De EU AI Act verplicht organisaties om een overzicht bij te houden van de AI-systemen die zij gebruiken. Dit wordt het AI-register genoemd. Maar hoe zet u zo'n register op? In dit artikel nemen we u stap voor stap mee door het proces.
Waarom een AI-register?
Een AI-register is meer dan een administratieve verplichting. Het geeft u inzicht in welke AI-systemen uw organisatie gebruikt, welke risicos daaraan verbonden zijn en welke maatregelen u heeft genomen. Dit helpt u niet alleen om te voldoen aan de wet, maar ook om verantwoord met AI om te gaan.
Voor gebruiksverantwoordelijken van hoog-risico AI-systemen is een register expliciet verplicht onder de AI Act. Maar ook als uw AI-systemen in een lagere risicocategorie vallen, is het verstandig om een register bij te houden. Het laat zien dat u bewust en zorgvuldig omgaat met AI.
Stap 1: Inventariseer al uw AI-systemen
De eerste en misschien wel belangrijkste stap is het in kaart brengen van alle AI-systemen die binnen uw organisatie worden gebruikt. Veel bedrijven onderschatten hoeveel AI ze eigenlijk inzetten.
Denk niet alleen aan de voor de hand liggende tools zoals ChatGPT of Copilot. AI zit ingebouwd in veel bestaande software. Uw boekhoudsoftware gebruikt mogelijk AI voor automatische categorisatie. Uw CRM-systeem kan AI inzetten voor leadscoring. Uw e-mailplatform gebruikt waarschijnlijk AI voor spamdetectie en slimme suggesties.
Maak een lijst van alle software en tools die uw organisatie gebruikt en ga per tool na of er AI-functionaliteit in zit. Betrek hierbij alle afdelingen, want vaak worden AI-tools op afdelingsniveau aangeschaft zonder dat de directie hiervan op de hoogte is.
Stap 2: Classificeer elk systeem
Voor elk AI-systeem in uw lijst moet u vaststellen in welke risicocategorie het valt. De AI Act onderscheidt vier categorieen: onaanvaardbaar risico (verboden), hoog risico, beperkt risico en minimaal risico.
De classificatie hangt af van verschillende factoren. Wordt het systeem gebruikt voor beslissingen die mensen direct raken? Verwerkt het systeem gevoelige persoonsgegevens? Wordt het ingezet in een sector die als hoog-risico wordt beschouwd, zoals zorg, onderwijs of personeelswerving?
Onze AI Risicoscanner kan u hierbij helpen. In vijf minuten krijgt u per systeem een indicatie van de risicocategorie en de bijbehorende verplichtingen.
Stap 3: Documenteer per systeem
Voor elk AI-systeem in uw register legt u de volgende informatie vast. De naam en beschrijving van het systeem. De leverancier of aanbieder. Het doel waarvoor u het systeem inzet. De risicocategorie en de onderbouwing daarvan. Welke data het systeem verwerkt. Wie er toegang heeft tot het systeem. Welke maatregelen u heeft genomen om risicos te beperken. Wie verantwoordelijk is voor het toezicht op het systeem.
Voor hoog-risico systemen moet u daarnaast ook technische documentatie beschikbaar hebben, een risicobeheersysteem opzetten en zorgen voor logging en monitoring.
Stap 4: Stel de benodigde documenten op
Aan de hand van uw register stelt u de verplichte documenten op. Afhankelijk van uw situatie kan dit een AI-beleidsdocument zijn dat beschrijft hoe uw organisatie omgaat met AI. Een risicobeoordeling per hoog-risico systeem. Transparantieverklaringen voor systemen met beperkt risico. Procedures voor menselijk toezicht. Een data governance beschrijving.
Het opstellen van deze documenten hoeft niet moeilijk te zijn. Met de juiste templates en voorbeelden kunt u snel een solide basis leggen. AIComplianceHub biedt automatische documentgeneratie die op basis van uw specifieke situatie de juiste documenten opstelt.
Stap 5: Onderhoud en actualiseer
Een AI-register is geen eenmalige exercitie. U moet het register actueel houden wanneer er nieuwe AI-systemen worden ingevoerd, bestaande systemen worden aangepast of uitgefaseerd, er wijzigingen zijn in de manier waarop u AI gebruikt, of er nieuwe wet- en regelgeving van kracht wordt.
Plan een periodieke review in, bijvoorbeeld elk kwartaal. Zo zorgt u ervoor dat uw register altijd up-to-date is en u niet voor verrassingen komt te staan bij een eventuele controle.
Begin vandaag
Het opzetten van een AI-register lijkt misschien een grote klus, maar door het stap voor stap aan te pakken is het goed te doen. Het belangrijkste is dat u begint. De deadline van augustus 2026 nadert en hoe eerder u uw register op orde heeft, hoe meer rust u heeft.
Start met onze gratis AI Risicoscanner om een eerste beeld te krijgen van uw situatie. Van daaruit kunt u direct doorwerken aan uw volledige AI-register in het AIComplianceHub portal.