# AI Act-checklist — YRproject

> Een werkbare checklist per regime, afgeleid van de AI Act-readiness scan op yrproject.nl. Vink af wat op orde is; elk punt verwijst naar het onderliggende artikel.

## Hoog risico (bijlage III/I)
- [ ] Risicomanagementsysteem — Art. 9 eist een systematisch proces om risico's gedurende de hele levenscyclus te identificeren en te beperken.
- [ ] Datagovernance — Art. 10 stelt eisen aan relevante, representatieve en zo foutvrij mogelijke datasets, met oog voor bias.
- [ ] Technische documentatie — Art. 11 + bijlage IV: documentatie die aantoont dat het systeem aan de eisen voldoet, vóór marktintroductie.
- [ ] Logging — Art. 12 + 19: de aanbieder bouwt automatische logging in; de gebruiksverantwoordelijke bewaart de logs.
- [ ] Menselijk toezicht — Art. 14 + 26: de aanbieder maakt toezicht mogelijk; de gebruiksverantwoordelijke wijst bekwame personen aan.
- [ ] Nauwkeurigheid en cyberweerbaarheid — Art. 15 eist een passend en consistent niveau van nauwkeurigheid, robuustheid en beveiliging, vermeld in de instructies.
- [ ] Kwaliteitsmanagementsysteem — Art. 17 verplicht aanbieders tot een gedocumenteerd kwaliteitssysteem dat naleving borgt en aantoonbaar maakt.
- [ ] Conformiteitsbeoordeling en registratie — Art. 43 + 49 + 71: vóór marktintroductie een conformiteitsbeoordeling doorlopen, CE-markering aanbrengen en registreren in de EU-databank.
- [ ] Grondrechteneffectbeoordeling — Art. 27 verplicht bepaalde gebruiksverantwoordelijken (o.a. publieke instanties) vóór ingebruikname tot een FRIA.
- [ ] Gebruik volgens instructies en monitoring — Art. 26 verplicht gebruiksverantwoordelijken het systeem conform de gebruiksaanwijzing in te zetten en de werking te bewaken.

## GPAI-model (hoofdstuk V)
- [ ] Modeldocumentatie — Art. 53 + bijlage XI/XII: documentatie voor het AI Office en informatie voor afnemers die erop voortbouwen.
- [ ] Auteursrechtbeleid — Art. 53 eist een beleid dat het EU-auteursrecht respecteert, inclusief de tekst- en datamining-uitzondering.
- [ ] Samenvatting trainingsdata — Art. 53 verplicht een voldoende gedetailleerde publieke samenvatting van de gebruikte trainingsinhoud.
- [ ] Modelevaluatie (systeemrisico) — Art. 55 eist bij systeemrisico evaluatie volgens de stand van de techniek, inclusief tegenaanvallen (red-teaming).
- [ ] Systeemrisico-mitigatie — Art. 55 verplicht tot het in kaart brengen en beperken van systeemrisico's die uit het model kunnen voortvloeien.
- [ ] Incidentmelding en cyberbeveiliging — Art. 55 eist het volgen en melden van ernstige incidenten en een passend niveau van cyberbeveiliging.

## GPAI in gebruik
- [ ] Leveranciersbeoordeling — Je naleving leunt op die van je modelleverancier; vraag om hun documentatie en conformiteit (hoofdstuk V).
- [ ] Transparantie van output — Art. 50 raakt jouw inzet van GPAI-output; zie de transparantie-entry.
- [ ] Risico op aanbiederschap — Wezenlijke wijziging plus eigen naam kan je in het GPAI-aanbiederregime trekken.

## Transparantie (art. 50)
- [ ] Chatbot-melding — Art. 50, lid 1: de aanbieder zorgt dat een systeem dat met mensen communiceert kenbaar maakt dat het AI is.
- [ ] Markering synthetische output — Art. 50, lid 2: de aanbieder markeert AI-output in een machineleesbaar, detecteerbaar formaat (zie de gedragscode van 10 juni 2026).
- [ ] Deepfake-label — Art. 50, lid 4: de gebruiksverantwoordelijke maakt kenbaar dat beeld/audio/video een deepfake is.
- [ ] Melding emotieherkenning — Art. 50, lid 3: de gebruiksverantwoordelijke informeert blootgestelde personen over de werking van het systeem.

## AI-geletterdheid (art. 4)
- [ ] Geletterdheidsprogramma — Art. 4 vraagt maatregelen die zorgen voor een toereikend niveau van AI-geletterdheid bij wie met AI werkt.
- [ ] Rolgerichte kennis — Art. 4 koppelt het vereiste niveau aan context, taken en de personen op wie het AI-systeem wordt toegepast.
- [ ] Vastlegging — Toezichthouders verwachten dat je de geletterdheidsmaatregelen kunt aantonen; vastlegging maakt dat mogelijk.