Konform — Methodiek-document (regelset als brondocument)

Versie: 1.1
Datum: 4 juni 2026 (bijgewerkt: GPAI richting A — aandachtspunten i.p.v. inhoudelijk oordeel; feitelijke generatieve-output-vraag)
Status: Concept, voor jurist-review
Doelgroep: AI-recht jurist, AVG-specialist, en uiteindelijk publicatie als methodiekpagina op roal.nl

Dit document beschrijft regel voor regel hoe de Konform-classificatie tot een uitkomst komt, op welke wetsartikelen die uitkomst is gebaseerd, en welke aannames daarbij worden gemaakt. Het doel is dat een jurist deze methodiek regel voor regel kan afvinken, zodat de eigenlijke jurist-review een afvinkoefening wordt in plaats van een onderzoeksopdracht.

1. Bronregelgeving

Konform regelset 2026.06 baseert zich op:

• Verordening (EU) 2024/1689 van het Europees Parlement en de Raad van 13 juni 2024 tot vaststelling van geharmoniseerde regels betreffende artificiële intelligentie (AI-verordening), CELEX 32024R1689, gepubliceerd in het Publicatieblad L van 12 juli 2024.
• Bijbehorende richtsnoeren van de Europese Commissie zoals gepubliceerd via digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai.
• Verordening (EU) 2016/679 (AVG), waar deze raakvlakken vertoont met de AI Act (artikelen 10 datagovernance en 27 FRIA in het bijzonder).
• Voorgenomen wijzigingen uit het Digital Omnibus on AI, politiek akkoord 7 mei 2026. Wijzigingen worden alleen als geldend gepresenteerd na publicatie in het Publicatieblad. Voorgenomen wijzigingen worden expliciet als "onder voorbehoud" gemarkeerd.

2. Procesoverzicht

De gebruiker doorloopt een wizard van zeven stappen. Inhoudelijk relevant voor classificatie zijn stappen 2 t/m 5:

Stap 2. De gebruiker beschrijft zijn bedrijf en AI-toepassingen. Konform gebruikt deze tekst alleen om suggesties te doen voor stap 3 (regex-gebaseerde keyword-detectie). De vrije tekst is geen input voor de classificatie zelf.

Stap 3. De gebruiker bevestigt of past de lijst AI-toepassingen aan. Dit wordt de unit-of-analysis: per AI-toepassing wordt afzonderlijk geclassificeerd.

Stap 4. Per AI-toepassing beantwoordt de gebruiker vijf gerichte vragen (zie §3).

Stap 5. De classificatie-engine bepaalt per toepassing een niveau (rood/oranje/groen), een categorie, een lijst verplichtingen en een lijst bronnen. Hieruit volgt een overall stoplicht en bevindingen.

3. De vijf vragen (in volgorde van weging)

Vraag 1 — Verboden praktijken (Artikel 5)

Doet deze toepassing iets uit onderstaande lijst? (Artikel 5 — al verboden sinds 2 feb 2025)

Opties:

• Emotieherkenning op de werkvloer of in het onderwijs → emotion
• Mensen scoren/rangschikken op sociaal gedrag (social scoring) → scoring
• Manipulatie of uitbuiten van kwetsbaarheden → manipulate
• Biometrische categorisatie op gevoelige kenmerken → biometric_cat
• Genereren van niet-consensuele intieme beelden of CSAM → nudify (voorgenomen verbod via Digital Omnibus)
• Geen van bovenstaande → none

Wetsbasis: Artikel 5 AI Act. Inwerkingtreding 2 februari 2025; geen overgangstermijn.

Vereenvoudiging: de daadwerkelijke verbodslijst van Artikel 5 is uitgebreider. Konform groepeert vijf hoofdcategorieën die voor MKB-toepassingen het meest relevant zijn. Categorieën zoals real-time biometrische identificatie in openbare ruimtes (Artikel 5 lid 1 sub h) zijn weggelaten omdat het MKB die in de praktijk niet inzet.

Vraag 2 — Rol (aanbieder of gebruiker)

Ben je hier vooral aanbieder of gebruiker van deze AI?

Opties:

• Aanbieder (provider) — Artikel 3 lid 3 AI Act
• Gebruiker (deployer) — Artikel 3 lid 4 AI Act
• Beide (both)

Wetsbasis: Artikel 3 leden 3 en 4 AI Act.

Vereenvoudiging: importeur (Artikel 3 lid 6) en distributeur (Artikel 3 lid 7) zijn niet als aparte opties opgenomen. Voor de MKB-context is dat aanvaardbaar; voor white-label-doorlevering (waarbij een gebruiker als aanbieder wordt aangemerkt onder Artikel 25 lid 1 sub c) zou een vervolgvraag wenselijk zijn. Open punt voor jurist: moet dit worden toegevoegd?

Vraag 3 — Domein (Bijlage III)

Beïnvloedt deze AI besluiten over één van deze terreinen?

Opties:

• Werving, selectie of HR-beoordeling → hr
• Krediet, verzekering of toegang tot diensten → credit
• Onderwijs of toetsing → edu
• Biometrische identificatie van personen → biometric
• Ander Bijlage III-domein (kritieke infrastructuur, wetshandhaving, migratie, justitie of democratische processen) → other_annex3
• Geen van deze → none

Wetsbasis: Artikel 6 lid 2 + Bijlage III AI Act.

Vereenvoudiging + vangnet: Bijlage III noemt acht hoofdcategorieën met meerdere subcategorieën. Konform classificeert vier doelgebieden inhoudelijk en biedt voor de overige vier (kritieke infrastructuur, wetshandhaving, migratie/asiel/grenscontrole, rechtsbedeling en democratische processen) een vangnet-optie other_annex3. Bij deze optie wordt het stoplicht oranje gezet met een expliciete waarschuwing dat de tool het domein niet inhoudelijk classificeert en verwijzing naar een AI-recht jurist of de Rijksinspectie Digitale Infrastructuur.

Vraag 4 — GPAI-gebruik (Hoofdstuk V)

Gebruik je een algemeen AI-model (GPAI) zoals ChatGPT, Claude, Gemini, Llama of vergelijkbaar?

Opties:

• Ja, ik gebruik er een (deployer) → yes_deployer
• Ja, ik bied er zelf een aan op de markt (provider) → yes_provider
• Nee → no

Wetsbasis: Artikelen 51-55 AI Act (Hoofdstuk V), van toepassing sinds 2 augustus 2025.

Werking in classificatie (richting A, regelset 2026.06): Konform beoordeelt de specifieke GPAI-/Hoofdstuk V-verplichtingen (Artikelen 51-55) niet inhoudelijk — dat is jurist-/regelsetwerk. In plaats van een lege "niet beoordeeld"-uitkomst krijgt een GPAI-gebruiker een bruikbare uitkomst met algemene aandachtspunten:

• yes_deployer → oranje, "beperkt risico — aandachtspunten als GPAI-gebruiker" (tenzij er al rood of hoog-risico geldt). Toegevoegde algemene gebruikersaandachtspunten: AI-geletterdheid (Artikel 4), transparant zijn waar output naar buiten gaat (Artikel 50, waar van toepassing), geen bedrijfsgeheimen of persoonsgegevens in een publiek model zonder afspraken, en de gebruiksinstructies van de aanbieder volgen.
• yes_provider → idem, plus het aandachtspunt om de Hoofdstuk V-aanbiederverplichtingen (Artikelen 51-55) door een jurist te laten toetsen — Konform beoordeelt die niet.
• no → geen GPAI-aandachtspunten.

Belangrijk: GPAI overschrijft een al bepaalde uitkomst niet. Geldt Artikel 50 (generatieve output), dan blijft de categorie "Transparantieplicht (Artikel 50)"; geldt hoog-risico of een verboden praktijk, dan houdt dat voorrang. GPAI blijft een aandachtspunt, geen inhoudelijk oordeel — het rapport houdt Hoofdstuk V onder "Wat is niet beoordeeld". Hiermee wordt de kritiek opgevangen dat de meest voorkomende MKB-situatie (deployer van ChatGPT/Claude) eerder een lege uitkomst gaf.

Vraag 4 — Rol-gewicht (Artikel 6 lid 3-uitzondering)

Welke rol speelt deze AI in het uiteindelijke besluit? (Artikel 6 lid 3 — uitzondering)

Opties:

• Doorslaggevend — bepaalt of beïnvloedt wezenlijk de uitkomst → decisive
• Ondersteunend — voert een beperkte taak uit, mens beslist → support
• Voorbereidend — alleen data klaarzetten, geen beoordeling → preparation

Wetsbasis: Artikel 6 lid 3 AI Act ("a [...] AI system referred to in Annex III shall not be considered to be high-risk where it does not pose a significant risk of harm [...] including by not materially influencing the outcome of decision making"). Specifieke uitzonderingen: procedurele taak (3a), verbetering van een eerder voltooide menselijke activiteit (3b), niet-bedoeld om de eerder genomen beoordeling van een mens te vervangen (3c), of een voorbereidende taak (3d).

Wetsbasis voor de documentatieplicht: Artikel 6 lid 4 AI Act verplicht aanbieders die zich op deze uitzondering beroepen om de beoordeling vóór marktintroductie vast te leggen, te registreren in de EU-databank (Artikel 49 lid 2), en op verzoek aan de nationale bevoegde autoriteit te verstrekken.

Vraag 5 — Menselijk toezicht

Heeft een mens nog vrije ruimte om af te wijken van de AI-uitkomst?

Opties:

• Ja, mens beslist altijd uiteindelijk → yes
• Mens bekijkt maar bevestigt meestal → review
• Nee, het systeem beslist → no

Wetsbasis: Artikel 14 AI Act (menselijk toezicht).

Gebruik in classificatie: voorlopig alleen als kwalitatieve waarschuwing bij hoog-risico classificaties. Geen niveau-bepalende factor op zichzelf. Open punt voor jurist: zou "mens beslist altijd" gecombineerd met Bijlage III + doorslaggevende rol moeten verzachten naar oranje in plaats van blokkerend te zijn?

Vraag 6 — Generatieve output (transparantie)

Stelt je AI teksten, e-mails, offertes, afbeeldingen of andere content op die naar klanten of het publiek gaan?

Opties:

• Ja, AI stelt content op die naar buiten gaat → yes
• Alleen voor intern gebruik → internal
• Nee, geen content-generatie → no

Toelichting: de vraag is bewust feitelijk gesteld (wat de AI doet), niet sturend — de eerdere formulering ("...die op een mens lijkt?" met optie "soms, ondersteunend") duwde tekstgeneratie ten onrechte weg van Artikel 50. Alleen yes activeert de transparantie-uitkomst (oranje, Artikel 50). Of en hoe Artikel 50 juridisch precies geldt voor zakelijke correspondentie die een mens verstuurt, is jurist-terrein; de tool stelt alleen het feit vast.

Wetsbasis: Artikel 50 AI Act, in het bijzonder lid 2 (machine-leesbare watermerken op gegenereerde output door aanbieders) en lid 4 (zichtbaar labelen door gebruikers van deepfakes en bepaalde teksten).

4. Beslisboom (de classify-functie)

De classify-functie verloopt strikt sequentieel. Eerdere stappen kunnen latere stappen overrulen.

4.1 Eerste check: Artikel 5 (verboden praktijken)

ALS vraag1 != 'none':
  niveau = ROOD
  categorie = "Verboden praktijk (Artikel 5)"
  verplichtingen = [
    "STOP of herontwerp deze toepassing — een verboden praktijk mag niet op de EU-markt zijn (Artikel 5).",
    "AI-geletterdheid op orde (Artikel 4 — verplicht sinds 2 feb 2025)"
  ]
  bron = "Verordening (EU) 2024/1689, Artikel 5 — CELEX 32024R1689"
  RETOURNEER UITKOMST  -- geen verdere classificatie

Rationale: Artikel 5 is absoluut en kent geen overgangstermijn. Elke andere overweging is daaraan ondergeschikt.

4.2 Tweede check: Bijlage III (hoog-risico domein)

ALS vraag3 ∈ {'hr','credit','edu','biometric'}:

  ALS vraag4 ∈ {'support','preparation'}:
    -- Artikel 6 lid 3-uitzondering van toepassing
    niveau = GROEN (met uitleg)
    categorie = "Bijlage III-domein met Artikel 6 lid 3-uitzondering"
    verplichtingen = [
      "Documenteer schriftelijk de beoordeling waarom Artikel 6 lid 3 van toepassing is
       (Artikel 6 lid 4 verplicht deze beoordeling vast te leggen vóór marktintroductie)"
    ]
    ALS vraag2 ∈ {'provider','both'}:
      verplichtingen += [
        "NOTIFICATIEPLICHT: registreer deze uitzondering bij de nationale bevoegde autoriteit
         (NL: RDI en/of AP) vóór marktintroductie — Artikel 6 lid 4",
        "Registreer ook in de EU-databank voor hoog-risico AI met vermelding van de uitzondering
         (Artikel 49 lid 2)"
      ]
    bron = "Verordening (EU) 2024/1689, Artikel 6 lid 3 & 4, Artikel 49, Bijlage III"

  ANDERS (vraag4 = 'decisive'):
    -- Hoog-risico volgens Bijlage III
    niveau = ORANJE
    categorie = "Hoog-risico (Bijlage III)"

    ALS vraag2 ∈ {'provider','both'}:
      verplichtingen = [
        "Technisch dossier (Artikel 11)",
        "Risicomanagement (Artikel 9)",
        "Datagovernance (Artikel 10)",
        "Logging (Artikel 12)",
        "Menselijk toezicht (Artikel 14)",
        "Conformiteitsbeoordeling + CE-markering (Artikel 43, 47, 48)",
        "Registratie EU-databank hoog-risico AI (Artikel 71)",
        "Bewaartermijn 10 jaar (Artikel 18)"
      ]
    ANDERS:
      verplichtingen = [
        "Gebruik conform instructies van de aanbieder (Artikel 26)",
        "Menselijk toezicht inrichten (Artikel 14)",
        "Logs bewaren (Artikel 26)",
        "Grondrechteneffectbeoordeling (FRIA, Artikel 27) waar van toepassing"
      ]

    ALS vraag5 = 'no':
      waarschuwing: "Geen vrije ruimte voor mens in het besluit — Artikel 14 vereist effectief menselijk toezicht."

4.3 Derde check: transparantie (Artikel 50)

ALS vraag6 = 'yes':
  ALS niveau == GROEN:
    niveau = ORANJE
    categorie = "Transparantieplicht (Artikel 50)"
  verplichtingen += [
    "Gebruikers informeren dat ze met AI te maken hebben (Artikel 50 lid 1)",
    "Gegenereerd materiaal labelen, machine-leesbaar (Artikel 50 lid 2)"
  ]
  bron += "Verordening (EU) 2024/1689, Artikel 50"

4.4 Altijd geldend: Artikel 4 (geletterdheid)

verplichtingen += "AI-geletterdheid op orde (Artikel 4 — verplicht sinds 2 feb 2025)"

4.5 Combinatie meerdere toepassingen

overall = max(niveaus van alle toepassingen)
   waarbij ROOD > ORANJE > GROEN

5. Wat de classificatie expliciet NIET pretendeert

• Geen oordeel over volledige conformiteit. Konform classificeert risiconiveau; conformiteit vereist veel meer (volledig technisch dossier, conformiteitsbeoordeling, eventueel notified body).
• Geen oordeel over AVG-conformiteit. Hoewel de AI Act raakt aan de AVG, doet Konform geen AVG-classificatie.
• Geen oordeel over sectorale wetgeving. Bijv. medische hulpmiddelen, MiFID II, NIS2 — niet meegenomen.
• Geen vervanging van een aangemelde instantie (notified body) voor hoog-risico-systemen die externe conformiteitsbeoordeling vereisen.
• Geen juridisch advies.

6. Aannames en vereenvoudigingen

Voor transparantie, hieronder de aannames waarop de huidige classificatie steunt:

Aanname 1. Konform beoordeelt per AI-toepassing afzonderlijk en niet op het niveau van een totaalsysteem dat meerdere subsystemen integreert. Voor complexe productlandschappen kan dit tot een onnauwkeurige uitkomst leiden.

Aanname 2. De gebruiker beantwoordt de vragen naar eer en geweten en op basis van feitelijke kennis van zijn systeem. Onjuiste antwoorden leiden tot onjuiste uitkomsten — de tool kent geen verificatiemechanisme.

Aanname 3. De keyword-detectie in stap 2 is hulpmiddel, geen classificator. Bij twijfel telt wat de gebruiker in stap 3 bevestigt.

Aanname 4. Bijlage III is niet uitputtend behandeld; de vier categorieën dekken naar schatting 80% van de MKB-gebruikssituaties. Voor de overige 20% adviseert Konform via een fallback-mededeling om een jurist te raadplegen.

Aanname 5. De specifieke GPAI-/Hoofdstuk V-verplichtingen (Artikelen 51-55) worden in regelset 2026.06 niet inhoudelijk beoordeeld (zie §3, vraag 4). Een GPAI-gebruiker krijgt een bruikbare oranje uitkomst met algemene aandachtspunten (richting A), maar geen inhoudelijk oordeel over Hoofdstuk V; het rapport houdt dat onder "Wat is niet beoordeeld". De systeemrisico-grens (10^25 FLOPs) en de zware aanbiedersverplichtingen zijn jurist-/regelsetwerk en voor de MKB-doelgroep nagenoeg nooit relevant. Volwaardige GPAI-classificatie volgt eventueel in een latere regelset, met jurist.

Aanname 6. De Digital Omnibus-wijzigingen worden als voorgenomen gepresenteerd zolang ze niet in het Publicatieblad zijn verschenen. Bij publicatie wordt regelset bijgewerkt en krijgt de bestaande versie status archived.

7. Reproduceerbaarheid

Elke uitkomst wordt voorzien van:

• Beoordelingsdatum
• Regelsetversie
• SHA-256-hash (eerste 16 hex tekens) over {version, published, changelog}
• Uniek dossier-ID

Hiermee is elke uitkomst jaren later reproduceerbaar: een toezichthouder of jurist kan vaststellen op welke wetsstand-van-zaken een rapport gebaseerd was. De gepubliceerde regelsets worden archived in konform.ruleset_versions in onze database, met hetzelfde hash-mechanisme aan beide kanten.

8. Update-mechanisme

Wijzigingen aan de regelset doorlopen vier stappen:

1. Detectie. Een geplande Edge Function pollt de Atom-feed van publications.europa.eu/webapi/notification (CELEX 32024R1689 en gerelateerde) en schrijft nieuwe entries naar konform.update_proposals.
2. Duiding. Een taalmodel vat de wijziging samen en stelt een conceptaanpassing voor.
3. Goedkeuringspoort (mens). Roger of een ingehuurde jurist beoordeelt het voorstel en keurt het goed of af. Pas dan wordt de regelset gewijzigd.
4. Publicatie. Bij goedkeuring wordt een nieuwe konform.ruleset_versions-rij aangemaakt met status published; de vorige rij gaat naar archived. Bestaande klanten halen de nieuwe versie automatisch op (abonnement-modus) of behouden de bevroren versie (eenmalige download).

De goedkeuringspoort is niet automatiseerbaar en is dat ook bewust niet.

9. Reviewchecklist voor de jurist

Voor de eerste juridische toetsing van regelset 2026.06 graag specifiek beantwoorden:

1. Is de vereenvoudiging van Artikel 5 (vijf categorieën) verantwoord voor MKB-gebruik?
2. Klopt de implementatie van Artikel 6 lid 3-uitzondering en de inbouw van Artikel 6 lid 4-notificatieplicht?
3. Welke Bijlage III-subcategorieën zouden minimaal moeten worden toegevoegd? (vraag 3 uitbreiden)
4. Moet er een vervolgvraag komen over white-label-doorlevering (Artikel 25 lid 1 sub c)?
5. Is de combinatie van bronvermelding per uitkomst voldoende voor uw begrip van de toelichting?
6. Welke artikelen ontbreken volledig in deze regelset en zouden vóór commerciële launch moeten worden toegevoegd?
7. Zijn de exacte teksten van waarschuwingen, verplichtingen en disclaimers juridisch correct geformuleerd?
8. Is de manier waarop voorgenomen Digital Omnibus-wijzigingen worden gepresenteerd (onder voorbehoud, met expliciete vermelding van geldend recht) voldoende?
9. Hoe zou u een AI-geletterdheidsmodule (Artikel 4) inbouwen die ook voor de gebruiker bruikbaar is?
10. Welke specifieke aansprakelijkheidsclaims kunnen voortvloeien uit een verkeerde classificatie, en hoe zou u die in algemene voorwaarden afdekken?

Einde methodiek-document. Versie 1.0 — 3 juni 2026. Wijzigingen graag terug naar roger@roal.nl.