Een AI-audit klinkt ingrijpend. Toch weten veel organisaties niet wanneer zo'n audit precies verplicht is, wie hem mag uitvoeren en wat het concreet inhoudt. De AI Act maakt onderscheid tussen een interne conformiteitsbeoordeling en een externe audit door een geaccrediteerde partij. Welke variant op uw situatie van toepassing is, hangt af van de risicocategorie van uw AI-systeem en uw rol in de keten.
Dit artikel legt uit wanneer een AI-audit verplicht is, wat het verschil is tussen een interne en externe beoordeling, en hoe u er in de praktijk mee begint.
Wanneer is een AI-audit verplicht
Niet elk AI-systeem vereist een formele audit. De AI Act koppelt auditverplichtingen direct aan de risicocategorie van een systeem.
Minimaal en beperkt risico. Geen formele auditplicht. Organisaties zijn vrij om interne beoordelingen te doen, maar dat is geen wettelijke verplichting. De transparantieplicht uit Artikel 50 geldt wel: chatbots en AI-gegenereerde content moeten herkenbaar zijn als AI.
Hoog-risico (Bijlage III). Hier begint de formele auditplicht. Systemen zoals AI voor cv-screening, AI in kredietbeoordeling, AI voor onderwijs en AI in kritieke infrastructuur moeten vóór ingebruikname een conformiteitsbeoordeling doorlopen. Voor de meeste Bijlage III-systemen mag u deze zelf uitvoeren als aanbieder, mits de vereiste documentatie volledig op orde is.
Hoog-risico AI in gereguleerde producten (Bijlage I). AI ingebed in medische hulpmiddelen, machines of speelgoed valt onder een strengere variant. Hier is een externe beoordeling door een notified body verplicht. Dat sluit aan op de CE-markering die al voor het product zelf geldt.
Biometrische identificatiesystemen. AI voor real-time biometrische identificatie in openbare ruimtes is in de meeste gevallen verboden. Wat nog is toegestaan, vereist altijd een externe beoordeling.
Interne beoordeling versus externe audit
Beide routes dienen hetzelfde doel: aantonen dat een hoog-risico AI-systeem compliant is voordat het in productie gaat. Het verschil zit in wie de beoordeling uitvoert.
Interne beoordeling (self-assessment). De aanbieder voert deze zelf uit. U toetst het systeem aan de eisen uit Bijlage II (lijst van geharmoniseerde normen) of aan de technische specificaties. Het resultaat is een technisch dossier en een EU-conformiteitsverklaring die u zelf ondertekent. U draagt volledige verantwoordelijkheid voor de juistheid.
Externe audit door notified body. Verplicht voor Bijlage I-systemen en voor enkele specifieke Bijlage III-toepassingen (biometrisch, rechtshandhaving). Een geaccrediteerde notified body beoordeelt het systeem onafhankelijk. Het certificaat heeft juridisch meer gewicht en is vereist voor de CE-markering in die productcategorieen.
Wanneer een externe auditor meerwaarde heeft
Een interne beoordeling is wettelijk toegestaan voor de meeste hoog-risico systemen. Er zijn toch redenen om een externe partij in te schakelen.
Kwetsbare groepen. Uw systeem raakt jeugdzorg, schuldhulpverlening of vergelijkbare contexten. Een onafhankelijke blik versterkt uw positie bij een klacht of handhavingsactie.
Ontbrekende technische expertise. Uw organisatie mist de interne kennis voor een volledige risicoanalyse. Formele AI-auditbureaus kunnen de analyse overnemen en documenteren.
Commercieel certificaat. Klanten en aanbestedende diensten vragen steeds vaker om aantoonbare compliance. Een extern certificaat is dan een praktisch onderscheidend argument.
Wat een AI-conformiteitsbeoordeling bevat
Of u nu intern of extern toetst: de inhoud voor hoog-risico systemen is vastgelegd in Artikel 9 tot en met Artikel 17 van de AI Act.
Risicobeheersysteem (Artikel 9). Identificatie van risico's per fase van de levenscyclus, met maatregelen en restrisico-beoordeling. Het systeem houdt u continu bij, niet eenmalig.
Data governance (Artikel 10). Kwaliteitscriteria voor trainingsdata, validatiedata en testdata. Zijn de datasets representatief? Is bias onderzocht?
Technische documentatie (Artikel 11). Een volledig dossier: architectuurbeschrijving, trainingsaanpak, prestatiemetrieken, beperkingen van het systeem.
Menselijk toezicht (Artikel 14). Hoe kan een mens het systeem begrijpen, monitoren en zo nodig afzetten? Dit moet technisch afdwingbaar zijn, niet alleen op papier staan.
Robuustheid en beveiliging (Artikel 15). Presteert het systeem betrouwbaar bij onverwachte invoer? Zijn testen op edge cases en adversarial inputs uitgevoerd?
Wanneer start de auditplicht
De formele verplichtingen gaan in op 2 december 2027 voor Bijlage III-systemen. Voor Bijlage I-systemen is de deadline 2 augustus 2028. Beide data zijn vastgelegd via het Digital Omnibus-pakket.
Twee verplichtingen gelden al:
AI-geletterdheid (Artikel 4) is verplicht sinds 2 februari 2025. Iedereen die met AI werkt, moet aantoonbaar voldoende kennis hebben.
Het verbod op bepaalde AI-praktijken (Artikel 5) geldt ook al. Sociale kredietsystemen en real-time biometrische surveillance zijn nu al verboden.
De rol van de gebruiksverantwoordelijke
De conformiteitsbeoordeling is een verplichting voor de aanbieder (provider), niet voor de gebruiksverantwoordelijke (deployer). Toch heeft de deployer eigen verplichtingen.
U controleert of het AI-systeem dat u inkoopt gecertificeerd is. U zet het systeem in conform de instructies van de aanbieder. Bij ernstige incidenten doet u melding. U houdt een intern register bij van hoog-risico systemen.
De conformiteitsbeoordeling kunt u overlaten aan uw leverancier, maar de verantwoordelijkheid voor juist gebruik blijft bij u.
AI-audit en de Autoriteit Persoonsgegevens
In Nederland is de Autoriteit Persoonsgegevens (AP) aangewezen als coördinerend toezichthouder voor de AI Act. De AP is niet alleen bevoegd voor privacyovertredingen. Ze kan ook handhaven op naleving van de hoog-risico verplichtingen.
Dat raakt organisaties die AI gebruiken voor cv-screening, kredietverlening of sociale zekerheid. Juist op die toepassingen is de AP al actief. Het RAN-6-rapport uit februari 2026 toonde dat de AP AI in HR-processen kritisch bekijkt, met aangekondigde handhavingsacties op vacatureplatformen in 2026.
Hoe begint u
Stap 1 is inventariseren welke AI-systemen in uw organisatie hoog-risico zijn. Gebruik de Bijlage III-lijst als uitgangspunt.
Stap 2 is vaststellen wie de aanbieder is. Hebt u een extern AI-systeem ingekocht? Dan moet de leverancier de conformiteitsbeoordeling uitvoeren. Hebt u zelf een AI-systeem gebouwd of aangepast? Dan bent u aanbieder en draagt u de auditplicht.
Stap 3 is de documentatie opbouwen: risicobeheersysteem, data governance, technisch dossier. Hoe eerder u begint, hoe minder stress richting de deadline van december 2027.
Een goed startpunt is het uitvoeren van een AI-risicoanalyse per systeem. Ons platform genereert automatisch de benodigde documentatie voor hoog-risico systemen en houdt uw register actueel.