PowerQuantNLStuur uw vragenlijst

Een gestructureerd schema voor gebruiksverantwoordelijken op grond van Verordening (EU) 2024/1689 artikel 26. Elk veld is gekoppeld aan een specifiek lid van artikel 26, subpunt van Bijlage III of AVG-coördinatieplicht, zodat beoordelaars kunnen zien waarom elke kolom bestaat. Een uitgewerkt voorbeeld voor een HR-tech cv-screeningssysteem volgt bij elk veld.

De 12 velden

Bouw het register op in een spreadsheet, een wikipagina of uw GRC-platform — de indeling is voor de toezichthouder niet relevant. Wat telt is dat elk hoog-risico-AI-systeem dat u in gebruik stelt is opgenomen en dat elk veld herleidbaar is tot een verplichting van artikel 26.

01 — Systeemnaam + versie

Waarom: Identificeert het AI-systeem eenduidig. Versie is vereist omdat de monitoringverplichtingen van artikel 26(5) zijn verbonden aan de ingezette versie.

Voorbeeld: TalentFit Screener v3.2.1


02 — Aanbieder (rechtspersoon + CVR/BTW)

Waarom: Artikel 26(1) vereist gebruik overeenkomstig de gebruiksaanwijzing van de aanbieder. U heeft de juridische wederpartij nodig voor escalatie van incidenten.

Voorbeeld: TalentFit ApS, CVR 12345678


03 — CE-markering + DoC-referentie van de aanbieder

Waarom: Artikel 26(1) veronderstelt dat de aanbieder een conform hoog-risicosysteem op de markt heeft gebracht. Leg de EU-conformiteitsverklaringsreferentie vast.

Voorbeeld: DoC-ref TF-2026-014 gedateerd 2026-03-12


04 — Beoogd doel (letterlijk van de aanbieder)

Waarom: Artikel 26(1) koppelt uw verplichtingen aan het door de aanbieder vermelde beoogde doel. Gebruik buiten het doel kan u herclassificeren als aanbieder op grond van artikel 25.

Voorbeeld: Vooraf screenen van sollicitaties voor IT-engineeringfuncties in Nederland


05 — Risicoklassificatie (hoog / beperkt / minimaal / verboden)

Waarom: Bepaalt het gehele complianceregime. Bijlage III, punt 4 dekt HR-tech-rekrutering en besluitvorming op de werkplek.

Voorbeeld: Hoog-risico — Bijlage III(4)(a)


06 — Subpunt van Bijlage III (indien hoog-risico)

Waarom: Meerdere subpunten kunnen van toepassing zijn (bijv. 4(a) rekrutering + 4(b) prestaties). Elk activeert de volledige artikel 26-stack.

Voorbeeld: Bijlage III(4)(a) rekrutering + Bijlage III(4)(b) kandidaatrangschikking


07 — Door u beheerde invoergegevensbronnen

Waarom: De invoergegevensrelevantieverplichting van artikel 26(4) is alleen van toepassing op gegevens die de gebruiksverantwoordelijke beheert. Leg bronnen vast om de verplichting af te bakenen.

Voorbeeld: Sollicitanten-cv's geüpload via het sollicitatieportaal; via LinkedIn geïmporteerde profielen


08 — Uitvoertype + downstream beslissing

Waarom: Artikel 26(11) vereist dat u getroffen personen informeert wanneer de uitvoer bijdraagt aan een beslissing met juridische of vergelijkbaar significante gevolgen.

Voorbeeld: Geschiktheidsscore 0-100; gebruikt om de top 30 kandidaten per functie in de voorselectie op te nemen


09 — Benoemde toezichtsrol + bekwaamheid

Waarom: Artikel 26(2) vereist toewijzing aan een benoemde natuurlijke persoon met bekwaamheid, opleiding en autoriteit — niet een generiek team-mailbox.

Voorbeeld: Hoofd Talent Acquisition, artikel 4-geletterdheidsmodule afgerond april 2026


10 — Bewaarlocatie + -periode van logboeken

Waarom: Artikel 26(6) vereist dat automatisch gegenereerde logboeken worden bewaard gedurende ten minste 6 maanden, tenzij ander Unierecht of nationaal recht een langere periode vereist.

Voorbeeld: AWS S3 eu-north-1 bucket talentfit-logs, 24 maanden bewaring, onveranderlijk


11 — DPIA-referentie (AVG artikel 35)

Waarom: Profilering en geautomatiseerde besluitvorming over sollicitanten vereist doorgaans een DPIA. Artikel 26(9) staat hergebruik van aanbiedersdocumentatie toe, maar de DPIA blijft uw verantwoordelijkheid.

Voorbeeld: DPIA-2026-007, laatste beoordeling 2026-05-15, eigenaar DPO@voorbeeld.nl


12 — Bewijs van werknemersinformatie (artikel 26(7))

Waarom: Werkgevers moeten werknemersvertegenwoordigers en betrokken werknemers informeren vóór de ingebruikstelling van een hoog-risicosysteem op de werkplek. AVG-informatieverplichtingen lopen parallel.

Voorbeeld: Notulen ondernemingsraadsvergadering 2026-02-08; intranetbekendmaking gepubliceerd 2026-02-15


Operationele opmerkingen

  • Houd één rij aan per (systeem + versie + beoogd doel)-combinatie. Een materiële wijziging in een van deze elementen creëert een nieuwe rij, geen bewerking.
  • Koppel aan uw AVG artikel 30-register van verwerkingsactiviteiten — de twee registers bedienen verschillende toezichthouders (nationale AI-autoriteit versus gegevensbeschermingsautoriteit), maar verwijzen naar dezelfde systemen.
  • Beoordelingscadans: minimaal jaarlijks, en onmiddellijk bij (a) versie-upgrades van de leverancier, (b) nieuwe blootstelling aan een subpunt van Bijlage III, (c) elk ernstig-incidentrapport van artikel 73 dat u indient.
  • Eigenaar: één verantwoordelijke rol (Hoofd Compliance, FG of CIO). Bewerkers kunnen er velen zijn; één verantwoordelijke ondertekenaar per rij.

Wat dit sjabloon niet dekt

Het register is de basis, niet het volledige compliancedossier. U heeft nog afzonderlijk nodig:

  • De fundamentele-rechtenimpactbeoordeling (FRIA) van artikel 27 voor de gebruiksverantwoordelijken die verplicht zijn er een uit te voeren — overheidsinstanties, private exploitanten van openbare diensten en bepaalde Bijlage III-gebruiksverantwoordelijken.
  • Het AI-geletterdheidsregister van artikel 4 (opleidingsregistraties per persoon die het systeem bedient), van kracht sinds 2 februari 2025.
  • De transparantie-openbaarmakingen van artikel 50 voor chatbots, emotieherkenning, biometrische categorisering en door AI gegenereerde inhoud (van toepassing vanaf 2 augustus 2026).
  • Uw draaiboek voor de rapportage van ernstige incidenten op grond van artikel 26(5) en artikel 73.

Bronnen

  • Regulation (EU) 2024/1689 (AI Act), Articles 4, 25, 26, 27, 50, 73 and Annex III — EUR-Lex: eur-lex.europa.eu/eli/reg/2024/1689/oj
  • Regulation (EU) 2016/679 (GDPR), Articles 22, 30, 35 — EUR-Lex: eur-lex.europa.eu/eli/reg/2016/679/oj
  • European Commission AI Act Service Desk Q&A on AI literacy and Article 4 (current 2026).

Opmerking: PowerQuant levert software en documentatie voor gebruik in uw interne complianceproces — geen juridisch advies. Concrete verplichtingen hangen af van de classificatie van elk systeem, uw rol (aanbieder, gebruiksverantwoordelijke, beide) en de toepasselijke fase van de EU AI Act.