Hoe zet u een AI-register op voor uw organisatie? In dit artikel nemen we u stap voor stap mee door het proces, inclusief een eerlijke uitleg van wat echt wettelijk vereist is en welke registers de bewijsbasis vormen voor uw bredere compliance.
Waarom een AI-register?
Een intern AI-register geeft u inzicht in welke AI-systemen uw organisatie gebruikt, welke risicos daaraan verbonden zijn en welke maatregelen u heeft genomen. Het is de praktische basis voor verantwoord AI-gebruik en het eerste document dat een toezichthouder, auditor of grote inkoper opvraagt.
Eerst de juridische realiteit: een intern AI-register is geen wettelijke plicht voor iedereen. Wat de AI Act wel voorschrijft, is specifiek:
- Aanbieders (providers) van hoog-risico AI moeten hun systemen registreren in de EU-databank (Artikel 49) voordat ze op de markt komen.
- Gebruikers (deployers) van hoog-risico AI moeten automatisch gegenereerde logboeken bewaren (Artikel 26, minimaal 6 maanden).
- Voor minimaal of beperkt risico geldt geen registerplicht.
Bent u geen aanbieder of hoog-risico deployer? Dan is een intern register voor u nog niet wettelijk verplicht. Maar voor hoog-risico AI wordt het verplicht vanaf 2 december 2027, en in de praktijk werkt een intern register nu al als de bewijsbasis bij audits, klantenvragen en aanbestedingen. Het laat zien dat u bewust omgaat met AI, is de onderlegger voor uw AI-geletterdheid (Art. 4) en menselijk toezicht (Art. 26), en staat u sterk bij een controle of klantvraag over uw AI-gebruik.
Stap 1: Inventariseer al uw AI-systemen
De eerste en misschien wel belangrijkste stap is het in kaart brengen van alle AI-systemen die binnen uw organisatie worden gebruikt. Veel bedrijven onderschatten hoeveel AI ze eigenlijk inzetten.
Denk niet alleen aan de voor de hand liggende tools zoals ChatGPT of Copilot. AI zit ingebouwd in veel bestaande software. Uw boekhoudsoftware gebruikt mogelijk AI voor automatische categorisatie. Uw CRM-systeem kan AI inzetten voor leadscoring. Uw e-mailplatform gebruikt waarschijnlijk AI voor spamdetectie en slimme suggesties.
Maak een lijst van alle software en tools die uw organisatie gebruikt en ga per tool na of er AI-functionaliteit in zit. Betrek hierbij alle afdelingen, want vaak worden AI-tools op afdelingsniveau aangeschaft zonder dat de directie hiervan op de hoogte is.
Stap 2: Classificeer elk systeem
Voor elk AI-systeem in uw lijst moet u vaststellen in welke risicocategorie het valt. De AI Act onderscheidt vier categorieen: onaanvaardbaar risico (verboden), hoog risico, beperkt risico en minimaal risico.
De classificatie hangt af van verschillende factoren. Wordt het systeem gebruikt voor beslissingen die mensen direct raken? Verwerkt het systeem gevoelige persoonsgegevens? Wordt het ingezet in een sector die als hoog-risico wordt beschouwd, zoals zorg, onderwijs of personeelswerving?
Onze AI Risicoscanner kan u hierbij helpen. In vijf minuten krijgt u per systeem een indicatie van de risicocategorie en de bijbehorende verplichtingen.
Stap 3: Documenteer per systeem
Voor elk AI-systeem in uw register legt u de volgende informatie vast. De naam en beschrijving van het systeem. De leverancier of aanbieder. Het doel waarvoor u het systeem inzet. De risicocategorie en de onderbouwing daarvan. Welke data het systeem verwerkt. Wie er toegang heeft tot het systeem. Welke maatregelen u heeft genomen om risicos te beperken. Wie verantwoordelijk is voor het toezicht op het systeem.
Voor hoog-risico systemen gelden extra verplichtingen die afhangen van uw rol. Als aanbieder (provider) moet u een risicobeheersysteem opzetten (Artikel 9), technische documentatie bijhouden (Artikel 11), data governance documenteren (Artikel 10) en registreren in de EU-databank. Als gebruiker (deployer) moet u menselijk toezicht inrichten (Artikel 26), logboeken bewaren en voor specifieke categorieen een grondrechten-effectbeoordeling uitvoeren (FRIA, Artikel 27).
Stap 4: Stel de benodigde documenten op
Aan de hand van uw register stelt u de relevante documenten op. Afhankelijk van uw rol en risicoprofiel kan dit zijn: een AI-beleidsdocument (voor MKB nog niet wettelijk verplicht, wél de bewijsbasis die toezichthouders en auditors als eerste opvragen om Art. 4 en Art. 26-naleving te toetsen; voor hoog-risico AI verplicht vanaf 2 december 2027). Een risicobeoordeling of risicobeheersysteem (verplicht voor aanbieders van hoog-risico, Art. 9). Transparantieverklaringen voor chatbots of AI-content (Art. 50, vanaf november 2026). Procedures voor menselijk toezicht (verplicht voor hoog-risico). Een data governance beschrijving (verplicht voor aanbieders). Een FRIA (verplicht voor deployers in specifieke sectoren).
Het opstellen van deze documenten hoeft niet moeilijk te zijn. Met de juiste templates en voorbeelden kunt u snel een solide basis leggen. AIComplianceHub biedt automatische documentgeneratie die op basis van uw specifieke situatie de juiste documenten opstelt.
Stap 5: Onderhoud en actualiseer
Een AI-register is geen eenmalige exercitie. U moet het register actueel houden wanneer er nieuwe AI-systemen worden ingevoerd, bestaande systemen worden aangepast of uitgefaseerd, er wijzigingen zijn in de manier waarop u AI gebruikt, of er nieuwe wet- en regelgeving van kracht wordt.
Plan een periodieke review in, bijvoorbeeld elk kwartaal. Zo zorgt u ervoor dat uw register altijd up-to-date is en u niet voor verrassingen komt te staan bij een eventuele controle.
Begin vandaag
Het opzetten van een AI-register lijkt misschien een grote klus, maar door het stap voor stap aan te pakken is het goed te doen. Het belangrijkste is dat u begint. AI-geletterdheid is al verplicht sinds februari 2025. Voor hoog-risico systemen is de deadline via het Digital Omnibus-voorstel (in trilogue per april 2026, adoptie verwacht mei/juni) naar verwachting verschoven naar 2 december 2027. Hoe eerder u uw register op orde heeft, hoe meer rust u heeft.
Start met onze gratis AI Risicoscanner om een eerste beeld te krijgen van uw situatie. Van daaruit kunt u direct doorwerken aan uw volledige AI-register in het AIComplianceHub portal.