Een AI-audit klinkt al snel ingrijpend. Toch weten veel organisaties niet wanneer zo'n audit precies verplicht is, wie hem mag uitvoeren en wat het concreet inhoudt. De AI Act maakt onderscheid tussen een interne conformiteitsbeoordeling en een externe audit door een geaccrediteerde partij. Welke variant op uw situatie van toepassing is, hangt af van de risicocategorie van uw AI-systeem en uw rol in de keten.
Dit artikel legt uit wanneer een AI-audit verplicht is, wat het verschil is tussen een interne en externe beoordeling, en hoe u er in de praktijk mee begint.
Wanneer is een AI-audit verplicht
Niet elk AI-systeem vereist een formele audit. De AI Act koppelt auditverplichtingen direct aan de risicocategorie van een systeem.
Minimaal en beperkt risicoGeen formele auditplicht. Organisaties zijn vrij om interne beoordelingen te doen, maar dat is geen wettelijke verplichting. De transparantieplicht uit Artikel 50 geldt wel: chatbots en AI-gegenereerde content moeten herkenbaar zijn als AI.
Hoog-risico (Bijlage III)Hier begint de formele auditplicht. Systemen zoals AI voor cv-screening, AI in kredietbeoordeling, AI voor onderwijs en AI in kritieke infrastructuur moeten vóór ingebruikname een conformiteitsbeoordeling doorlopen. Voor de meeste Bijlage III-systemen mag u deze zelf uitvoeren als aanbieder, mits de vereiste documentatie volledig op orde is.
Hoog-risico AI in gereguleerde producten (Bijlage I)AI ingebed in medische hulpmiddelen, machines of speelgoed valt onder een strengere variant. Hier is een externe beoordeling door een notified body verplicht. Dat sluit aan op de CE-markering die al voor het product zelf geldt.
Biometrische identificatiesystemenAI voor real-time biometrische identificatie in openbare ruimtes is in de meeste gevallen verboden. Wat nog is toegestaan, vereist altijd een externe beoordeling.
Interne beoordeling versus externe audit
Beide routes dienen hetzelfde doel: aantonen dat een hoog-risico AI-systeem compliant is voordat het in productie gaat. Het verschil zit in wie de beoordeling uitvoert.
Interne beoordeling (self-assessment)De aanbieder voert deze zelf uit. U toetst het systeem aan de eisen uit Bijlage II (lijst van geharmoniseerde normen) of aan de technische specificaties. Het resultaat is een technisch dossier en een EU-conformiteitsverklaring die u zelf ondertekent. U draagt volledige verantwoordelijkheid voor de juistheid.
Externe audit door notified bodyVerplicht voor Bijlage I-systemen en voor enkele specifieke Bijlage III-toepassingen (biometrisch, rechtshandhaving). Een geaccrediteerde notified body beoordeelt het systeem onafhankelijk. Het certificaat heeft juridisch meer gewicht en is vereist voor de CE-markering in die productcategorieen.
Wanneer een externe auditor meerwaarde heeft
Een interne beoordeling is wettelijk toegestaan voor de meeste hoog-risico systemen. Er zijn toch redenen om een externe partij in te schakelen.
Kwetsbare groepenUw systeem raakt jeugdzorg, schuldhulpverlening of vergelijkbare contexten. Een onafhankelijke blik versterkt uw positie bij een klacht of handhavingsactie.
Ontbrekende technische expertiseUw organisatie mist de interne kennis voor een volledige risicoanalyse. Formele AI-auditbureaus kunnen de analyse overnemen en documenteren.
Commercieel certificaatKlanten en aanbestedende diensten vragen steeds vaker om aantoonbare compliance. Een extern certificaat is dan een praktisch onderscheidend argument.
Wat een AI-conformiteitsbeoordeling bevat
Of u nu intern of extern toetst: de inhoud voor hoog-risico systemen is vastgelegd in Artikel 9 tot en met Artikel 17 van de AI Act.
Risicobeheersysteem
Artikel 9Identificatie van risico's per fase, met maatregelen en restrisico-beoordeling. Continue, niet eenmalig.
Data governance
Artikel 10Kwaliteitscriteria voor trainings-, validatie- en testdata. Representativiteit en bias zijn onderzocht en gedocumenteerd.
Technische documentatie
Artikel 11Volledig dossier met architectuur, trainingsaanpak, prestatiemetrieken en beperkingen van het systeem.
Menselijk toezicht
Artikel 14Hoe kan een mens het systeem begrijpen, monitoren en zo nodig afzetten. Technisch afdwingbaar, niet papier.
Robuustheid en beveiliging
Artikel 15Test op edge cases en adversarial inputs. Het systeem presteert betrouwbaar bij onverwachte invoer.
Wanneer start de auditplicht
Juridisch gaan de formele verplichtingen voor Bijlage III in op 2 augustus 2026, voor Bijlage I op 2 augustus 2027. Het Digital Omnibus-voorstel (COM(2025) 836, in trilogue per april 2026) verschuift deze data naar verwachting naar respectievelijk 2 december 2027 en 2 augustus 2028. Tot adoptie in het Publicatieblad (verwacht mei/juni 2026) gelden de oorspronkelijke deadlines. Houd bij uw planning rekening met het scenario dat de Omnibus niet tijdig wordt aangenomen.
Twee verplichtingen gelden al:
AI-geletterdheid (Artikel 4) is verplicht sinds 2 februari 2025. Iedereen die met AI werkt, moet aantoonbaar voldoende kennis hebben.
Het verbod op bepaalde AI-praktijken (Artikel 5) geldt ook al. Sociale kredietsystemen en real-time biometrische surveillance zijn nu al verboden.
De rol van de gebruiksverantwoordelijke
De conformiteitsbeoordeling is een verplichting voor de aanbieder (provider), niet voor de gebruiksverantwoordelijke (deployer). Toch heeft de deployer eigen verplichtingen.
U controleert of het AI-systeem dat u inkoopt gecertificeerd is. U zet het systeem in conform de instructies van de aanbieder. Bij ernstige incidenten doet u melding. U houdt een intern register bij van hoog-risico systemen.
De conformiteitsbeoordeling kunt u overlaten aan uw leverancier, maar de verantwoordelijkheid voor juist gebruik blijft bij u.
AI-audit en de coördinerende toezichthouders
In Nederland worden via de concept-Uitvoeringswet AI-verordening (UAIV, consultatie tot 1 juni 2026) de Autoriteit Persoonsgegevens (AP) en de Rijksinspectie Digitale Infrastructuur (RDI) gezamenlijk aangewezen als coördinerende toezichthouders voor de AI Act. In de tussentijd treedt de AP via haar Directie Coördinatie Algoritmes (DCA) al feitelijk op. De AP is niet alleen bevoegd voor privacyovertredingen. Ze kan ook handhaven op naleving van de hoog-risico verplichtingen.
Dat raakt organisaties die AI gebruiken voor cv-screening, kredietverlening of sociale zekerheid. Juist op die toepassingen is de AP al actief. Het RAN-6-rapport uit februari 2026 toonde dat de AP AI in HR-processen kritisch bekijkt, met aangekondigde handhavingsacties op vacatureplatformen in 2026.
Hoe begint u
Stap 1 is inventariseren welke AI-systemen in uw organisatie hoog-risico zijn. Gebruik de Bijlage III-lijst als uitgangspunt.
Stap 2 is vaststellen wie de aanbieder is. Hebt u een extern AI-systeem ingekocht? Dan moet de leverancier de conformiteitsbeoordeling uitvoeren. Hebt u zelf een AI-systeem gebouwd of aangepast? Dan bent u aanbieder en draagt u de auditplicht.
Stap 3 is de documentatie opbouwen: risicobeheersysteem, data governance, technisch dossier. Hoe eerder u begint, hoe minder stress richting de deadline van december 2027.
Een goed startpunt is het uitvoeren van een AI-risicoanalyse per systeem. Ons platform genereert automatisch de benodigde documentatie voor hoog-risico systemen en houdt uw register actueel.