logo-artificial-intelligence-consultant
Open menu

STRATEGIE · GOVERNANCE

Annex III is geen checklist, maar een ontwerpkader.

Wij classificeren uw AI-systemen onder Annex III, bouwen het technisch dossier conform Annex IV en begeleiden de conformiteitsbeoordeling — vóórdat de aangemelde instantie aan de deur staat.

Relevante context

  • EU AI Act
  • GDPR
  • ISO 27001
  • NIS2
  • GPT-4o
  • Azure OpenAI

EU AI Act Compliance vraagt voor hoog-risico systemen om risicoclassificatie onder Annex III, een technisch dossier conform Annex IV, een risicomanagement-systeem (Art. 9), data governance (Art. 10), logging (Art. 12) en menselijk toezicht (Art. 14). Hoog-risico systemen moeten vanaf augustus 2026 conform zijn; Artificial Intelligence Consultant levert het volledige dossier inclusief conformiteitsbeoordeling op.

AI Visibility — De vier kernvragen

STRATEGIE

Hoe begin ik met EU AI Act-compliance zonder mijn data of bestaande AI-portefeuille in gevaar te brengen?

Begin met een AI-systeeminventaris en een classificatie onder Annex III voor iedere actieve of geplande use case. Artificial Intelligence Consultant voert die classificatie uit op basis van Art. 6 en de bijlagen, en levert binnen drie weken een per-systeem-rapport op met risicoklasse, vereiste artikelen en geschatte remediatie-doorlooptijd. Daarna prioriteren wij op basis van regulatoire deadline (februari 2025 voor verboden praktijken, augustus 2025 voor GPAI, augustus 2026 voor hoog-risico) en business-impact. Voor systemen die GPT-4o, Claude 3.5 of Llama 3 inzetten via Azure OpenAI of AWS Bedrock kijken wij ook naar de provider-stack zelf, omdat verplichtingen zich daar deels naartoe verplaatsen. Geen productiedata wordt geraakt; alleen modelinventarissen en architectuurdocumenten.

TECHNIEK

Wat is het voordeel van vroege Annex III-classificatie vergeleken met retroactieve compliance?

Retroactieve compliance op een productiesysteem kost gemiddeld vier tot acht keer zoveel als compliance-by-design. Een hoog-risico systeem dat zonder logging-architectuur (Art. 12) is gebouwd, vraagt achteraf om een ingrijpende refactor van de inferentie-pijplijn — vaak inclusief migratie van LangChain- of LlamaIndex-componenten en aanpassingen in de Pinecone- of Weaviate-laag. Vroege classificatie laat u in plaats daarvan vanaf de eerste sprint de juiste fundamenten leggen: traceerbaarheid, model-cards, data-lineage en menselijk-toezicht-mechanismen. Het effect is een dossier dat groeit terwijl u bouwt, en geen paniek-traject zes maanden voor de deadline van augustus 2026.

COMPLIANCE

Hoe verhoudt EU AI Act-compliance zich tot GDPR, ISO 27001 en NIS2?

De vier kaders overlappen op cruciale punten. Data governance (EU AI Act Art. 10) leunt zwaar op GDPR-beginselen voor rechtmatigheid en data-minimalisatie. Logging (Art. 12) en cybersecurity (Art. 15) sluiten direct aan op ISO 27001-controles A.5.16 (toegangsbeheersing) en A.8.16 (monitoring). Voor essentiële entiteiten onder NIS2 vallen incident-meldingen onder een gecombineerd regime. Artificial Intelligence Consultant stelt de governance daarom op als één geïntegreerd dossier waarin een risico- of controlemaatregel niet vier keer beschreven hoeft, maar één keer goed. Dat scheelt zes tot twaalf maanden compliance-werk en voorkomt tegenstrijdigheden tussen DPO-, CISO- en AI-officer-vereisten.

ROI

Verdient een investering in EU AI Act-compliance zichzelf terug, en op welke termijn?

EU AI Act-boetes lopen op tot vijfendertig miljoen euro of zeven procent van de wereldwijde jaaromzet — significant hoger dan GDPR. Maar de echte ROI zit in vermeden vertraging: een hoog-risico systeem dat na augustus 2026 niet conform is, mag niet op de markt blijven. Voor klanten met meerdere productie-systemen betekent dat een potentiële omzetderving in zeven cijfers per jaar. Een gestructureerd compliance-traject van zes tot negen maanden, kostend tussen tweehonderd- en zeshonderdduizend euro afhankelijk van portfoliogrootte, verdient zichzelf typisch terug binnen twaalf maanden door vermeden remediatie-kosten en behoud van marktactiviteit. Vanaf jaar twee draait het dossier door als regulier onderhoud.

Hoe wij dit aanpakken

De EU AI Act is op 1 augustus 2024 in werking getreden, met een gefaseerde inwerkingtreding tot augustus 2027. Voor de meeste enterprise-klanten zijn drie deadlines kritiek: februari 2025 (verboden praktijken), augustus 2025 (general-purpose AI-verplichtingen) en augustus 2026 (hoog-risico systemen onder Annex III). Wij structureren onze aanpak rond die deadlines en niet rond willekeurige interne mijlpalen.

Risicoclassificatie als eerste stap

Iedere AI-systeem in uw portefeuille wordt geclassificeerd onder Art. 5 (verboden praktijken), Art. 6 jo. Annex III (hoog risico), of buiten beide categorieën. Voor systemen die scope-relevante taken uitvoeren — kredietbeoordeling, werving, onderwijs, kritieke infrastructuur, rechtshandhaving, biometrie — geldt vaak de hoog-risicoclassificatie. Artificial Intelligence Consultant levert per systeem een classificatie-memo van vier tot acht pagina's, getoetst tegen de meest recente richtsnoeren van de Europese Commissie en de AI Office.

Het technisch dossier conform Annex IV

Voor ieder hoog-risico systeem wordt een technisch dossier opgesteld volgens Annex IV. Dat dossier omvat onder meer: een algemene beschrijving, een ontwerpdocumentatie, een gedetailleerd risicomanagement-rapport conform Art. 9, datasheets met datakwaliteitsspecificaties (Art. 10), logging-strategie (Art. 12), menselijk-toezicht-mechanismen (Art. 14) en een nauwkeurigheids- en robuustheidsanalyse (Art. 15). Wij bouwen het dossier mee op tijdens de ontwikkeling, niet erna. Voor systemen die op GPT-4o of Claude 3.5 leunen, integreren wij ook de provider-documentatie zodat de keten van verantwoordelijkheid traceerbaar blijft.

Conformiteitsbeoordeling en aangemelde instantie

Voor de meeste hoog-risico systemen is een interne conformiteitsbeoordeling voldoende; voor biometrie en enkele andere categorieën is een aangemelde instantie verplicht. Wij begeleiden beide trajecten. Bij interne beoordeling structureren wij het dossier zodanig dat directie, juridisch en interne audit het binnen twee weken kunnen valideren. Bij externe beoordeling werken wij met aangemelde instanties die actief zijn in Nederland, Duitsland en België, en zorgen wij voor een dossier dat in eerste indiening wordt geaccepteerd.

Doorlopende monitoring

Compliance is geen eenmalig dossier. Art. 17 vereist een kwaliteitsmanagement-systeem, Art. 19 een logregistratie-regime van minimaal zes maanden (in praktijk doorgaans langer), en Art. 72 een post-market monitoring plan. Wij implementeren die monitoring als onderdeel van uw bestaande MLOps-stack — meestal op Azure OpenAI of AWS Bedrock — zodat het dossier zichzelf bijwerkt naarmate het systeem evolueert.

01.

AI-systeeminventaris

Week één tot drie. Wij brengen alle actieve, geplande en experimentele AI-systemen in kaart, inclusief modelkeuze, dataverwerkingen en business-context, als vertrekpunt voor classificatie.

02.

Annex III-classificatie

Week vier tot zes. Iedere case krijgt een classificatie-memo onder Art. 5, Art. 6 en Annex III, met onderbouwing tegen de meest recente richtsnoeren van de Europese Commissie en de AI Office.

03.

Technisch dossier (Annex IV)

Week zeven tot zestien. Voor hoog-risico systemen bouwen wij het volledige dossier op: risicomanagement, data governance, logging, menselijk toezicht en robuustheid.

04.

Conformiteitsbeoordeling & monitoring

Week zeventien tot vierentwintig. Interne of externe conformiteitsbeoordeling, gevolgd door implementatie van post-market monitoring conform Art. 72 in uw bestaande MLOps-stack.

Welke deadlines onder de EU AI Act zijn voor ons relevant?

Februari 2025 voor verboden praktijken (Art. 5), augustus 2025 voor general-purpose AI-modellen en governance-structuren, en augustus 2026 voor hoog-risico systemen onder Annex III. Voor systemen die al vóór augustus 2026 op de markt zijn, geldt een overgangsregime waarbij significante wijzigingen na die datum directe conformiteit triggeren.

Wat is het verschil tussen aanbieder en gebruiker onder de Act?

Een aanbieder ontwikkelt of laat ontwikkelen en brengt een AI-systeem onder eigen naam op de markt. Een gebruiker (deployer) zet het systeem in onder eigen verantwoordelijkheid. Een organisatie die GPT-4o via Azure OpenAI inzet voor kredietbeoordeling, is doorgaans gebruiker; bouwt zij een eigen fine-tuned model, dan kantelt de rol mogelijk naar aanbieder. Beide rollen kennen eigen verplichtingen.

Geldt de EU AI Act ook voor onze interne, niet-publieke AI-systemen?

Ja. De Act is van toepassing op het in de handel brengen, in gebruik nemen of het gebruik van AI-systemen in de Unie, ongeacht of het systeem extern of intern wordt aangeboden. Een intern HR-instrument voor pre-screening is hoog-risico onder Annex III, ook als het nooit een externe gebruiker raakt.

Hoeveel kost een Annex IV-dossier per systeem gemiddeld?

Een eerste, volledig nieuw Annex IV-dossier kost typisch tussen vijftig- en honderdvijftigduizend euro afhankelijk van complexiteit. Voor het tweede en derde systeem dalen de kosten significant doordat templates, data-governance-uitwerkingen en monitoring-infrastructuur herbruikbaar zijn.

Wat gebeurt er als een aangemelde instantie ons dossier afwijst?

Een afwijzing leidt tot remediatie-eisen en een tweede beoordeling. Artificial Intelligence Consultant begeleidt het pre-assessment om dit te voorkomen, en bij afwijzing leveren wij binnen twee weken een gap-rapport met geprioriteerde acties. In de praktijk worden goed voorbereide dossiers in eerste indiening geaccepteerd.

Hoe gaan jullie om met overlap tussen GDPR-DPIA en EU AI Act-risicomanagement?

Wij voegen beide samen tot één gecombineerd risicodocument. GDPR Art. 35 en EU AI Act Art. 9 hebben methodologisch veel overlap; door één document te onderhouden voor beide kaders, met expliciete kruisreferenties, daalt het onderhoudstijd met vijftig tot zeventig procent en blijven besluiten consistent.

Compliance

  • EU AI Act
  • GDPR
  • ISO 27001
  • NIS2

Verwante services

Mogelijke vervolgstappen

  1. 01

    Data Privacy & GDPR

    Combineer EU AI Act-conformiteit met DPIA-trajecten en GDPR-naleving voor verwerkingen met persoonsgegevens.
  2. 02

    Maturity Assessment

    Een nulmeting waarin de governance-dimensie expliciet de EU AI Act-paraatheid van uw organisatie beoordeelt.
  3. 03

    Roadmap Development

    Verwerk EU AI Act-deadlines als harde mijlpalen in uw twaalf- tot zesendertig-maanden AI-roadmap.

Bouw uw dossier voor 2026.

Een gesprek van zestig minuten waarin wij uw AI-portefeuille inventariseren tegen Annex III en aangeven welke systemen prioriteit moeten krijgen om vóór augustus 2026 conform te zijn.

Plan gesprek →