AI-register opstellen: vereisten en stappenplan
Wat een AI-register is, welke velden verplicht zijn onder de EU AI Act, en hoe je er in vijf stappen een bouwt dat een audit doorstaat.
- Een AI-register is een intern overzicht van alle AI-systemen die je organisatie gebruikt of inzet, met per systeem het risiconiveau, de verantwoordelijke en de toepasselijke verplichtingen.
- De EU AI Act (Verordening (EU) 2024/1689) verplicht deployers van hoog-risico AI (Bijlage III) tot registratie en documentatie; voor niet-hoog-risico AI is een intern register wettelijk niet verplicht maar wordt sterk aanbevolen.
- Hoog-risico AI voor mkb: CV-screening, sollicitantenselectie, prestatiebeoordelingssoftware (Bijlage III categorie 4) en biometrische identificatie (categorie 1).
- Delahaye Solutions bouwt een audit-klaar AI-register als onderdeel van de AI Act Scan (vanaf 750 euro).
Wat is een AI-register en wanneer is het verplicht?
Een AI-register is een intern document dat bijhoudt welke AI-systemen je organisatie gebruikt of inzet, wat elk systeem doet, welk risiconiveau het heeft en wie verantwoordelijk is. De EU AI Act (Verordening (EU) 2024/1689, van kracht 1 augustus 2024) verplicht deployers van hoog-risico AI-systemen uit Bijlage III tot registratie en documentatie. Voor de meeste mkb-bedrijven geldt die harde verplichting alleen als ze AI inzetten in hoog-risico categorieen zoals CV-screening, biometrie of kredietbeoordeling. Ook wie alleen lager-risico AI gebruikt, versterkt zijn positie bij klanten, verzekeraars en aanbestedingen met een actueel AI-register.
Vijf stappen om een AI-register op te stellen
Dit stappenplan levert een register op dat voldoet aan de EU AI Act-documentatievereisten voor deployers en dat een interne of externe audit doorstaat.
1. Breng alle AI-toepassingen in kaart
Maak een lijst van elk AI-systeem of elke AI-tool die je organisatie gebruikt: van ChatGPT en Microsoft Copilot tot SaaS-toepassingen met een AI-component (CV-screening, fraudedetectie, chatbots, aanbevelingsalgoritmen). Gebruik een eenvoudig spreadsheet. Vraag per afdeling: welke tools gebruik je waarbij uitvoer of beslissing deels door een algoritme of AI-model wordt bepaald? Sla leverancier, versie en toepassingsdoel op.
2. Classificeer elk systeem op risiconiveau
De EU AI Act kent vier risicocategorieen: verboden AI (art. 5, bijv. real-time biometrische surveillance in publieke ruimte), hoog risico (Bijlage III, o.a. sollicitantenselectie en kredietbeoordeling), beperkt risico (transparantieverplichtingen, o.a. deepfakes en chatbots) en minimaal risico (geen specifieke verplichtingen). Stel per tool vast in welke categorie die valt. Twijfelgeval? Het AI Act Scan-rapport van Delahaye Solutions bevat een onderbouwde classificatie.
3. Documenteer de verplichte velden per systeem
Voor hoog-risico AI schrijft de AI Act (art. 13 en Bijlage IV) specifieke documentatie voor: naam en versie van het systeem, leverancier en contactpersoon, beoogde use case en doelgroep, type invoerdata (ook persoonsgegevens: AVG-grondslag art. 6 AVG), verwachte nauwkeurigheid en foutmarges, menselijk toezichtmechanisme en de verantwoordelijke functionaris. Noteer ook de contractlooptijd en de herzieningsdatum.
4. Wijs een AI-coordinator aan
Benoem intern een AI-coordinator: de persoon die het register bijhoudt, nieuwe tools beoordeelt voordat ze in gebruik worden genomen, en de jaarlijkse review organiseert. In een kleine organisatie kan dit de directeur zijn; bij grotere mkb-bedrijven de IT-manager, compliance officer of een aangesteld AI-functionaris. Leg de rol en bevoegdheden vast in een kort taakbeschrijvingsdocument.
5. Stel een jaarlijkse review in en houd het register actueel
Een AI-register veroudert snel: tools worden bijgewerkt, nieuwe versies krijgen andere risicoprofielen en de EU AI Act wordt verder uitgewerkt via gedelegeerde handelingen. Stel een kalenderherinnering in voor jaarlijkse review (of na elke grote tool-update). Controleer bij elke herzieningsdatum: zijn er nieuwe tools toegevoegd, zijn bestaande classificaties nog correct, zijn contactpersonen en contracten actueel? Bewaar versies met datum voor audits.
Welke AI-toepassingen vallen voor mkb onder hoog risico?
Bijlage III van de EU AI Act somt acht categorieen hoog-risico AI op. Voor het mkb zijn de meest relevante: categorie 4 (arbeidsmarkt en personeelsbeheer: CV-screening, sollicitantenselectie, prestatiebeoordelingssoftware, tools voor promotie- of ontslagbeslissingen), categorie 5 (toegang tot essentiele diensten: kredietbeoordelingstools, risicoscoring door verzekeraars) en categorie 2 (kritieke infrastructuur, met name energie- of watersectoren). Biometrische identificatie (categorie 1) is voor de meeste mkb-bedrijven niet van toepassing, maar toegangssystemen met gezichtsherkenning vallen er wel onder. Controleer per tool of je de leverancier van het AI-systeem bent (provider, veel verplichtingen) of de gebruiker in een werkcontext (deployer, minder maar concrete verplichtingen).
Veelgestelde vragen over het AI-register en de EU AI Act
Is een AI-register verplicht voor alle bedrijven?
Wanneer gelden de EU AI Act-verplichtingen voor hoog-risico AI?
Wat is het verschil tussen een provider en een deployer in de AI Act?
Wat zijn de boetes voor het niet naleven van de EU AI Act?
Hoeveel tijd kost het om een AI-register op te stellen?
Wat levert de AI Act Scan van Delahaye Solutions op?
Wil je een audit-klaar AI-register voor jouw organisatie?
De AI Act Scan van Delahaye Solutions levert een volledig AI-register, AI-beleid en compliance-dossier. Vanaf 750 euro, eenmalig, vaste prijs.
Vraag een gratis intake aan →Gratis intake en offerte · Reactie binnen 1 werkdag · Vaste prijs, geen verrassingen