In 2026 is non-discriminatie voor hoogrisico-AI geen vrijwillige kwaliteitseis meer. Vier wettelijke ankers vormen samen het kader, plus een belangrijk deadline-bericht.
Artikel 10 EU AI Act, datakwaliteit en bias-mitigatie: vereist voor hoogrisico-AI dat trainings-, validatie- en testdatasets relevant en voldoende representatief zijn voor het beoogde doel, en (waar mogelijk) vrij van fouten en compleet. Concrete operationalisering via de concept-standaarden prEN 18284 (Dataset Quality and Governance) en prEN 18283 (Bias Management), beide onder CEN/CENELEC JTC 21 (het gezamenlijke Europese AI-normalisatie-comité van CEN, dat algemene product- en dienst-normen vaststelt, en CENELEC, dat de elektrotechnische normen doet), met verwachte publicatie eind 2026. Beide leveren het kader waarin auditors in 2026 al werken.
Artikel 10 lid 5 EU AI Act, debiasing exception: doorbreekt de patstelling tussen Art. 10 (dataset-representativiteit per cohort vereist soms toegang tot gevoelige kenmerken) en AVG Art. 9 (verwerking bijzondere persoonsgegevens verboden). Onder vijf cumulatieve voorwaarden mag een aanbieder gevoelige kenmerken verwerken voor bias-detectie en -correctie:
- Geen alternatief: anonieme of synthetische data volstaat niet.
- Technische beveiliging: privacy-maatregelen waaronder pseudonimisering zijn ingebouwd.
- Toegangsbeheersing: toegang is strikt gecontroleerd en gedocumenteerd.
- Geen doorgifte: data wordt niet doorgegeven aan derden.
- Tijdige verwijdering: data wordt gewist zodra de bias is gecorrigeerd of de bewaartermijn verloopt.
Art. 10 lid 5 fungeert juridisch als specifieke Unierechtelijke grondslag onder AVG Art. 9 lid 2 sub g.
Artikel 27 EU AI Act, Fundamental Rights Impact Assessment: verplicht voor overheidsorganen en bepaalde private partijen (publieke dienst, krediet, levensverzekering) vóór ingebruikname van een hoogrisico-AI-systeem. Brengt in kaart welke grondrechten (non-discriminatie, privacy, rechtsbescherming, vrijheid van meningsuiting) geraakt worden, welke mitigaties zijn ingebouwd en welke restrisico’s blijven. Een geoefende FRIA is geen eenmalige check: moet bij wezenlijke wijzigingen (nieuwe dataset, ander model, andere doelgroep) worden herzien en blijft onderdeel van het beheersdossier.
AVG Art. 22 + Art. 15(1)(h) en CJEU Dun & Bradstreet (C-203/22, februari 2025): recht om niet onderworpen te worden aan louter geautomatiseerde besluitvorming met rechtsgevolgen, plus recht op meningsvolle uitleg over de logica achter de verwerking. Het CJEU-arrest van 27 februari 2025 maakte concreet wat “meningsvol” betekent: de verwerkingsverantwoordelijke moet in begrijpelijke taal beschrijven welke procedure en beginselen zijn toegepast, welke gegevens zijn gebruikt en hoe een wijziging in die gegevens tot een ander resultaat had geleid. Bedrijfsgeheim is geen automatische uitzondering: het hof weegt het belang van uitleg tegen het belang van geheimhouding. Het Gerechtshof Amsterdam citeerde dit arrest op 14 april 2026 (ECLI:NL:GHAMS:2026:961) als interpretatieve standaard in een AVG-inzagezaak tegen X (voorheen Twitter): de gebruiker kreeg recht op (nagenoeg) volledige inzage in de interne logs over contentmoderatie en accountveiligheid, met een dwangsom van € 4.000,- per dag zonder maximum.
Digital Omnibus-akkoord (7 mei 2026), deadline-verschuiving: een voorlopig politiek akkoord tussen de Raad van de EU (de lidstaten, vertegenwoordigd door hun vakministers) en het Europees Parlement; nog te bekrachtigen via formele stemming in beide instellingen. Het verschuift de handhaving van Bijlage III hoogrisico-systemen (de limitatieve lijst stand-alone toepassingsgebieden zoals werving, krediet, justitie en migratie) van 2 augustus 2026 naar 2 december 2027 (+16 maanden); Bijlage I-systemen (AI als veiligheidscomponent in producten die al onder bestaande EU-veiligheidswetgeving vallen, zoals medische apparaten, voertuigen, machines en speelgoed) naar 2 augustus 2028. De inhoudelijke eisen veranderen niet, alleen het tijdpad. Voor lopende compliance-trajecten: meer voorbereidingstijd, geen lagere lat.
Het komt neer op vijf praktische dingen:
- Identificeer per AI-toepassing welke beschermde groepen geraakt worden en welke proxy-variabelen (formeel-neutrale variabelen die via correlatie een beschermd kenmerk reconstrueren, zoals postcode voor herkomst of schoolopleiding voor leeftijd) in de kenmerken-set (de invoervariabelen die het model gebruikt) zitten. Dit is het ankerpunt voor alles wat volgt (uitgewerkt in Acht valkuilen, punt 1).
- Voer een FRIA uit en herzie hem bij wezenlijke wijzigingen. De FRIA hoort bij Client Blueprint (BB_02: ontwerp vertrekt vanuit de waarde-stroom van de klant): per processtap is helder welke beslissing welke groepen raakt en wie eigenaar is.
- Meet per-cohort prestaties continu in de Evaluation Loop (BB_07: meten, leren en verbeteren in een gesloten cyclus). Per cohort betekent: hoe presteert het AI-systeem afzonderlijk voor elke subgroep (vrouwen versus mannen, jongeren versus ouderen, mensen met of zonder migratie-achtergrond)? Dat is productie-monitoring, geen audit-momentopname (uitgewerkt in Tooling).
- Weeg elke fairness-meting in een normatief en juridisch oordeel. Een fairness-cijfer dat een drempel overschrijdt is een aanleiding, geen vaststelling. Een jurist en een domein-expert beoordelen samen of er sprake is van discriminatie: passen de gemeten verschillen binnen de wettelijke maatstaf (Awgb, AVG, AI Act), is het verschil proportioneel gegeven de beslissing, en versterkt het systeem bestaande ongelijkheid in plaats van die te corrigeren? De uitkomst van die weging wordt schriftelijk vastgelegd als bewijsstuk voor toezicht. Metrics zijn signaal, geen bewijs.
- Geef elke nadelig beschikte persoon een uitleg. Procedure, beginselen en gebruikte gegevens; landt onder Transparency (GR_04: uitlegbaarheid van besluit en systeem).