Artikel 26 Verplichtingen van gebruiksverantwoordelijken van AI-systemen met een hoog risico

Gebruiksverantwoordelijken van AI-systemen met een hoog risico nemen passende technische en organisatorische maatregelen om te waarborgen dat zij dergelijke systemen gebruiken in overeenstemming met de gebruiksaanwijzingen die bij de systemen zijn gevoegd, op grond van de leden 3 en 6.

Gebruiksverantwoordelijken dragen het menselijk toezicht op aan natuurlijke personen die over de nodige bekwaamheid, opleiding en autoriteit beschikken en de nodige ondersteuning krijgen.

De verplichtingen van de leden 1 en 2 doen geen afbreuk aan andere verplichtingen van gebruiksverantwoordelijken op grond van het Unie- of nationaal recht en aan de vrijheid van gebruiksverantwoordelijken om hun eigen middelen en activiteiten te organiseren voor de uitvoering van de maatregelen inzake menselijk toezicht zoals aangegeven door de aanbieder.

Onverminderd de leden 1 en 2 zorgt de gebruiksverantwoordelijke, voor zover hij controle heeft over de inputdata, ervoor dat de inputdata relevant en voldoende representatief zijn voor het beoogde doel van het AI-systeem met een hoog risico.

Gebruiksverantwoordelijken monitoren de werking van het AI-systeem met een hoog risico op basis van de gebruiksaanwijzingen en stellen in voorkomend geval de aanbieders in kennis overeenkomstig artikel 72. Wanneer gebruiksverantwoordelijken redenen hebben om aan te nemen dat het gebruik overeenkomstig de gebruiksaanwijzingen ertoe kan leiden dat dat AI-systeem een risico vormt in de zin van artikel 79, lid 1, stellen zij de aanbieder of distributeur en de betreffende markttoezichtautoriteit hiervan zonder onnodige vertraging in kennis en onderbreken zij het gebruik van dat systeem. Wanneer gebruiksverantwoordelijke een ernstig incident vaststellen, stellen zij ook onmiddellijk eerst de aanbieder hiervan in kennis, en vervolgens de importeur of distributeur en de betreffende markttoezichtautoriteiten van dat incident. Wanneer de gebruiksverantwoordelijke de aanbieder niet kan bereiken, is artikel 73 mutatis mutandis van toepassing. Deze verplichting geldt niet voor gevoelige operationele gegevens van gebruiksverantwoordelijke van AI-systemen die de hoedanigheid van rechtshandhavingsinstanties hebben.

Voor gebruiksverantwoordelijke die in de hoedanigheid van financiële instellingen onderworpen zijn aan eisen met betrekking tot hun interne governance, regelingen of processen uit hoofde van het Unierecht inzake financiële diensten, wordt de monitoringsverplichting overeenkomstig de eerste alinea geacht te zijn vervuld door te voldoen aan de regels inzake interne governance, regelingen of processen en -mechanismen uit hoofde van het desbetreffende recht inzake financiële diensten.

Gebruiksverantwoordelijken van AI-systemen met een hoog risico bewaren de logs die automatisch worden gegenereerd door dat AI-systeem met een hoog risico voor zover dergelijke logs onder hun controle vallen gedurende een periode die passend is voor het beoogde doel van het AI-systeem met een hoog risico, of ten minste zes maanden, tenzij anders is bepaald in het toepasselijke Unie- of nationaal recht, meer in het bijzonder het Unierecht over de bescherming van persoonsgegevens.

Gebruiksverantwoordelijken die in de hoedanigheid van financiële instellingen onderworpen zijn aan eisen met betrekking tot hun interne governance, regelingen of processen uit hoofde van het Unierecht inzake financiële diensten, bewaren de logs als onderdeel van de documentatie die bewaard wordt krachtens het desbetreffende Unierecht inzake financiële diensten.

Voordat een AI-systeem met een hoog risico op de werkplek in gebruik wordt gesteld of wordt gebruikt, delen gebruiksverantwoordelijken die werkgever zijn werknemersvertegenwoordigers en de betrokken werknemers mee dat zij zullen worden onderworpen aan het gebruik van het AI-systeem met een hoog risico. Deze informatie wordt, indien van toepassing, verstrekt in overeenstemming met de in het Unie- en nationaal recht vastgelegde regels en procedures en de praktijk inzake informatie van werknemers en hun vertegenwoordigers.

Gebruiksverantwoordelijken van AI-systemen met een hoog risico die de hoedanigheid van overheidsinstanties of instellingen, organen of instanties van de Unie hebben, leven de in artikel 49 bedoelde registratieverplichtingen na. Wanneer deze gebruiksverantwoordelijke vaststellen dat het AI-systeem met een hoog risico dat zij voornemens zijn te gebruiken niet in de in artikel 71 bedoelde EU-databank is geregistreerd, gebruiken zij dat systeem niet en stellen zij de aanbieder of de distributeur daarvan in kennis.

Indien van toepassing, gebruiken gebruiksverantwoordelijken van AI-systemen met een hoog risico de informatie die op grond van artikel 13 van deze verordening wordt verstrekt om hun verplichting na te komen om een gegevensbeschermingseffectbeoordeling uit te voeren op grond van artikel 35 van Verordening (EU) 2016/679 of artikel 27 van Richtlijn (EU) 2016/680.

Onverminderd Richtlijn (EU) 2016/680 verzoekt de gebruiksverantwoordelijke van een AI-systeem met een hoog risico voor biometrische identificatie op afstand achteraf in het kader van een onderzoek waarbij gericht wordt gezocht naar een persoon die wordt verdacht van of veroordeeld is voor het plegen van een strafbaar feit, vooraf of zonder onnodige vertraging en uiterlijk 48 uur na het feit, om toestemming van een gerechtelijke instantie of administratieve instantie, van wie de beslissing bindend is en onderworpen is aan rechterlijke toetsing, voor het gebruik van dat systeem, behalve wanneer het wordt gebruikt voor de initiële identificatie van een potentiële verdachte op basis van objectieve en verifieerbare feiten die rechtstreeks verband houden met het strafbare feit. Elk gebruik wordt beperkt tot hetgeen strikt noodzakelijk is voor het onderzoek naar een specifiek strafbaar feit.

Indien de op grond van de eerste alinea verzochte toestemming wordt geweigerd, wordt het gebruik van het systeem voor biometrische identificatie op afstand achteraf dat verband houdt met de verzochte toestemming met onmiddellijke ingang stopgezet en worden de persoonsgegevens die verband houden met het gebruik van het AI-systeem met een hoog risico waarvoor de toestemming is gevraagd, gewist.

Een dergelijk AI-systeem met een hoog risico voor biometrische identificatie op afstand achteraf mag in geen geval op niet-gerichte wijze worden gebruikt voor rechtshandhavingsdoeleinden, zonder enig verband met een strafbaar feit, een strafrechtelijke procedure, een werkelijke en actuele of werkelijke en te verwachten dreiging van een strafbaar feit, of zoektocht naar een specifieke vermiste persoon. Er moet voor worden gezorgd dat rechtshandhavingsinstanties geen enkel besluit met nadelige rechtsgevolgen voor een persoon mogen nemen op basis van uitsluitend de output van dergelijke systemen voor biometrische identificatie op afstand achteraf.

Deze alinea doet geen afbreuk aan artikel 9 van Verordening (EU) 2016/679 en artikel 10 van Richtlijn (EU) 2016/680 voor de verwerking van biometrische gegevens.

Ongeacht het doel of de gebruiksverantwoordelijke wordt elk gebruik van dergelijke AI-systemen met een hoog risico gedocumenteerd in het desbetreffende politiedossier en op verzoek ter beschikking gesteld van de relevante markttoezichtautoriteit en de nationale gegevensbeschermingsautoriteit, met uitzondering van gevoelige operationele gegevens in verband met rechtshandhaving. Deze alinea doet geen afbreuk aan de bij Richtlijn (EU) 2016/680 aan de toezichthoudende autoriteiten verleende bevoegdheden.

Gebruiksverantwoordelijken dienen bij de relevante markttoezichtautoriteiten en de nationale gegevensbeschermingsautoriteiten jaarverslagen in over hun gebruik van systemen voor biometrische identificatie op afstand achteraf, met uitzondering van gevoelige operationele gegevens in verband met rechtshandhaving. De verslagen kunnen worden samengevoegd, zodat ze informatie bevatten over meerdere soorten van inzetten.

De lidstaten kunnen, in overeenstemming met het Unierecht, beperkendere wetgeving invoeren inzake het gebruik van systemen voor biometrische identificatie op afstand achteraf.

Onverminderd artikel 50 van deze verordening informeren gebruiksverantwoordelijken van in bijlage III bedoelde AI-systemen met een hoog risico die beslissingen met betrekking tot natuurlijke personen nemen of helpen nemen, de natuurlijke personen dat het AI-systeem met een hoog risico op hen wordt toegepast. Op AI-systemen met een hoog risico die voor rechtshandhavingsdoeleinden worden gebruikt, is artikel 13 van Richtlijn (EU) 2016/680 van toepassing.

Gebruiksverantwoordelijken werken samen met de relevante bevoegde autoriteiten bij alle door deze autoriteiten genomen maatregelen met betrekking tot een AI-systeem met een hoog risico met het oog op de uitvoering van deze verordening.