In 2026 is accountability voor hoogrisico-AI geen vrijwillige kwaliteitseis meer. Vijf wettelijke ankers vormen samen het kader, plus twee belangrijke ontwikkelingen rondom aansprakelijkheid.
Artikelen 16-22 EU AI Act, provider-verplichtingen: wie een hoogrisico-AI-systeem ontwikkelt en in eigen naam op de markt brengt of in gebruik neemt, draagt de zwaarste last:
- Een kwaliteitsmanagementsysteem (Art. 17) dat alle processen rond compliance, kwaliteitscontrole en post-market monitoring formaliseert.
- Technische documentatie volgens Annex IV (Art. 11), continu actueel gehouden.
- Automatische logging (Art. 12), ingebouwd in het systeem zelf; geen handmatige export achteraf.
- Conformiteitsbeoordeling vóór marktintroductie (Art. 43).
- CE-markering (het Europese keurmerk dat aantoont dat het systeem de wettelijke procedure heeft doorlopen, Art. 48).
- Registratie in de EU-database voor hoogrisico-AI (Art. 49).
- Een gedocumenteerd post-market monitoring-plan onder Art. 72.
Artikel 25 EU AI Act, dynamische rolwisseling: dit is het artikel waar veel organisaties zich op verkijken. Een deployer wordt zelf provider zodra hij het systeem substantieel modificeert, het beoogde doel verandert of standaard-guardrails uitschakelt. In de praktijk van 2026 vallen het aanpassen van systeem-prompts, het fine-tunen van een taalmodel op eigen data en het uitschakelen van standaard veiligheidsfilters vaak onder deze definitie. Gevolg: de provider-verplichtingen worden van toepassing, ook met terugwerkende kracht.
Artikelen 26-27 EU AI Act, deployer-verplichtingen: de gebruikende organisatie moet het systeem inzetten conform de instructies, menselijk toezicht aanwijzen, prestaties monitoren, logs minimaal zes maanden bewaren (Art. 26 lid 6), werknemers informeren vóór inzet, en — bij overheidsorganisaties en bepaalde private partijen — een FRIA uitvoeren vóór ingebruikname (Art. 27). De FRIA-deadline blijft 2 augustus 2026, ongewijzigd door het Digital Omnibus-akkoord.
Artikel 73 EU AI Act, incident-melding: bij een ernstig incident (overlijden, ernstige gezondheidsschade, verstoring kritieke infrastructuur, ernstige inbreuk op grondrechten) meldt de provider aan de nationale markttoezichthouder. De termijnen zijn scherp en wijken af van wat veel commentaren noemen; let hier op:
- 15 dagen voor de standaard ernstig-incident-melding.
- 2 dagen bij een wijdverbreide inbreuk of een Art. 3(49)(b)-incident (verstoring van kritieke infrastructuur).
- 10 dagen, gerekend vanaf het vaststellen of vermoeden van causaal verband, bij overlijden.
Een veelgemaakte misconceptie is dat overlijden binnen 2 dagen gemeld moet worden; de wet zegt 10 dagen, omdat de termijn pas begint bij vastgesteld of vermoed causaal verband. De deployer informeert de provider onmiddellijk.
Artikelen 85-86 EU AI Act, klachtrecht en recht op uitleg: betrokkenen kunnen een klacht indienen bij de markttoezichthouder (in Nederland: de Autoriteit Persoonsgegevens als coördinerend gezag), aanvullend op AVG Art. 77. Bij een hoogrisico-besluit met rechtsgevolgen heeft de betrokkene recht op een meningsvolle uitleg (Art. 86), aanvullend op AVG Art. 22 + Art. 15 lid 1 onder h. Het arrest van het Hof van Justitie van de EU (CJEU) in Dun & Bradstreet (C-203/22, februari 2025) maakte concreet wat “meningsvol” betekent; het Gerechtshof Amsterdam paste dit op 14 april 2026 toe (ECLI:NL:GHAMS:2026:961) met een dwangsom van € 4.000,- per dag bij niet-naleving.
Digital Omnibus-akkoord (7 mei 2026), deadline-verschuiving: een voorlopig politiek akkoord tussen de Raad van de Europese Unie (de lidstaten, vertegenwoordigd door hun vakministers) en het Europees Parlement, nog formeel te bekrachtigen. Het verschuift:
- Bijlage III hoogrisico-systemen (zelfstandig inzetbaar, zoals werving, krediet, justitie, onderwijs): van 2 augustus 2026 naar 2 december 2027.
- Bijlage I-systemen (AI als veiligheidscomponent in producten onder bestaande EU-veiligheidswetgeving): van 2 augustus 2027 naar 2 augustus 2028.
- Art. 50 transparantie (chatbot-labeling, watermerken, synthetische content): vervroegd naar 2 december 2026.
- FRIA Art. 27: ongewijzigd 2 augustus 2026.
De inhoudelijke eisen blijven gelijk. Voor lopende compliance-trajecten levert het meer voorbereidingstijd, geen lagere lat.
Productaansprakelijkheid en de AI Liability Directive: hier veranderde het landschap fundamenteel in 2025. De Product Liability Directive 2024/2853 (PLD) is gepubliceerd op 18 november 2024, omzettingstermijn 9 december 2026. AI-software, inclusief cloud- en SaaS-toepassingen, valt expliciet onder het productbegrip. De PLD introduceert drie mechanismen die de positie van benadeelden versterken: een informatieplicht (de rechter kan een aanbieder verplichten technische documentatie of logs vrij te geven), een presumptie van defect (bij weigering documentatie te verstrekken of bij ondoorzichtige complexiteit mag de rechter aannemen dat het systeem gebrekkig was), en een presumptie van causaal verband (als gebrek is vastgesteld en schade typisch gevolg is). De AI Liability Directive die hierop een aanvulling zou zijn, is op 11 februari 2025 door de Commissie ingetrokken; de officiële publicatie van die intrekking volgde in oktober 2025. Het ontstane aansprakelijkheidsvacuüm wordt opgevuld door de PLD plus nationaal civielrecht; in Nederland via art. 6:162 BW (onrechtmatige daad) en art. 6:77 BW (gebrekkige hulpzaken).
Het komt neer op vijf praktische dingen. Voor de meeste organisaties laat deze stapel zich samenvatten als:
- Weet per AI-systeem wie provider is en wie deployer, en wat de overgangspunten onder Art. 25 zijn.
- Leg vast wie eigenaar is van model, data, prompts en guardrails, met bevoegdheid om de inzet te pauzeren.
- Bewaar logs en wijzigingsgeschiedenis volgens de Art. 12 / 18 / 19 / 26-termijnen.
- Oefen de incident-meldroute vóór het eerste incident, niet erna.
- Bouw klachtkanaal en uitleg-template in vóór livegang, niet na het eerste verzoek.
De Acht valkuilen, Drie cases en Tooling-secties hieronder werken deze punten uit met concrete valkuilen, voorbeelden en gereedschappen; niet één-op-één per punt, maar verweven.