Trusq

feitelijke duiding · herleidbaar naar primaire bronnen

Onderwerpen Kansen Doe de check Samenwerken LinkedIn NL·EN
Wegwijzer

Het risicobeheersysteem (artikel 9) opzetten en onderhouden

Vastgesteld 2026-06-22 · ≈ 2 min lezen · Dirk Baaijen

Artikel 9 van de AI Act verplicht aanbieders van hoog-risico-AI tot een doorlopend risicobeheersysteem: risico's identificeren, inschatten, beperken en blijven volgen gedurende de hele levensduur. Het is een iteratief proces, geen eenmalige analyse, en vormt de kern van het complianceregime.

Kort antwoord: Artikel 9 van de AI Act verplicht aanbieders van hoog-risico-AI een risicobeheersysteem op te zetten en te onderhouden. Het draait om een doorlopende cyclus: voorzienbare risico's voor gezondheid, veiligheid en grondrechten identificeren, inschatten, beperken met passende maatregelen, en de werking daarvan blijven volgen. Het is geen eenmalig rapport maar een proces dat de hele levensduur meegaat.

Een continu proces, geen momentopname

Artikel 9 omschrijft het risicobeheersysteem nadrukkelijk als een continu, iteratief proces dat over de hele levenscyclus van het systeem loopt. Een risicobeoordeling die je één keer maakt en daarna in een la legt, voldoet niet. Bij elke wijziging in het systeem, de data of het gebruik moet je de cyclus opnieuw doorlopen. Bevindingen uit de post-market monitoring voeden het systeem terug.

De stappen van artikel 9

De verordening schrijft een herkenbare cyclus voor:

  • Identificeren en analyseren van bekende en redelijkerwijs voorzienbare risico's die het systeem kan opleveren bij beoogd gebruik.
  • Inschatten en evalueren van risico's die kunnen ontstaan bij beoogd gebruik én bij redelijkerwijs te voorzien verkeerd gebruik.
  • Evalueren van risico's die naar voren komen uit de post-market monitoring.
  • Passende maatregelen treffen om die risico's te beheersen.

De maatregelen moeten zo gekozen worden dat het restrisico van elk gevaar — en het totale restrisico — aanvaardbaar wordt geacht.

Restrisico en de volgorde van maatregelen

Niet elk risico is volledig weg te nemen. Artikel 9 vraagt om een vaste volgorde: eerst risico's wegontwerpen of beperken in het ontwerp zelf, dan beschermende maatregelen toevoegen voor risico's die blijven, en ten slotte voorzien in informatie en training voor gebruiksverantwoordelijken. Het overgebleven restrisico moet je expliciet beoordelen en communiceren, niet stilzwijgend accepteren.

Aandacht voor kwetsbare groepen

Artikel 9 vraagt bijzondere aandacht voor systemen die impact kunnen hebben op kwetsbare groepen, waaronder kinderen. Bij het inschatten van risico's moet je meewegen of een systeem onbedoeld bepaalde groepen kan schaden. Dat verbindt het risicobeheer met de bredere afweging van grondrechten in het AI-governanceraamwerk.

Verhouding tot documentatie en beoordeling

Het risicobeheersysteem staat niet los van de rest. De uitkomsten ervan horen in de technische documentatie (bijlage IV) en vormen onderdeel van de conformiteitsbeoordeling. Zie ook het overzicht van hoog-risicoverplichtingen.

Wat te doen

  • Richt een vaste cyclus in met duidelijke eigenaren en herhaalmomenten.
  • Documenteer elke stap: identificatie, inschatting, maatregel en restrisico.
  • Hanteer de volgorde van maatregelen: ontwerp eerst, dan bescherming, dan informatie.
  • Koppel monitoring terug: laat praktijksignalen de risicobeoordeling bijstellen.
  • Beoordeel het restrisico expliciet en leg vast waarom het aanvaardbaar is.

Een risicobeheersysteem dat niet meebeweegt met het systeem, is op papier compliant en in de praktijk leeg.

Bronnen

  1. https://eur-lex.europa.eu/eli/reg/2024/1689/oj
    Verordening (EU) 2024/1689 (AI Act), artikel 9: verplicht risicobeheersysteem voor hoog-risicosystemen, doorlopend over de hele levensduur.
  2. https://artificialintelligenceact.eu/article/9/
    Artikel 9 AI Act: stappen voor identificatie, inschatting en beperking van risico's en het beheer van restrisico's.

Deel op LinkedIn

Lees ook

W

Post-market monitoring (artikel 72) na ingebruikname

Artikel 72 van de AI Act verplicht aanbieders van hoog-risico-AI om systemen na ingebruikname actief te blijven volgen. Een post-market monitoringsysteem verzamelt en analyseert prestatiegegevens over de hele levensduur en voedt het risicobeheer terug. Conformiteit stopt niet bij de markt.

A

DPIA voor HR-AI: wanneer verplicht en hoe combineer je het met de FRIA?

Een DPIA (art. 35 AVG) is verplicht bij grootschalig, systematisch monitoren en bij hoog-risico-AI in HR. Dit artikel legt uit wat erin moet en hoe je de DPIA combineert met de FRIA (grondrechtentoets, art. 27 AI Act) tot één traject. Met praktisch stappenplan.

A

AI voor strategische personeelsplanning: meestal geen hoog-risico, mits het niet individueel wordt

AI voor strategische personeelsplanning en skills-forecasting op organisatieniveau is meestal geen hoog-risico onder de AI Act. Maar zodra het individuele beslissingen stuurt, kan het kantelen. Datakwaliteit, governance en transparantie blijven cruciaal.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.