Artikel

AI-register opstellen: vereisten en stappenplan

Wat een AI-register is, welke velden verplicht zijn onder de EU AI Act, en hoe je er in vijf stappen een bouwt dat een audit doorstaat.

Kort antwoord
  • Een AI-register is een intern overzicht van alle AI-systemen die je organisatie gebruikt of inzet, met per systeem het risiconiveau, de verantwoordelijke en de toepasselijke verplichtingen.
  • De EU AI Act (Verordening (EU) 2024/1689) verplicht deployers van hoog-risico AI (Bijlage III) tot registratie en documentatie; voor niet-hoog-risico AI is een intern register wettelijk niet verplicht maar wordt sterk aanbevolen.
  • Hoog-risico AI voor mkb: CV-screening, sollicitantenselectie, prestatiebeoordelingssoftware (Bijlage III categorie 4) en biometrische identificatie (categorie 1).
  • Delahaye Solutions bouwt een audit-klaar AI-register als onderdeel van de AI Act Scan (vanaf 750 euro).

Wat is een AI-register en wanneer is het verplicht?

Een AI-register is een intern document dat bijhoudt welke AI-systemen je organisatie gebruikt of inzet, wat elk systeem doet, welk risiconiveau het heeft en wie verantwoordelijk is. De EU AI Act (Verordening (EU) 2024/1689, van kracht 1 augustus 2024) verplicht deployers van hoog-risico AI-systemen uit Bijlage III tot registratie en documentatie. Voor de meeste mkb-bedrijven geldt die harde verplichting alleen als ze AI inzetten in hoog-risico categorieen zoals CV-screening, biometrie of kredietbeoordeling. Ook wie alleen lager-risico AI gebruikt, versterkt zijn positie bij klanten, verzekeraars en aanbestedingen met een actueel AI-register.

Stap voor stap

Vijf stappen om een AI-register op te stellen

Dit stappenplan levert een register op dat voldoet aan de EU AI Act-documentatievereisten voor deployers en dat een interne of externe audit doorstaat.

1. Breng alle AI-toepassingen in kaart

Maak een lijst van elk AI-systeem of elke AI-tool die je organisatie gebruikt: van ChatGPT en Microsoft Copilot tot SaaS-toepassingen met een AI-component (CV-screening, fraudedetectie, chatbots, aanbevelingsalgoritmen). Gebruik een eenvoudig spreadsheet. Vraag per afdeling: welke tools gebruik je waarbij uitvoer of beslissing deels door een algoritme of AI-model wordt bepaald? Sla leverancier, versie en toepassingsdoel op.

2. Classificeer elk systeem op risiconiveau

De EU AI Act kent vier risicocategorieen: verboden AI (art. 5, bijv. real-time biometrische surveillance in publieke ruimte), hoog risico (Bijlage III, o.a. sollicitantenselectie en kredietbeoordeling), beperkt risico (transparantieverplichtingen, o.a. deepfakes en chatbots) en minimaal risico (geen specifieke verplichtingen). Stel per tool vast in welke categorie die valt. Twijfelgeval? Het AI Act Scan-rapport van Delahaye Solutions bevat een onderbouwde classificatie.

3. Documenteer de verplichte velden per systeem

Voor hoog-risico AI schrijft de AI Act (art. 13 en Bijlage IV) specifieke documentatie voor: naam en versie van het systeem, leverancier en contactpersoon, beoogde use case en doelgroep, type invoerdata (ook persoonsgegevens: AVG-grondslag art. 6 AVG), verwachte nauwkeurigheid en foutmarges, menselijk toezichtmechanisme en de verantwoordelijke functionaris. Noteer ook de contractlooptijd en de herzieningsdatum.

4. Wijs een AI-coordinator aan

Benoem intern een AI-coordinator: de persoon die het register bijhoudt, nieuwe tools beoordeelt voordat ze in gebruik worden genomen, en de jaarlijkse review organiseert. In een kleine organisatie kan dit de directeur zijn; bij grotere mkb-bedrijven de IT-manager, compliance officer of een aangesteld AI-functionaris. Leg de rol en bevoegdheden vast in een kort taakbeschrijvingsdocument.

5. Stel een jaarlijkse review in en houd het register actueel

Een AI-register veroudert snel: tools worden bijgewerkt, nieuwe versies krijgen andere risicoprofielen en de EU AI Act wordt verder uitgewerkt via gedelegeerde handelingen. Stel een kalenderherinnering in voor jaarlijkse review (of na elke grote tool-update). Controleer bij elke herzieningsdatum: zijn er nieuwe tools toegevoegd, zijn bestaande classificaties nog correct, zijn contactpersonen en contracten actueel? Bewaar versies met datum voor audits.

Hoog-risico AI voor mkb

Welke AI-toepassingen vallen voor mkb onder hoog risico?

Bijlage III van de EU AI Act somt acht categorieen hoog-risico AI op. Voor het mkb zijn de meest relevante: categorie 4 (arbeidsmarkt en personeelsbeheer: CV-screening, sollicitantenselectie, prestatiebeoordelingssoftware, tools voor promotie- of ontslagbeslissingen), categorie 5 (toegang tot essentiele diensten: kredietbeoordelingstools, risicoscoring door verzekeraars) en categorie 2 (kritieke infrastructuur, met name energie- of watersectoren). Biometrische identificatie (categorie 1) is voor de meeste mkb-bedrijven niet van toepassing, maar toegangssystemen met gezichtsherkenning vallen er wel onder. Controleer per tool of je de leverancier van het AI-systeem bent (provider, veel verplichtingen) of de gebruiker in een werkcontext (deployer, minder maar concrete verplichtingen).

Veelgestelde vragen

Veelgestelde vragen over het AI-register en de EU AI Act

Is een AI-register verplicht voor alle bedrijven?
Nee. De EU AI Act verplicht alleen deployers en providers van hoog-risico AI-systemen (Bijlage III) tot formele registratie en documentatie. Voor mkb-bedrijven die uitsluitend laag- of minimaal-risico AI gebruiken, is een intern register wettelijk niet verplicht, maar wordt het sterk aanbevolen als onderdeel van AI-governance en voor aanbestedingen of klantvragen.
Wanneer gelden de EU AI Act-verplichtingen voor hoog-risico AI?
De EU AI Act is gefaseerd ingegaan. Verboden praktijken (art. 5) en AI-geletterdheid (art. 4) gelden vanaf 2 februari 2025. GPAI-verplichtingen (hoofdstuk V) gelden vanaf 2 augustus 2025. Verplichtingen voor deployers van hoog-risico AI-systemen (Bijlage III, waaronder arbeidsmarkt-AI) stonden gepland voor 2 augustus 2026, maar zijn via de 'Digital Omnibus' (akkoord 7 mei 2026) uitgesteld naar 2 december 2027 (nog niet definitief vastgesteld). Verplichtingen voor aanbieders van AI in CE-gemarkeerde producten (Bijlage I) zijn daarbij verschoven van 2 augustus 2027 naar 2 augustus 2028.
Wat is het verschil tussen een provider en een deployer in de AI Act?
Een provider ontwikkelt of brengt een AI-systeem op de markt. Een deployer gebruikt een AI-systeem van een andere partij in een eigen werkcontext. De meeste mkb-bedrijven zijn deployers: ze gebruiken tools als ChatGPT, een CV-screeningsplatform of een aanbevelingsalgoritme van een SaaS-leverancier. Providers hebben zwaardere verplichtingen (technische documentatie, conformiteitsbeoordeling, CE-markering voor Bijlage III); deployers hebben lichtere maar concrete verplichtingen (menselijk toezicht, registratie bij hoog-risico AI).
Wat zijn de boetes voor het niet naleven van de EU AI Act?
Boetes voor verboden AI (art. 5): tot 35 miljoen euro of 7% van de mondiale jaaromzet. Boetes voor het niet naleven van hoog-risico AI-verplichtingen (art. 9-49): tot 15 miljoen euro of 3% jaaromzet. Boetes voor onjuiste informatie aan toezichthouders: tot 7,5 miljoen euro of 1% jaaromzet. In Nederland is de Autoriteit Persoonsgegevens in de meeste sectoren de markttoezichthouder voor de EU AI Act.
Hoeveel tijd kost het om een AI-register op te stellen?
Een eerste versie voor een mkb-bedrijf met vijf tot twintig AI-tools kost doorgaans twee tot vier uur. De inventarisatiefase (stap 1) is het meeste werk: je moet alle afdelingen bevragen. Classificatie (stap 2) vereist de meeste kennis en is de stap waarbij Delahaye Solutions via de AI Act Scan helpt. Het jaarlijkse onderhoud (stap 5) kost een tot twee uur per jaar.
Wat levert de AI Act Scan van Delahaye Solutions op?
De AI Act Scan levert een audit-klaar dossier op: een volledig ingevuld AI-register, een AI-beleid op maat, een AI-geletterdheidsplan voor je medewerkers en een compliance-checklist. Prijs: vanaf 750 euro voor micro- en kleine teams; vanaf 1.500 euro voor bedrijven van 10 tot 50 medewerkers. De scan is eenmalig en kan jaarlijks worden herzien.

Wil je een audit-klaar AI-register voor jouw organisatie?

De AI Act Scan van Delahaye Solutions levert een volledig AI-register, AI-beleid en compliance-dossier. Vanaf 750 euro, eenmalig, vaste prijs.

Vraag een gratis intake aan →

Gratis intake en offerte · Reactie binnen 1 werkdag · Vaste prijs, geen verrassingen