Een gestructureerd schema voor gebruiksverantwoordelijken op grond van Verordening (EU) 2024/1689 artikel 26. Elk veld is gekoppeld aan een specifiek lid van artikel 26, subpunt van Bijlage III of AVG-coördinatieplicht, zodat beoordelaars kunnen zien waarom elke kolom bestaat. Een uitgewerkt voorbeeld voor een HR-tech cv-screeningssysteem volgt bij elk veld.
De 12 velden
Bouw het register op in een spreadsheet, een wikipagina of uw GRC-platform — de indeling is voor de toezichthouder niet relevant. Wat telt is dat elk hoog-risico-AI-systeem dat u in gebruik stelt is opgenomen en dat elk veld herleidbaar is tot een verplichting van artikel 26.
01 — Systeemnaam + versie
Waarom: Identificeert het AI-systeem eenduidig. Versie is vereist omdat de monitoringverplichtingen van artikel 26(5) zijn verbonden aan de ingezette versie.
Voorbeeld: TalentFit Screener v3.2.1
02 — Aanbieder (rechtspersoon + CVR/BTW)
Waarom: Artikel 26(1) vereist gebruik overeenkomstig de gebruiksaanwijzing van de aanbieder. U heeft de juridische wederpartij nodig voor escalatie van incidenten.
Voorbeeld: TalentFit ApS, CVR 12345678
03 — CE-markering + DoC-referentie van de aanbieder
Waarom: Artikel 26(1) veronderstelt dat de aanbieder een conform hoog-risicosysteem op de markt heeft gebracht. Leg de EU-conformiteitsverklaringsreferentie vast.
Voorbeeld: DoC-ref TF-2026-014 gedateerd 2026-03-12
04 — Beoogd doel (letterlijk van de aanbieder)
Waarom: Artikel 26(1) koppelt uw verplichtingen aan het door de aanbieder vermelde beoogde doel. Gebruik buiten het doel kan u herclassificeren als aanbieder op grond van artikel 25.
Voorbeeld: Vooraf screenen van sollicitaties voor IT-engineeringfuncties in Nederland
05 — Risicoklassificatie (hoog / beperkt / minimaal / verboden)
Waarom: Bepaalt het gehele complianceregime. Bijlage III, punt 4 dekt HR-tech-rekrutering en besluitvorming op de werkplek.
Voorbeeld: Hoog-risico — Bijlage III(4)(a)
06 — Subpunt van Bijlage III (indien hoog-risico)
Waarom: Meerdere subpunten kunnen van toepassing zijn (bijv. 4(a) rekrutering + 4(b) prestaties). Elk activeert de volledige artikel 26-stack.
Voorbeeld: Bijlage III(4)(a) rekrutering + Bijlage III(4)(b) kandidaatrangschikking
07 — Door u beheerde invoergegevensbronnen
Waarom: De invoergegevensrelevantieverplichting van artikel 26(4) is alleen van toepassing op gegevens die de gebruiksverantwoordelijke beheert. Leg bronnen vast om de verplichting af te bakenen.
Voorbeeld: Sollicitanten-cv's geüpload via het sollicitatieportaal; via LinkedIn geïmporteerde profielen
08 — Uitvoertype + downstream beslissing
Waarom: Artikel 26(11) vereist dat u getroffen personen informeert wanneer de uitvoer bijdraagt aan een beslissing met juridische of vergelijkbaar significante gevolgen.
Voorbeeld: Geschiktheidsscore 0-100; gebruikt om de top 30 kandidaten per functie in de voorselectie op te nemen
09 — Benoemde toezichtsrol + bekwaamheid
Waarom: Artikel 26(2) vereist toewijzing aan een benoemde natuurlijke persoon met bekwaamheid, opleiding en autoriteit — niet een generiek team-mailbox.
Voorbeeld: Hoofd Talent Acquisition, artikel 4-geletterdheidsmodule afgerond april 2026
10 — Bewaarlocatie + -periode van logboeken
Waarom: Artikel 26(6) vereist dat automatisch gegenereerde logboeken worden bewaard gedurende ten minste 6 maanden, tenzij ander Unierecht of nationaal recht een langere periode vereist.
Voorbeeld: AWS S3 eu-north-1 bucket talentfit-logs, 24 maanden bewaring, onveranderlijk
11 — DPIA-referentie (AVG artikel 35)
Waarom: Profilering en geautomatiseerde besluitvorming over sollicitanten vereist doorgaans een DPIA. Artikel 26(9) staat hergebruik van aanbiedersdocumentatie toe, maar de DPIA blijft uw verantwoordelijkheid.
Voorbeeld: DPIA-2026-007, laatste beoordeling 2026-05-15, eigenaar DPO@voorbeeld.nl
12 — Bewijs van werknemersinformatie (artikel 26(7))
Waarom: Werkgevers moeten werknemersvertegenwoordigers en betrokken werknemers informeren vóór de ingebruikstelling van een hoog-risicosysteem op de werkplek. AVG-informatieverplichtingen lopen parallel.
Voorbeeld: Notulen ondernemingsraadsvergadering 2026-02-08; intranetbekendmaking gepubliceerd 2026-02-15
Operationele opmerkingen
- Houd één rij aan per (systeem + versie + beoogd doel)-combinatie. Een materiële wijziging in een van deze elementen creëert een nieuwe rij, geen bewerking.
- Koppel aan uw AVG artikel 30-register van verwerkingsactiviteiten — de twee registers bedienen verschillende toezichthouders (nationale AI-autoriteit versus gegevensbeschermingsautoriteit), maar verwijzen naar dezelfde systemen.
- Beoordelingscadans: minimaal jaarlijks, en onmiddellijk bij (a) versie-upgrades van de leverancier, (b) nieuwe blootstelling aan een subpunt van Bijlage III, (c) elk ernstig-incidentrapport van artikel 73 dat u indient.
- Eigenaar: één verantwoordelijke rol (Hoofd Compliance, FG of CIO). Bewerkers kunnen er velen zijn; één verantwoordelijke ondertekenaar per rij.
Wat dit sjabloon niet dekt
Het register is de basis, niet het volledige compliancedossier. U heeft nog afzonderlijk nodig:
- De fundamentele-rechtenimpactbeoordeling (FRIA) van artikel 27 voor de gebruiksverantwoordelijken die verplicht zijn er een uit te voeren — overheidsinstanties, private exploitanten van openbare diensten en bepaalde Bijlage III-gebruiksverantwoordelijken.
- Het AI-geletterdheidsregister van artikel 4 (opleidingsregistraties per persoon die het systeem bedient), van kracht sinds 2 februari 2025.
- De transparantie-openbaarmakingen van artikel 50 voor chatbots, emotieherkenning, biometrische categorisering en door AI gegenereerde inhoud (van toepassing vanaf 2 augustus 2026).
- Uw draaiboek voor de rapportage van ernstige incidenten op grond van artikel 26(5) en artikel 73.
Bronnen
- Regulation (EU) 2024/1689 (AI Act), Articles 4, 25, 26, 27, 50, 73 and Annex III — EUR-Lex: eur-lex.europa.eu/eli/reg/2024/1689/oj
- Regulation (EU) 2016/679 (GDPR), Articles 22, 30, 35 — EUR-Lex: eur-lex.europa.eu/eli/reg/2016/679/oj
- European Commission AI Act Service Desk Q&A on AI literacy and Article 4 (current 2026).
Opmerking: PowerQuant levert software en documentatie voor gebruik in uw interne complianceproces — geen juridisch advies. Concrete verplichtingen hangen af van de classificatie van elk systeem, uw rol (aanbieder, gebruiksverantwoordelijke, beide) en de toepasselijke fase van de EU AI Act.