PowerQuantNLStuur uw vragenlijst

De EU AI Act benoemt 'AI-register' niet als een op zichzelf staand op te leveren document, maar u kunt niet voldoen aan de AI-geletterdheidsplicht van artikel 4, de classificatie van artikel 6, de gebruiksverantwoordelijkenverplichtingen van artikel 26 of de transparantie van artikel 50 zonder een volledig register van elk AI-systeem dat u in gebruik stelt. In deze gids worden de velden opgesomd die een verdedigbaar register bevat en hoe dit is gekoppeld aan de AVG, NIS2 en de FRIA van artikel 27.

Waarom u het nodig heeft

  • Artikel 4 (van kracht sinds 2 februari 2025): gebruiksverantwoordelijken moeten zorgen voor een voldoende niveau van AI-geletterdheid bij personeel dat omgaat met AI-systemen. Zonder te weten welke systemen in gebruik zijn, kunt u de opleiding niet afbakenen.
  • Artikel 6 + Bijlage III (hoog-risico-regime vanaf 2 augustus 2026): u moet bepalen of elk systeem hoog-risico is om te weten welke verplichtingen van toepassing zijn.
  • Artikel 26 (verplichtingen van de gebruiksverantwoordelijke): toewijzing van menselijk toezicht, bewaring van logboeken, monitoring en werknemersinformatie veronderstellen alle dat u de systemen binnen het toepassingsgebied kunt opnoemen.
  • AVG artikel 30: registers van verwerkingsactiviteiten moeten AI-gebaseerde verwerking weerspiegelen. Een AI-register voedt het RoPA.

Vereiste velden

  1. Systeemnaam, leverancier en versie (of interne modelidentificatie).
  2. Beoogd doel (beschreven in zakelijke termen, niet in marketingtaal).
  3. Rol van uw organisatie: aanbieder, gebruiksverantwoordelijke, importeur, distributeur — en of het systeem een AI-model voor algemene doeleinden (GPAI) is.
  4. Risicoklassificatie op grond van artikel 5 (verboden), artikel 6(1) (veiligheidscomponent of Bijlage I-product), artikel 6(2) (Bijlage III hoog-risico), artikel 50 (beperkt risico / transparantie), of minimaal risico.
  5. Punt en subpunt van Bijlage III indien hoog-risico (bijv. punt 4(a) voor rekruteringsAI).
  6. Beoordeling van de uitzondering van artikel 6(3), indien ingeroepen (en de redenering).
  7. Categorieën en bronnen van invoergegevens; uitvoergegevens en downstream-afnemers.
  8. Markeringen voor persoonsgegevens (AVG, bijzondere categorieën, geautomatiseerde beslissingen op grond van art. 22).
  9. Grensoverschrijdende transfers (Schrems II / TIA waar relevant).
  10. Toewijzing van menselijk toezicht: rol, escalatiepad, opleidingsreferentie.
  11. Configuratie en minimale bewaarperiode van logboeken (art. 26(6): ten minste 6 maanden).
  12. FRIA-referentie (art. 27) en DPIA-referentie (AVG art. 35) indien van toepassing.
  13. Routering van incidentrapportage (ernstig incident art. 73; NIS2 art. 23 indien ook van toepassing).
  14. Datum in gebruik gesteld, datum laatste beoordeling en eigenaar van de beoordeling.

Levenscyclustriggers

Herzie de registervermelding wanneer een van de volgende situaties zich voordoet:

  • Leverancier brengt een wezenlijke wijziging van het model of het beoogde doel uit.
  • U wijzigt het beoogde doel, de gebruikersgroep of de beslissing die het systeem beïnvloedt.
  • Een nieuw subpunt van Bijlage III wordt van toepassing (doorgaans na een wijziging in de workflow).
  • Het systeem wordt geïntegreerd met een nieuwe gegevensbron of downstream-systeem.
  • Een ernstig incident of bijna-incident doet zich voor.

Veelgemaakte afbakeningsfouten

  • Het uitsluiten van ingebedde AI in alledaagse SaaS (bijv. AI-functies in Microsoft 365, Google Workspace, ATS of HRIS). Ingebed gebruik dat een beslissing materieel beïnvloedt, valt binnen de scope.
  • Alleen modellen opnemen, niet systemen. De AI Act reguleert AI-systemen en het gebruik ervan; een model wordt een systeem zodra het een beoogd doel krijgt en wordt ingezet.
  • "Shadow AI" (door werknemers aangeschafte tools, gratis chatbots) buiten scope beschouwen. Zij vallen binnen de scope vanaf het moment dat zij werkgegevens verwerken of werkbeslissingen beïnvloeden.
  • Beperkte-risicotransparantieverplichtingen (art. 50) behandelen als "niet hoog-risico dus niet ons probleem". Vanaf 2 augustus 2026 brengen chatbots, emotieherkenningssystemen en door AI gegenereerde inhoud gebruiksverantwoordelijkenverplichtingen met zich mee, zelfs wanneer het systeem niet hoog-risico is.

Waar het register te bewaren

Een ondertekende CSV in een versioned repository is voldoende om te beginnen. De auditspoor van artikel 26 stelt eisen aan volledigheid, nauwkeurigheid en datering — niet aan de tooling. Koppel elke vermelding aan uw DPIA-repository en aan het leveranciersregister dat wordt gebruikt voor NIS2-beheer van toeleveringsketenrisico's.

Gerelateerde EU-gidsen

Bronnen

  • Regulation (EU) 2024/1689, Articles 3, 4, 5, 6, 26, 27, 50, 73 and Annex III — EUR-Lex: eur-lex.europa.eu/eli/reg/2024/1689/oj
  • Regulation (EU) 2016/679 (GDPR), Articles 22, 30, 35 — EUR-Lex: eur-lex.europa.eu/eli/reg/2016/679/oj

Opmerking: Concrete verplichtingen hangen af van de classificatie van elk systeem en de toepasselijke fase van de EU AI Act. PowerQuant levert software en documentatie voor gebruik in uw interne complianceproces — geen juridisch advies.