Datum: 14 mei 2026
1. Toepassingsgebied en contractuele status
Deze annex bevat de algemene contractuele bepalingen voor AI-functionaliteiten van euquista. Ze is van toepassing op alle AI-functionaliteiten die euquista aanbiedt, integreert of ondersteunt binnen haar diensten en maakt integraal deel uit van de Overeenkomst.
Deze annex vult de Overeenkomst aan. Bij tegenstrijdigheid tussen documenten geldt de hiërarchie uit de Algemene Voorwaarden.
2. Definities
Begrippen met een hoofdletter hebben dezelfde betekenis als in de Algemene Voorwaarden, tenzij deze annex er een andere definitie aan geeft. Bij tegenstrijdigheid gaat de definitie uit deze annex voor de interpretatie ervan binnen deze annex. Koppen en tussenkopjes dienen alleen voor leesbaarheid en beïnvloeden de interpretatie van de Overeenkomst niet.
Voor deze annex gelden aanvullend de volgende definities:
- AI Act: Verordening (EU) 2024/1689 betreffende geharmoniseerde regels voor artificiële intelligentie, inclusief uitvoeringsmaatregelen, richtsnoeren en latere wijzigingen of vervangingen voor zover van toepassing.
- AI-output: elke output, aanbeveling, classificatie, voorspelling, gegenereerde tekst, afbeelding, samenvatting, score, beslissingsondersteuning of andere uitkomst die geheel of gedeeltelijk door AI-functionaliteit wordt geproduceerd.
- AI-provider: een derde partij die modellen, infrastructuur, API's, veiligheidsfilters of andere technische componenten levert waarop een AI-functionaliteit geheel of gedeeltelijk steunt.
- GPAI-model: een general-purpose AI-model in de zin van de AI Act.
- Human oversight: passende menselijke beoordeling, verificatie, tussenkomst of besluitvorming rond het gebruik van AI-output, afgestemd op de aard, context en risico's van de betrokken AI-functionaliteit.
- Wezenlijk AI-incident: een systematische fout, onverwacht schadelijk gedrag, misbruik, beveiligingsprobleem of ander incident met betrekking tot AI-functionaliteit dat relevante impact heeft of redelijkerwijs kan hebben op de Klant, eindgebruikers of naleving van toepasselijke wetgeving.
3. Algemene AI-bepalingen
3.1 Ondersteunend karakter en menselijke beoordeling
Voor zover een Dienst AI-functionaliteit bevat, is die functionaliteit ondersteunend van aard. AI-output is probabilistisch en kan fouten, vertekeningen, hallucinaties, onvolledigheden of verouderde informatie bevatten. De Klant is verantwoordelijk voor passende menselijke beoordeling, verificatie en beslissing vóór zij AI-output gebruikt in operationele, juridische, financiële, compliance-gerelateerde of andere wezenlijke processen.
3.2 Geen professioneel advies
AI-output geldt niet als juridisch, financieel, medisch, boekhoudkundig, fiscaal, technisch of ander professioneel advies. De Klant mag AI-output niet als enige basis gebruiken voor beslissingen met juridische, financiële, medische, veiligheidskritische of vergelijkbaar wezenlijke gevolgen.
3.3 Wijziging, beperking en degradatie
euquista mag AI-functionaliteiten aanpassen, beperken, tijdelijk uitschakelen of degraderen als dit redelijkerwijs nodig is door providerwijzigingen, wettelijke vereisten, veiligheidsrisico's, kwaliteitsproblemen, misbruik, kostbeheersing of operationele continuïteit. Zulke wijziging geeft geen recht op schadevergoeding, tenzij de kernfunctionaliteit van de betrokken Dienst wezenlijk wordt aangetast of de wet anders bepaalt.
4. Modelinformatie en AI-providers
euquista maakt voor haar AI-functionaliteiten gebruik van modellen en infrastructuur van externe AI-providers.
4.1 Providergebruik en wijzigingsruimte
AI-functionaliteit kan afhankelijk zijn van AI-providers van derden, modellen, API's, infrastructuur of veiligheidsfilters. euquista mag deze providers, modellen of technische componenten wijzigen als dit redelijkerwijs nodig is voor veiligheid, compliance, kwaliteit, beschikbaarheid, kosten, performance of productontwikkeling.
Voor wijzigingen met een wezenlijke impact op een of meer van de volgende aspecten geeft euquista voorafgaande schriftelijke kennisgeving, tenzij onmiddellijke actie vereist is door een acute beveiligingsdreiging of dwingende wettelijke verplichting:
- de doorgifte van persoonsgegevens naar een ander land of een andere juridische entiteit;
- de samenstelling van subverwerkers die namens de Klant persoonsgegevens verwerken;
- de AI Act-classificatie of de compliance-verplichtingen die op de functionaliteit van toepassing zijn;
- de beveiligingseigenschappen of het gebruik van Klantdata door de provider.
Bij een wezenlijke negatieve impact op de kernfunctionaliteit informeert euquista de Klant minstens dertig (30) dagen vooraf. Onmiddellijke wijzigingen om acute beveiligings- of wettelijke redenen deelt euquista zo snel als redelijkerwijs mogelijk mee.
4.2 Huidige providers
| Functionaliteit | Gebruikte technologie / provider | Verwerkings-locatie | Opmerking |
|---|---|---|---|
| Generatieve AI-assistentie | Infomaniak (gehoste LLM-diensten) | Zwitserland | Infomaniak biedt AI-diensten aan op eigen, Europees gecontroleerde infrastructuur in Zwitserland |
Infomaniak is tevens opgenomen in het Subprocessor Register als subverwerker voor AI-gerelateerde verwerking. euquista communiceert wezenlijke wijzigingen in gebruikte modellen of providers via de gebruikelijke communicatiekanalen wanneer die een impact hebben op de classificatie of verplichtingen.
5. Logging, training en klantdata
euquista gebruikt Klantdata niet voor het trainen van algemene AI-modellen buiten de overeengekomen Dienst, tenzij er een expliciete contractuele grondslag, wettelijke grondslag of afzonderlijke toestemming is. AI-gerelateerde logging mag euquista gebruiken voor beveiliging, foutopsporing, kwaliteitscontrole en misbruikpreventie, als dat verenigbaar is met de Overeenkomst en de geldende gegevensbeschermingsregels.
Voor AI-gerelateerde logging gelden de volgende aanvullende bepalingen:
- Bewaartermijn: AI-interactielogs worden bewaard conform de bewaartermijnentabel in de Privacy Policy.
- Toegang: Toegang tot AI-logs is beperkt tot bevoegde medewerkers van euquista voor uitsluitend de genoemde doeleinden.
- Persoonsgegevens in prompts en outputs: Prompts en outputs die persoonsgegevens kunnen bevatten, worden behandeld als Klantdata.
- Gebruik buiten de Dienst: Prompts, outputs, Klantdata en AI-interacties worden niet gebruikt voor het trainen van AI-modellen buiten de overeengekomen Dienst.
- Anonimisering: euquista past waar technisch en operationeel haalbaar anonimisering of pseudonimisering toe bij het gebruik van AI-logs voor kwaliteitscontrole.
- Modeltraining door derden: Klantdata en AI-interacties worden uitdrukkelijk uitgesloten van gebruik voor de verbetering of training van AI-modellen van derden, tenzij de Klant hiervoor afzonderlijk en uitdrukkelijk toestemming heeft gegeven.
6. AI-incidenten
Bij een wezenlijk AI-incident, zoals een systematische fout, onverwacht schadelijk gedrag, misbruik of beveiligingsprobleem met relevante impact op gebruikers, geldt de volgende procedure:
- Klant meldt het incident zo snel mogelijk via het ondersteuningskanaal, met beschrijving van het incident, de betrokken AI-functionaliteit, de impact en eventuele betrokken persoonsgegevens.
- euquista beoordeelt het incident conform haar incidentresponsprocedure (zie Security & Operational Measures).
- euquista informeert de Klant over de aard, oorzaak en genomen maatregelen binnen een redelijke termijn.
- Operationele maatregelen: euquista mag als onderdeel van haar incidentrespons een AI-functionaliteit tijdelijk beperken, rollbacken, van provider wisselen of aanvullende human review-maatregelen opleggen.
- Wettelijke meldplicht: Bij incidenten die ernstige schade veroorzaken of kunnen veroorzaken, beoordeelt euquista of melding aan de bevoegde nationale markttoezichthouder verplicht is op grond van artikel 73 of 74 van de AI Act. euquista verleent bijstand aan de Klant bij het nakomen van diens eigen meldplichten als deployer.
7. Rolverdeling onder de AI Act
De AI Act onderscheidt verschillende rollen. De rol van euquista hangt af van de specifieke AI-functionaliteit en de context van gebruik.
| Rol (AI Act) | Definitie |
|---|---|
| Provider | Brengt een AI-systeem op de markt of in gebruik |
| Deployer | Gebruikt een AI-systeem onder eigen verantwoordelijkheid |
| Importeur / Distributeur | Brengt een AI-systeem van buiten de EU op de markt |
7.1 Rol van euquista per use case
De rol van euquista is functioneel en hangt af van de concrete situatie. Onderstaande matrix geeft per scenario de verwachte rol en bijbehorende verplichtingen aan. Bij twijfel leggen partijen de rolverdeling schriftelijk vast in de Overeenkomst.
| Scenario | Mogelijke rol euquista |
|---|---|
| API-integratie van derdepartij-AI in de Diensten | Deployer |
| White-label integratie waarbij euquista derdepartij-AI onder eigen branding aanbiedt met wezenlijke controle over doel en werking | Provider en/of Deployer |
| Klantgestuurde configuratie: klant configureert zelf een AI-functionaliteit via het platform | Klant als Deployer |
| Hoog-risico context (Annex III AI Act) | Provider of Deployer, vastgesteld per project |
euquista is geen provider van General Purpose AI-modellen (GPAI) tenzij zij zelf een GPAI-model ontwikkelt of onder eigen naam op de markt brengt. Voor geïntegreerde externe GPAI-modellen is euquista afhankelijk van de informatie en compliance-maatregelen van de betreffende modelprovider.
7.2 Rol van de Klant
De Klant die de AI-functionaliteiten inzet binnen zijn eigen organisatie, treedt op als deployer in de zin van de AI Act. De Klant is verantwoordelijk voor:
- het bepalen van het concrete gebruik en de context;
- het naleven van deployer-verplichtingen, waaronder transparantie naar eindgebruikers, human oversight en gebruik conform het beoogde doel;
- het niet inzetten van AI voor verboden praktijken;
- het melden van ernstige incidenten aan euquista conform de procedure in artikel 6.
8. Risicoclassificatie
euquista beoordeelt haar AI-functionaliteiten per gebruik op basis van de vier risiconiveaus zoals omschreven in de AI Act.
| Risiconiveau | Beschrijving | Status bij euquista |
|---|---|---|
| Onaanvaardbaar risico | Verboden AI-praktijken (Art. 5 AI Act) | Niet van toepassing; verboden use cases worden uitdrukkelijk uitgesloten (zie artikel 9) |
| Hoog risico | AI-systemen vermeld in Annex III, bijvoorbeeld voor onderwijs, werkgelegenheid, kredietbeoordeling of kritieke infrastructuur | euquista biedt in haar huidige standaarddiensten geen hoog-risico AI-systemen aan; dit wordt per klantproject beoordeeld |
| Beperkt risico | AI-systemen met transparantieverplichtingen | Van toepassing wanneer gebruikers interageren met AI-gegenereerde content |
| Minimaal risico | Overige AI-systemen | Geldt voor de meeste AI-functionaliteiten in de Diensten |
Indien een klant euquista vraagt AI in te zetten voor hoog-risico toepassingen, voert euquista een expliciete conformiteitsbeoordeling uit en legt zij de afspraken vast in de Overeenkomst.
9. Verboden use cases
Overeenkomstig artikel 5 van de AI Act zijn bepaalde AI-praktijken verboden. De volledige en bindende lijst staat in artikel 5 van de verordening zelf; bij twijfel gaat de tekst van de verordening altijd voor. De onderstaande opsomming is illustratief en niet limitatief. euquista verbindt er zich toe deze praktijken niet aan te bieden en de Klant mag euquista's diensten hier niet voor inzetten:
- Subliminale manipulatie: AI die gedrag beïnvloedt buiten het bewustzijn van de persoon op een manier die schade kan veroorzaken.
- Misbruik van kwetsbaarheden: AI die kwetsbaarheden van specifieke groepen uitbuit, zoals leeftijd, beperking of sociale situatie.
- Sociale scoring door overheidsinstanties: systematische evaluatie van personen op basis van gedrag met nadelige gevolgen.
- Biometrische identificatie in real-time in openbare ruimtes voor handhaving, behoudens de wettelijk voorziene uitzonderingen.
- Emotieherkenning op werkplekken of in onderwijsinstellingen, behoudens medische of veiligheidsuitzonderingen.
- Biometrische categorisatie op basis van gevoelige kenmerken, zoals ras, politieke opvattingen, religie of seksuele geaardheid.
- Predictive policing op basis van profiling van individuen.
De Klant aanvaardt bij gebruik van euquista's AI-functionaliteiten dat deze use cases niet zijn toegestaan.
10. Logging en transparantie onder de AI Act
| Risiconiveau | Logverplichting | Transparantie naar gebruiker |
|---|---|---|
| Hoog risico | Automatische logging van alle beslissingen; bewaartermijn per toepasselijke sectorwetgeving | Verplichte informatieverstrekking over het gebruik van AI |
| Beperkt risico | Logging op platformniveau conform Privacy Policy | Gebruiker moet weten dat hij met een AI-systeem interageert |
| Minimaal risico | Standaardoperationele logging conform Privacy Policy | Geen specifieke verplichting, tenzij contractueel afgesproken |
euquista informeert gebruikers wanneer zij interageren met AI-gegenereerde content of een AI-systeem, conform de transparantieverplichtingen van artikel 50 van de AI Act.
11. Menselijke controle (human oversight)
euquista implementeert human oversight afhankelijk van het risiconiveau van de AI-functionaliteit:
- Hoog risico: AI-output mag niet zonder menselijke toetsing worden gebruikt voor beslissingen met rechtsgevolgen of wezenlijke impact op personen. euquista en de Klant leggen de oversightprocedure vast in de Overeenkomst.
- Beperkt risico: Gebruikers worden geïnformeerd dat output probabilistisch is en menselijke verificatie vereist.
- Minimaal risico: De Klant is verantwoordelijk voor passende interne oversightprocedures overeenkomstig zijn eigen risicobeoordeling.
AI-output geldt in geen geval als juridisch, financieel, medisch of ander professioneel advies, ongeacht het risiconiveau.
12. Klantinstructies en verplichtingen
Als deployer is de Klant verplicht:
- de AI-functionaliteiten te gebruiken conform het beoogde doel zoals beschreven in de documentatie;
- eindgebruikers te informeren wanneer zij interageren met een AI-systeem, voor zover dit op grond van de AI Act vereist is;
- geen instructies te geven die euquista ertoe zouden brengen verboden AI-praktijken te ondersteunen;
- passende human oversight te implementeren voor besluiten die worden ondersteund door AI-output;
- ernstige incidenten te melden aan euquista conform artikel 6;
- bij hoog-risico toepassingen (Annex III AI Act) vooraf schriftelijk met euquista vast te leggen wie in die context als provider en wie als deployer optreedt, welke conformiteitsbeoordelingen vereist zijn, hoe Fundamental Rights Impact Assessment (FRIA) verplichtingen, logging, human oversight en incidentmelding worden ingevuld, en welke partij welke verplichtingen draagt. euquista verleent bijstand bij deze afstemming, maar aanvaardt geen verplichtingen die van toepassing zijn op de provider tenzij dit uitdrukkelijk overeengekomen is.
13. Compliance-monitoring
De AI Act kent een gefaseerd toepassingsschema. De exacte toepassingsdata en reikwijdte per verplichting worden bepaald door de tekst van de verordening (Verordening (EU) 2024/1689), uitvoeringsmaatregelen, richtsnoeren van de AI Office en nationale implementatiebesluiten. euquista baseert haar compliance niet op een vastgelegde interne tijdlijn, maar evalueert haar AI-functionaliteiten doorlopend en past haar aanpak aan bij wezenlijke wijzigingen in de regelgeving of uitvoeringsmaatregelen.
De huidige status per hoofdcategorie:
| Verplichting | Status euquista |
|---|---|
| Verbod op onaanvaardbare AI-praktijken (Art. 5) | Verboden use cases zijn uitgesloten uit het dienstenaanbod (zie §9) |
| Transparantie bij AI-interactie (Art. 50) | Gebruikersinformatie bij AI-gegenereerde output geïmplementeerd conform de verordening; exacte toepassingsdatum volgt de wettekst |
| GPAI-verplichtingen | euquista is geen GPAI-modelprovider; voor geïntegreerde externe GPAI-providers is euquista afhankelijk van de informatie van die providers |
| Hoog-risico systemen (Annex III) | Hoog-risico toepassingen worden per klantproject beoordeeld; partijen leggen rolverdeling schriftelijk vast |
euquista communiceert wezenlijke aanpassingen in haar compliance-aanpak via de gebruikelijke kanalen.