Lifecycle stage — Govern
De EU AI Act is nu handhaafbaar en de boetes zijn niet symbolisch. Het inzetten van een verboden AI-systeem levert boetes op tot €35 miljoen of 7% van de wereldwijde jaaromzet, welke hoger is. Non-compliance op hoog-risicosystemen loopt op tot €15 miljoen of 3% van de omzet. De wettekst telt 144 artikelen en 13 bijlagen, en elke onderneming waar ik mee spreek heeft één van drie dingen onderschat — welke van hun systemen daadwerkelijk onder de scope vallen, hoeveel technische documentatie Bijlage IV werkelijk vereist, of hoe lang de conformiteitsbeoordeling duurt wanneer de aangemelde instantie zijn eerste lijst met verduidelijkingen stuurt. Dit is de GOVERN-fase van de DEPLOY Method toegepast op de meest ingrijpende AI-regelgeving van ons decennium. Ik dien als AI-ambassadeur van de Franse overheid voor Financiën en Digitale Transformatie van Bedrijven, wat betekent dat ik de afgelopen jaren aan de beleidskant van precies deze regelgeving heb gezeten — niet de samenvattingen lezend, maar de tekst, met de mensen die hem hebben geschreven. Dat is het perspectief dat deze samenwerking naar uw compliance-programma brengt.
U weet niet welke van uw systemen onder de scope vallen. De AI Act definieert verboden systemen, hoog-risicosystemen, beperkt-risicosystemen en minimaal-risicosystemen, en de classificatie hangt af van de use case — niet van de technologie. Een aanbevelingsmodel in marketing is waarschijnlijk beperkt-risico; dezelfde modelklasse gebruikt voor credit scoring is hoog-risico. Een biometrisch classificatiesysteem gebruikt in de retail kan ronduit verboden zijn. De meeste organisaties hebben geen geschreven inventaris van hun AI-systemen gekoppeld aan de risicoklassen van de AI Act, wat betekent dat elke handhavingsvraag begint met discovery-werk dat al gedaan had moeten zijn.
Uw tijdlijn voor de conformiteitsbeoordeling klopt niet. Teams scopen het als een audit — een paar weken papierwerk. In de praktijk is een Titel III-conformiteitsbeoordeling voor een hoog-risicosysteem een maandenlang traject met een aangemelde instantie, een volledig risicomanagementsysteem, datagovernance-documentatie, technische documentatie volgens Bijlage IV, post-market monitoring-plannen, human oversight-ontwerp en remediatie van elk gat dat tijdens de review wordt blootgelegd. De eerste formele indiening is zelden de laatste. Teams die op acht weken plannen, zitten acht maanden later nog te onderhandelen over remediaties.
De Bijlage IV-technische documentatie is oprecht moeilijker dan het lijkt. Het vereist een algemene beschrijving van het systeem, gedetailleerd ontwerp, trainingsmethodologie, datagovernance, evaluatiemetrieken, bekende beperkingen, risicomanagementmaatregelen, human oversight-maatregelen, nauwkeurigheidsspecificaties en het wijzigingslogboek. De meeste interne engineering-documentatie overleeft het contact met Bijlage IV niet — het beantwoordt andere vragen, op een ander rigoreusheidsniveau, voor een ander publiek. Herschrijven naar de Bijlage IV-standaard is geen opmaakoefening. Het is een engineering-documentatie-oefening die uw team niet eerder heeft gedaan.
Post-market monitoring is vrijwel altijd het gat. De Act vereist een geschreven post-market monitoring-plan, actieve monitoring in productie en rapportage van ernstige incidenten binnen strakke deadlines. De meeste organisaties hebben reactieve incident response, geen proactief AI-specifiek monitoring-programma. Het eerste ernstige incident nadat handhaving begint legt de afwezigheid bloot, en de regulatoire respons is structureel onverbiddelijk tegen organisaties die hier niet voor gepland hebben. Post-market monitoring is het verschil tussen een compliant programma en een programma op papier.
De scope van de samenwerking hangt af van de omvang van uw AI-footprint en het aantal hoog-risicosystemen in scope. Twaalf weken dekt één hoog-risicosysteem; vierentwintig weken dekt een portfolio van drie tot vijf systemen met gedeelde governance-infrastructuur. Ik werk embedded met uw juridische-, compliance- en engineering-teams — uw teams doen het werk, ik breng de regulatoire lezing en de patroonherkenning vanuit de beleidskant.
We bouwen een geschreven inventaris van elk AI-systeem in uw organisatie — productie, pilot, prototype — waarbij elk systeem wordt geclassificeerd tegen de risicocategorieën van de AI Act. Verboden, hoog-risico volgens Bijlage III, beperkt-risico met transparantieverplichtingen, of minimaal-risico. De classificatie wordt gedocumenteerd met de onderbouwing en de artikelverwijzingen. Systemen die zonder classificatie zijn uitgerold krijgen een retroactieve review. Tegen het einde van week vier heeft u het enkele document waarnaar elke volgende compliance-beslissing verwijst.
Voor elk hoog-risicosysteem bouwen we de compliance-artefacten parallel: het risicomanagementsysteem, de datagovernance-documentatie, de Bijlage IV-technische documentatie, het human oversight-ontwerp, de nauwkeurigheids- en robuustheidsspecificaties. Dit is de zwaarste fase en waar de meeste programma's de inspanning onderschatten. Ik werk met uw engineering-teams om interne documentatie naar de Bijlage IV-standaard te herschrijven, niet om het uit het niets uit te vinden. Voor systemen die een aangemelde instantie vereisen, bereiden we het indieningspakket voor en het response-playbook voor de verduidelijkingen die zullen volgen.
We zetten het post-market monitoring-programma op — het geschreven plan, de actieve monitoring in productie, de incidentclassificatiecriteria, de rapportage-workflows met de tijdlijn-compliance die de regelgeving vereist. De monitoring integreert met de observability-stack die u al heeft, uitgebreid om de AI-specifieke signalen op te vangen die ertoe doen: nauwkeurigheidsdrift, demografische prestatiedrift, monitoring op ongewenste effecten, gebruikersschade-signalen. Incident response-runbooks worden geschreven om aan te sluiten op de notificatiedeadlines van de regelgeving, niet geraden wanneer het eerste incident zich voordoet.
We bouwen de governance-infrastructuur voor de lange termijn — het charter van het AI-governancecomité, het intakeproces voor nieuwe AI-systemen, de terugkerende review-cyclus, het trainingsprogramma voor medewerkers die werken met hoog-risicosystemen, de vendor management-aanpak voor derde-partij AI-componenten. Het programma moet zonder mij kunnen draaien zodra de samenwerking eindigt. Ik lever de playbooks, de templates en het decision log zodat uw volgende hoog-risicosysteem via een herhaalbaar proces loopt in plaats van het discovery-werk uit week één te herhalen.
Enterprises die actief zijn in of richting de EU met hoog-risico AI-systemen zoals gedefinieerd door Bijlage III — credit scoring, werkgelegenheid, onderwijs, essentiële diensten, wetshandhaving, migratie, rechtsbedeling en de andere categorieën die de regelgeving specifiek noemt. Organisaties met een AI-footprint die groot genoeg is dat classificatie alleen al een discovery-oefening van meerdere weken is. Publieke-sector kopers en deployers die naast de regulator ook onder toezicht staan van hun eigen oversight-organen. Dit is niet voor organisaties wier AI-gebruik volledig buiten de scope van Bijlage III valt — een beperkt-risico transparantieverplichting is een veel kleinere samenwerking dan een volledige conformiteitsbeoordeling. Het is ook geen vervanging voor extern juridisch advies over regulatoire strategie; ik engineer het compliance-programma, en uw general counsel of extern kantoor regelt de juridische positionering.
Uw advocatenkantoor vertelt u wat de regelgeving vereist; ik bouw het programma dat het implementeert. Die zijn complementair, niet concurrerend. De meeste organisaties merken dat het juridisch advies duidelijk is en de implementatiekloof enorm — het advocatenkantoor kan uw Bijlage IV-technische documentatie niet schrijven, uw human oversight-controls niet ontwerpen of uw post-market monitoring-pipeline niet opzetten. Dat is engineering en programmamanagement, wat deze samenwerking levert. Ik werk naast extern juridisch advies; zij zijn eigenaar van de juridische strategie, ik ben eigenaar van het operationele programma.
De gefaseerde handhavingstijdlijn is gelegiteerd. Verboden zijn sinds februari 2025 handhaafbaar, general-purpose AI-regels sinds augustus 2025, en de hoog-risicoverplichtingen landen in augustus 2026 met de overige bepalingen in 2027. Specifieke richtlijnen van aangemelde instanties en het Europese AI Office blijven evolueren, wat de details beïnvloedt van hoe conformiteit wordt aangetoond — niet of het vereist is. Elk programma dat op de hoog-risicodeadline van 2026 is gescoped moet nu in implementatie zijn, niet in planning, omdat de conformiteitsbeoordeling-tijdlijnen zelf in maanden lopen zodra een aangemelde instantie erbij is betrokken.
Documenteer de classificatie-onderbouwing op het moment dat de beslissing wordt genomen, gefundeerd in de artikelverwijzingen, en wees voorbereid om het te verdedigen. Een verdedigbare beperkt-risicoclassificatie met een geschreven onderbouwing is een veel sterkere positie dan een systeem dat informeel of helemaal niet is geclassificeerd. Waar de classificatie oprecht ambigu is, classificeren we conservatief — de kosten van het voorbereiden van een hoog-risicosysteem dat beperkt-risico blijkt zijn klein; de kosten van het uitrollen van een beperkt-risico-classificatie op een systeem dat hoog-risico is zijn de boetes die in de subtitel genoemd worden. Ik maak die trade-off expliciet in het inventarisdocument, niet verstopt in een spreadsheet.
Als de output van uw AI-systeem in de EU wordt gebruikt, ja — de regelgeving is op u van toepassing als provider of deployer, ongeacht waar u bent opgericht. Dit vangt de meeste Amerikaanse SaaS-bedrijven met Europese klanten op, wat vaak een onwelkome ontdekking is. Het praktische antwoord is het programma te scopen op de systemen met EU-blootstelling en het compliance-werk tegen die systemen uit te voeren — wat een kleinere footprint kan zijn dan uw volledige AI-portfolio, wat vaak tijdlijn en kosten significant verkort vergeleken met een volledige programma-uitrol.
De AVG dekt verwerking van persoonsgegevens; de AI Act dekt veiligheid, transparantie en risicomanagement van AI-systemen. Ze overlappen in de datagovernance-sectie — uw AI Act-datagovernance-documentatie zal verwijzen naar en voortbouwen op uw AVG-DPIA's waar persoonsgegevens betrokken zijn. In de praktijk moeten de twee programma's dezelfde data-inventaris en hetzelfde governancecomité delen, omdat dezelfde engineering-systemen onder beide regelgevingen in scope vallen. Een compliance-programma dat AVG en AI Act als parallelle silo's draait dupliceert werk en produceert inconsistenties die auditors opmerken.
Ontdek andere diensten die dit aanbod aanvullen
30 minuten. Ik diagnosticeer uw situatie en zeg u eerlijk of deze dienst past — en zo niet, welke wel.