EU AI-wet Artikel 17: Kwaliteitsbeheerssysteem (KBS)
Artikel 17 vereist van aanbieders van AI-systemen met een hoog risico dat zij een kwaliteitsbeheerssysteem invoeren en dit documenteren in geschreven beleid, procedures en instructies. Het is de organisatorische ruggengraat die alle andere verplichtingen voor hoogrisico-systemen met elkaar verbindt. Deze pagina vermeldt de elementen van het KBS die moeten worden gedocumenteerd en wijst op de geharmoniseerde norm die nog in ontwikkeling is om dit te ondersteunen.
EU AI-wet Artikel 17: Kwaliteitsbeheerssysteem (KBS)
Artikel 17 vereist van aanbieders van AI-systemen met een hoog risico dat zij een kwaliteitsbeheerssysteem invoeren en dit documenteren in geschreven beleid, procedures en instructies. Het is de organisatorische ruggengraat die alle andere verplichtingen voor hoogrisico-systemen met elkaar verbindt. Deze pagina vermeldt de elementen van het KBS die moeten worden gedocumenteerd en wijst op de geharmoniseerde norm die nog in ontwikkeling is om dit te ondersteunen.
Laatst bijgewerkt: 4 juli 2026
Wat De KBS-Verplichting Is
Aanbieders van AI-systemen met een hoog risico moeten een kwaliteitsbeheerssysteem invoeren dat de conformiteit met de AI-wet waarborgt, gedocumenteerd in een systematische en geordende wijze als geschreven beleid, procedures en instructies.
Het KBS is evenredig met de omvang van de organisatie van de aanbieder, en voor aanbieders die reeds onderworpen zijn aan kwaliteitsbeheersverplichtingen onder andere Unie-wetgeving, kunnen de verplichtingen van de AI-wet in het bestaande systeem worden geïntegreerd in plaats van gedupliceerd. Het doel is niet het papierwerk omwille van het papierwerk: het KBS is de manier waarop een aanbieder aantoont dat de conformiteit een herhaalbaar, beheerd proces is in plaats van een eenmalige inspanning.
Elementen Die Het KBS Moet Documenteren
Artikel 17(1) vermeldt de aspecten die het kwaliteitsbeheerssysteem moet omvatten, ten minste:
- Regelgevingsconformiteitstrategie — inclusief voor conformiteitsbeoordeling en voor het beheer van wijzigingen in het hoogrisico-systeem
- Ontwerp- en ontwikkelingsprocedures — technieken, procedures en systematische acties voor ontwerp, ontwerpbewaking en ontwerpverificatie
- Ontwikkeling en kwaliteitscontrole — procedures voor ontwikkeling, kwaliteitscontrole en kwaliteitszekerheid van het systeem
- Examen, test en validatie — procedures die moeten worden uitgevoerd voordat, tijdens en na de ontwikkeling, en hoe vaak deze worden uitgevoerd
- Technische specificaties en normen — de toegepaste normen, en waar geharmoniseerde normen niet volledig worden toegepast, de middelen die worden gebruikt om aan de vereisten te voldoen
- Gegevensbeheer — systemen en procedures voor gegevensverwerving, -verzameling, -analyse, -etikettering, -opslag, -filtering, -mijnbouw, -aggregatie en -bewaring
- Risicobeheer — het risicobeheerssysteem van Artikel 9
- Post-marktbewaking — het instellen, implementeren en onderhouden van een post-marktbewakingsysteem onder Artikel 72
- Incidentenrapportage — procedures voor het melden van ernstige incidenten in overeenstemming met Artikel 73
- Communicatie en verantwoordelijkheid — het beheer van de communicatie met autoriteiten en andere partijen, recordhouding, bronbeheer en een verantwoordelijkheidskader dat de verantwoordelijkheden van het management en het personeel definieert
De Geharmoniseerde Norm Is Nog In Ontwikkeling
Om Artikel 17 te ondersteunen, wordt een specifieke geharmoniseerde norm voor het AI-kwaliteitsbeheerssysteem ontwikkeld onder het normalisatieverzoek van de Commissie aan CEN-CENELEC.
Dat werk is in uitvoering onder de referentie prEN 18286 (een AI-kwaliteitsbeheerssysteemnorm). Het is nog een ontwerp: het 'pr'-voorvoegsel markeert een werk-in-uitvoering Europees norm die nog niet is gepubliceerd of vermeld in het Publicatieblad, dus het geeft nog geen vermoeden van conformiteit. Aanbieders moeten hun KBS ontwerpen volgens de tekst van Artikel 17 en de norm volgen naarmate deze volwassen wordt — het opbouwen naar het ontwerp kan herwerking verminderen, maar het is geen vervanging voor de wettelijke vereiste en moet niet worden vertrouwd alsof het reeds in werking is.
Normreferenties en publicatiestatus veranderen in de loop van de tijd; verifieer altijd de huidige status van prEN 18286 en eventuele verwante geharmoniseerde normen tegen het Publicatieblad voordat u deze gebruikt.
Hoe AIAgentree Helpt
Een kwaliteitsbeheerssysteem moet bewijs behouden dat de procedures daadwerkelijk zijn gevolgd. AIAgentree levert het traceerbare beslissings- en toezichtsrecord dat de gegevensbeheer-, recordhouding- en verantwoordelijkheidsaspecten van een KBS moeten behouden:
- Tamper-evidente beslissingsrecords geven het recordhouding- en verantwoordelijkheidskader een verdedigbare bron van waarheid voor hoe beslissingen zijn genomen en wie verantwoordelijk was
- Menselijke toezicht- en goedkeuringsworkflows documenteren de examinatie-, beoordelings- en ondertekeningsstappen die de KBS-procedures vereisen, met wie-wat-goedkeurde automatisch vastgelegd
- Audit-fit bewaring, precedentzoek en export via REST, MCP, A2A en OpenTelemetry (met Python- en TypeScript-SDK's en EU-gegevensresidencie in Duitsland) laten de KBS records produceren op aanvraag — u kunt het proberen op de 25-trace gratis laag
Veelgestelde Vragen
Wie moet een kwaliteitsmanagementsysteem onderhouden volgens artikel 17?
Aanbieders van AI-systemen met hoog risico. Het kwaliteitsmanagementsysteem is een verplichting voor aanbieders en moet aanwezig zijn om de conformiteitsbeoordeling en de voortdurende conformiteit van het systeem gedurende de hele levenscyclus te ondersteunen.
Moet het kwaliteitsmanagementsysteem een afzonderlijk systeem zijn?
Nee. Wanneer een aanbieder reeds onderworpen is aan kwaliteitsbeheerverplichtingen uit andere Unierecht (bijvoorbeeld in gereglementeerde sectoren), kunnen de elementen van artikel 17 in dat bestaande kwaliteitsmanagementsysteem worden geïntegreerd in plaats van parallel te worden uitgevoerd.
Is prEN 18286 verplicht?
Nee. prEN 18286 is een ontwerp-Europese norm voor kwaliteitsmanagementsystemen voor AI die wordt ontwikkeld om artikel 17 te ondersteunen. Als ontwerp is het nog niet gepubliceerd of vermeld in het Publicatieblad en verleent het geen vermoeden van conformiteit. De bindende vereiste is de tekst van artikel 17 zelf.
Hoe verschilt het kwaliteitsmanagementsysteem van de technische documentatie?
De technische documentatie van bijlage IV beschrijft een specifiek AI-systeem met hoog risico en de conformiteit; het kwaliteitsmanagementsysteem is de organisatiebrede set van beleidsregels en procedures die bepaalt hoe de aanbieder ontwerpt, test, bewaakt en rapporteert over zijn systemen. Het kwaliteitsmanagementsysteem produceert en onderhoudt de documentatie.
Is het kwaliteitsmanagementsysteem geschaald naar de omvang van het bedrijf?
Ja. Artikel 17 vermeldt dat het kwaliteitsmanagementsysteem moet zijn aangepast aan de omvang van de organisatie van de aanbieder, zodat kleinere aanbieders het op een manier kunnen implementeren die past bij hun omvang, terwijl alle vereiste elementen nog steeds worden gedekt.
Ga verder met het verkennen van de EU AI Act-gids
EU AI Act-nalevingsgids
De complete gids voor EU AI Act-naleving voor AI-agents — start hier.
Artikel 12 — Record-keeping & Logging
Wat elk hoogrisico AI-systeem moet loggen en hoe je het vastlegt.
Artikel 14 — Menselijke toezicht
Het ontwerpen van effectieve menselijke controles in de lus voor AI-beslissingen.
Bijlage III — Hoogrisico AI-systemen
Welke AI-gebruiksgevallen de wet classificeert als hoogrisico.
EU AI Act-nalevingscontrolelijst
Een stap-voor-stap controlelijst om naleving te bereiken en te documenteren.
Nalevingskostenberekenaar
Schat uw EU AI Act-nalevingsinspanning en -kosten.
Deadline & Tijdlijn
Belangrijke handhavingsdata, inclusief de deadline van 2 augustus 2026.
Boetes & Sancties
Boetetarieven tot €35M of 7% van de wereldwijde jaarlijkse omzet.
Transparantieverplichtingen (Art. 13 & 50)
Openbaarmakingsplichten voor AI-systemen en hun uitvoer.
Risicobeheer & Conformiteitsbeoordeling
Bouw een risicobeheersysteem en beoordeel de conformiteit.
GPAI-verplichtingen
Regels voor aanbieders van algemene AI-modellen.
EU AI Act voor Amerikaanse bedrijven
Extraterritoriale reikwijdte en wat Amerikaanse aanbieders moeten doen.
Omnibus-update
De laatste wijzigingen in de EU AI Act-tijdlijn en -regels.
BoetecalcULATOR
Schat uw maximale boete onder de artikel 99-tarieven.
Artikel 11 + Bijlage IV
Welke technische documentatie de EU AI-wet vereist.
Artikel 26: Verplichtingen van de implementer
Wat implementers van high-risk AI moeten doen, inclusief logretentie.
Artikel 10: Gegevensbeheer
Gegevenskwaliteit, mitigatie van vooringenomenheid en beheerstaken.
Artikel 4: AI-geletterdheid
De AI-geletterdheidsverplichting voor het personeel die sinds februari 2025 van kracht is.
Implementer vs Aanbieder
Wie draagt welke verplichting — en wanneer een implementer een aanbieder wordt.
FRIA (Artikel 27)
Wie een Fundamental Rights Impact Assessment moet uitvoeren, en hoe.
Wie Valt Hier Onder?
Reikwijdte, exploitanten en de extraterritoriale reikwijdte van de EU AI-wet.
Nasmarkttoezicht
Artikelen 72–73: voortdurend toezicht en incidentenrapportage.
ISO 42001 vs EU AI-wet
Hoe de vrijwillige norm en de bindende wet samenhangen.
NIST AI RMF vs EU AI-wet
Een praktische crosswalk tussen het kader en de wet.
EU AI-wet voor de Gezondheidszorg
High-risk medische AI, MDR/IVDR-interactie en clinici-toezicht.
EU AI-wet voor Financiële Diensten
Credit scoring, verzekeringsprijzen en bestaande financiële regelgeving.
EU AI-wet voor HR & Werkgelegenheid
Het aannemen van AI als high-risk, plus NYC LL144 en EEOC-overlapping.