontbreken.

FAQ

Wat is het praktische doel?

Aantonen dat het team instructies volgt, competent toezicht inzet, inputdata controleert, logs bewaart, gebruik monitort, incidenten behandelt en het workflow opnieuw beoordeelt wanneer feiten veranderen.

Wie moet eigenaar zijn?

Product of operations bezit de workflowfeiten, engineering integratie en logs, security vendor- en monitoring-evidence, legal/compliance interpretatie en evidencestandaarden.

Bronnen

• Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence.
• European Commission AI Act Service Desk, Article 26: Obligations of deployers of high-risk AI systems.
• European Commission AI Act Service Desk, Article 27: Fundamental rights impact assessment for high-risk AI systems.
• European Commission AI Act Service Desk, Article 13: Transparency and provision of information to deployers.