Checklist voor zelfinspectie: dertig vragen te beantwoorden vóór het inschakelen van een EU AI Act-audit
Niet elke SaaS-oprichter heeft op dag één een audit nodig. Sommigen moeten eerst triageren. Onze reviewers hebben deze dertig vragen opgesteld zodat elke oprichter een uur de tijd kan nemen, eerlijk kan antwoorden en een duidelijk beeld krijgt van de vraag of de volledige audit van de praktijk de juiste volgende stap is, of de Annex III-triage voldoende is, dan wel of de oprichter Artikel 50 zelfstandig kan implementeren aan de hand van de snippet-bibliotheek.
Blok A — Toepassingsgebied en blootstelling (vragen 1–6)
1. Kan een persoon die zich in de Europese Unie bevindt zich vandaag registreren voor en gebruikmaken van uw product?
2. Accepteert uw registratieformulier e-mailadressen eindigend op .eu, .de, .fr, .es, .it, of een andere TLD van een EU-lidstaat?
3. Heeft u ten minste één betalende of gratis gebruiker die zich in de EU bevindt?
4. Maakt een functie van uw product een voorspelling, aanbeveling of beslissing, of genereert het inhoud op basis van een machine-learningmodel, een inferentieoproep naar een externe API, of een op logica gebaseerd systeem dat leert van gegevens?
5. Hebben een van die functies betrekking op de invoer, uitvoer of het gedrag van een gebruiker?
6. Is een van die functies beschikbaar zonder authenticatie, of via een gratis registratie, waarbij een persoon er gebruik van kan maken zonder betalende klant te zijn?
Als u 'ja' heeft geantwoord op vragen 1, 4 en 5, valt u onder het toepassingsgebied van de EU AI Act op grond van Artikel 2(1)(a). Ga verder.
Blok B — Transparantie op grond van Artikel 50 (vragen 7–14)
7. Heeft uw product een chatbot, virtuele assistent of een conversatie-interface waarbij een persoon typt of spreekt en een antwoord krijgt dat door een AI-model wordt gegenereerd?
8. Wanneer een gebruiker die conversatie voor het eerst start, toont u dan een zichtbare mededeling dat hij of zij met een AI praat?
9. Genereert uw product tekst-, beeld-, audio- of video-inhoud die de gebruiker als uitvoer ontvangt?
10. Is die gegenereerde inhoud voorzien van een machineleesbaar herkomstsignaal (bv. C2PA Content Credentials ingebed in het bestand)?
11. Toont uw product een zichtbaar 'AI-gegenereerd'-label op of naast dergelijke inhoud op het moment van levering?
12. Produceert uw product een deepfake, stemkloon, gezichtswissel of enige andere synthetische media waarop echte personen worden afgebeeld?
13. Zo ja, labelt u die inhoud dan als kunstmatig gegenereerd of gemanipuleerd wanneer deze aan de gebruiker wordt getoond?
14. Biedt uw product functies die de emotionele toestand, het sentiment of biometrische categorieën van gebruikers analyseren?
Als u 'ja' heeft geantwoord op vraag 7 maar 'nee' op vraag 8: lacune in Artikel 50(1). Als u 'ja' heeft geantwoord op vraag 9 maar 'nee' op vragen 10 en 11: lacune in Artikel 50(2). Als u 'ja' heeft geantwoord op vraag 12 maar 'nee' op vraag 13: lacune in Artikel 50(4). Als u 'ja' heeft geantwoord op vraag 14 bij een inzet op de werkvloer of in het onderwijs: mogelijke verbodsbepaling op grond van Artikel 5.
Blok C — Hoog risico op grond van Bijlage III (vragen 15–22)
15. Voert uw SaaS biometrische identificatie op afstand of grootschalige spraakidentificatie uit?
16. Functioneert uw SaaS als veiligheidscomponent in weg-, water-, gas-, elektriciteits-, verwarmings- of digitale infrastructuur?
17. Beoordeelt uw SaaS automatisch studentenwerk, bewaakt het examens, of bepaalt het de toelating tot scholen?
18. Screent uw SaaS cv's, scoort het kandidaten, automatiseert het promotie- of ontslagbeslissingen, of bewaakt het de productiviteit van werknemers?
19. Neemt uw SaaS kredietbeslissingen, stelt het verzekeringspremies vast, of bepaalt het de toegang tot sociale uitkeringen of essentiële diensten?
20. Ondersteunt uw SaaS risicobeoordeling bij rechtshandhaving, bewijswaardering of polygrafachtige functies?
21. Verwerkt uw SaaS zaken op het gebied van migratie, asiel, grenscontrole of visumverlening?
22. Beïnvloedt uw SaaS de rechtsbedeling of democratische processen (verkiezingsadvies, ondersteuning van rechterlijke redenering, juryselectie)?
Als u 'ja' heeft geantwoord op een van de vragen 15–22: uw SaaS is hoog-risico op grond van Bijlage III. De volledige verplichtenreeks van Artikelen 9–15 is van toepassing, evenals de inzettersplichten van Artikel 26 en mogelijk de grondrechtenbeoordeling van Artikel 27.
Blok D — Documentatie en bedrijfsvoering (vragen 23–30)
23. Beschikt u over een schriftelijke modelkaart voor elke AI-functie in uw product?
24. Beschikt u over een openbare AI-gebruikspagina op /ai-use of een gelijkwaardige locatie?
25. Verwijst u in uw eigen documentatie naar de Artikel 53-mededelingen van uw upstream GPAI-aanbieder?
26. Registreert u per inferentie de invoervingerafdruk, uitvoervingerafdruk, modelversie, tijdstempel en aanvragercontext?
27. Beschikt u over een schriftelijke procedure voor menselijk toezicht op elke hoog-risico AI-functie?
28. Heeft u uw trainings-, validatie- en testgegevens beoordeeld op vooringenomenheid op grond van Artikel 10?
29. Heeft u een DPA AI-addendum opgesteld voor uw zakelijke inkoop?
30. Beschikt u over een gedocumenteerde procedure voor incidentrapportage die is afgestemd op Artikel 73?
Het aantal 'nee'-antwoorden in dit blok, met name in combinatie met een hoog-risicoklassificatie op grond van Blok C, is het sterkste signaal dat u de audit van de praktijk vóór 30 juni 2026 moet inschakelen.
Hoe u uzelf beoordeelt
0 lacunes totaal. U staat er goed voor. Schakel de audit van de praktijk uitsluitend in als papieren bewijs voor aanbestedingen of voor certificering op bestuursniveau.
1–3 lacunes in Blok B, 0 elders. Zelfimplementatie vanuit onze snippet-bibliotheek is mogelijk voldoende. Lees de artikel-voor-artikelmatrix op /eu-ai-act en publiceer de relevante snippets. Als u een ondertekend deliverable voor juridisch adviseurs wenst, schakelt u de audit in.
3+ lacunes in Blok B of lacunes in Blok D. Schakel de audit in. De reviewertijd die nodig is om een correcte implementatie van meerdere lacunes te realiseren, overstijgt al snel de auditvergoeding van €997.
Een 'ja' in Blok C. Schakel de audit onmiddellijk in. Hoog-risicoverplichtingen zijn niet veilig zelfstandig te implementeren; de documentatievereisten alleen al rechtvaardigen de opdracht.
Elke Artikel 5-trigger. Dit is een handhavingsrisico dat onmiddellijk actie vereist, geen audit. Staak de praktijk, schakel daarna de audit in om de staking te bevestigen en de remediëring te documenteren.
Het intakeformulier van de praktijk is beschikbaar op disclos.eu → 'Get audited — €997'.
Frequently asked questions
Kunt u mij via het intakeformulier beoordelen?
Het intakeformulier is bestemd voor klanten die reeds hebben betaald en een audit willen inschakelen. De checklist voor zelfinspectie is een instrument vóór de intake — zonder verplichting, zonder kosten, enkel dertig vragen. Als u een menselijke beoordeling van uw antwoorden wenst zonder een volledige audit te moeten inschakelen, stuur de dertig antwoorden naar hello@disclos.eu en de hoofdreviewer reageert binnen één werkdag met een aanbeveling.
Betekent een 'ja' op vraag 14 in een werkomgeving onmiddellijk dat wij verboden zijn?
Artikel 5(1)(f) verbiedt emotieherkenning op de werkvloer en in onderwijsinstellingen, met beperkte uitzonderingen voor medische of veiligheidsredenen. Als uw product de emotionele toestand in die contexten afleidt en niet onder die uitzonderingen valt, bent u niet-conform op grond van Artikel 5. Openbaarmaking heft een verboden praktijk niet op — enkel het staken van de praktijk doet dat. Onze reviewers bespreken dit bij de intake als u het aangeeft.
Wat als ik bij een vraag twijfel?
Kies standaard voor 'ja' bij triage. Te veel lacunes tellen in de zelfinspectiefase is veilig; te weinig tellen kost later geld. De volledige audit zal elke lacune met bewijs oplossen.
Is deze checklist juridisch bindend?
Nee. Het is een instrument voor zelftriage dat de praktijk gratis publiceert. Het vormt geen juridisch advies en verplicht ons niet tot een specifieke bevinding in een betaalde audit. De audit is het bindende deliverable; de checklist is de aanloop.
Wordt de checklist bijgewerkt wanneer de Verordening wordt gewijzigd?
Ja. Het veld last_updated op de pagina weerspiegelt de meest recente wijziging. Wanneer het EU AI Office richtsnoeren publiceert die van invloed zijn op een van de dertig vragen, werken onze reviewers het relevante blok bij en publiceren zij het opnieuw.
Sources
Last updated: 2026-05-30