Deployer (Gebruiker): Verplichtingen onder de AI Act
De deployer is de partij die een AI-systeem onder eigen verantwoordelijkheid in gebruik neemt. Als gebruiker van AI heb je eigen verplichtingen onder de AI Act.
Definitie: Wie is Deployer?
Volgens Artikel 3(4) is een deployer (gebruiker) een natuurlijke of rechtspersoon die:
- Een AI-systeem onder eigen verantwoordelijkheid gebruikt
- Anders dan voor puur persoonlijke, niet-professionele doeleinden
Beslisregel
Als je als organisatie een AI-systeem inzet voor je bedrijfsvoering, dienstverlening of besluitvorming, dan ben je deployer en heb je verplichtingen onder de AI Act.
Praktijkvoorbeeld
Een verzekeringsmaatschappij koopt een AI-systeem voor schade-beoordeling. De softwareleverancier is provider. De verzekeraar die het systeem inzet voor klantbeslissingen is deployer en moet voldoen aan deployer-verplichtingen.
Kernverplichtingen Deployer
Voor alle AI-systemen
- Gebruik het systeem volgens de instructies van de provider
- Informeer personen waar nodig over AI-gebruik
Specifiek voor hoog-risico AI (Art. 26)
| Verplichting | Omschrijving |
|---|---|
| Gebruiksinstructies volgen | Gebruik systeem zoals bedoeld door provider |
| Menselijk toezicht | Wijs competente personen aan voor oversight |
| Input data kwaliteit | Zorg dat input relevant en representatief is |
| Monitoring | Monitor werking en meld incidenten |
| Logging bewaren | Bewaar automatisch gegenereerde logs |
| DPIA uitvoeren | Data Protection Impact Assessment (waar vereist) |
| Informeren | Informeer betrokkenen over AI-gebruik |
Menselijk Toezicht (Art. 26.2)
Verplichting
Deployers moeten zorgen dat personen die toezicht houden op hoog-risico AI:
- Competent en getraind zijn
- De capaciteiten en beperkingen van het systeem begrijpen
- Automation bias kunnen herkennen en voorkomen
- Output correct interpreteren kunnen
Template: Toezicht Documentatie
## Menselijk Toezicht AI-Systeem [NAAM]
### Aangewezen toezichthouders
| Naam | Functie | Training | Backup |
|------|---------|----------|--------|
| [NAAM] | [FUNCTIE] | [DATUM] | [NAAM] |
### Training programma
- Initiële training: [DATUM/INHOUD]
- Bijscholing: [FREQUENTIE]
- Documentatie: [LOCATIE]
### Escalatieprocedure
1. Bij twijfel over output: [ACTIE]
2. Bij systeemfout: [ACTIE]
3. Bij incident: [ACTIE]
Input Data Verplichting (Art. 26.4)
Wat betekent dit?
Je bent verantwoordelijk voor de kwaliteit van de data die je in het AI-systeem invoert:
- Relevante data voor het doel
- Representatieve data (geen bias introduceren)
- Actuele data waar nodig
Praktijkvoorbeeld
Een bank gebruikt een AI-systeem voor kredietscoring. Als de bank alleen historische klantdata invoert van één demografische groep, kan dit leiden tot discriminerende output. De bank (als deployer) is verantwoordelijk voor representatieve input.
Monitoring en Incidenten (Art. 26.5)
Monitoring
- Monitor de werking van het AI-systeem
- Let op risico's voor gezondheid, veiligheid en grondrechten
- Signaleer afwijkingen of problemen
Incidentmelding
Bij incidenten of storingen:
- Informeer de provider over het incident
- Stop gebruik bij ernstige risico's
- Documenteer wat er is gebeurd
- Meld aan autoriteiten indien nodig
Template: Incident Rapport Deployer
## Incident Rapport AI-Systeem
Datum: [DATUM]
Systeem: [NAAM/VERSIE]
Provider: [BEDRIJF]
### Beschrijving incident
[Wat is er gebeurd]
### Gedetecteerd door
[Hoe/door wie ontdekt]
### Genomen actie
[Wat is er gedaan]
### Communicatie
- Provider geïnformeerd: [JA/NEE, DATUM]
- Autoriteit geïnformeerd: [JA/NEE, DATUM]
### Status
[Opgelost/In behandeling/Escalatie]
Logging Bewaren (Art. 26.6)
Verplichting
Bewaar de automatisch gegenereerde logs van het AI-systeem:
- Minimaal 6 maanden (tenzij andere wetgeving anders voorschrijft)
- Beschikbaar voor autoriteiten op verzoek
- Beveiligd opgeslagen
Informatieplicht (Art. 26.7-11)
Naar betrokkenen
Personen die onderworpen zijn aan beslissingen van hoog-risico AI moeten worden geïnformeerd. Specifiek:
- Werkgevers moeten werknemersvertegenwoordigers informeren
- Werkgevers moeten individuele werknemers informeren
Template: Werknemersinformatie
## Informatie over AI-gebruik [BEDRIJF]
### AI-systemen in gebruik
| Systeem | Doel | Impact op medewerkers |
|---------|------|----------------------|
| [NAAM] | [DOEL] | [HOE HET JE RAAKT] |
### Jouw rechten
- Je wordt geïnformeerd bij gebruik van AI dat jou raakt
- Je kunt vragen om uitleg over AI-beslissingen
- Je kunt menselijke herbeoordeling aanvragen
### Contact
Bij vragen over AI-gebruik: [CONTACTPERSOON]
Wanneer Word je Provider?
Let op: je kunt als deployer provider worden als je:
- Het systeem onder eigen naam op de markt brengt
- Het systeem significant wijzigt
- Het systeem voor een ander doel gaat gebruiken dan waarvoor het bedoeld was
Beslisregel
Als je een AI-systeem wezenlijk aanpast of voor een niet-bedoeld doel gebruikt, dan neem je mogelijk provider-verplichtingen over.
Checklist Deployer Compliance
Basis
- Gebruiksinstructies van provider gelezen en begrepen
- Systeem gebruikt voor bedoeld doel
- Betrokkenen geïnformeerd over AI-gebruik
Hoog-risico AI (extra)
- Menselijk toezicht georganiseerd en getraind
- Input data kwaliteit gewaarborgd
- Monitoring proces actief
- Logging bewaarbeleid geïmplementeerd
- DPIA uitgevoerd (waar vereist)
- OR/werknemers geïnformeerd (werkgever)
- Incidentprocedure beschikbaar
- Contact met provider onderhouden
Bronnen
Changelog:
- 12 januari 2026 - Eerste publicatie