Registratie en logboekvorming op grond van artikel 12 van de EU AI-verordening
Logboeken vormen het auditspoor waarmee een toezichthouder, een rechter of een interne onderzoeker kan reconstrueren wat een hoog-risico AI-systeem daadwerkelijk heeft gedaan. Artikel 12 van Verordening (EU) 2024/1689 legt de ontwerpplicht bij de aanbieder. Artikel 19 en artikel 26(6) leggen een bewaarplicht bij zowel de aanbieder als de gebruiksverantwoordelijke. Deze pagina behandelt wat u moet registreren, wat bijzonder is aan biometrische identificatie op afstand, en hoe de registraties de artikelen 72, 73 en 79 voeden.
De kernverplichting — artikel 12(1) en (2)
Artikel 12(1) vereist dat hoog-risico AI-systemen technisch de automatische registratie van gebeurtenissen ("logboeken") over de levensduur van het systeem mogelijk maken. De logboekcapaciteit moet in overeenstemming zijn met erkende normen of gemeenschappelijke specificaties, voor zover dergelijke normen of specificaties beschikbaar zijn.
Artikel 12(2) omschrijft het doel: de logboekcapaciteiten moeten de registratie mogelijk maken van gebeurtenissen die relevant zijn voor (a) het identificeren van situaties die ertoe kunnen leiden dat het hoog-risico AI-systeem een risico in de zin van artikel 79(1) oplevert of tot een wezenlijke wijziging, (b) het faciliteren van de postmarktmonitoring als bedoeld in artikel 72, en (c) het monitoren van de werking van hoog-risico AI-systemen als bedoeld in artikel 26(5) door de gebruiksverantwoordelijken.
De minimale logboekset voor biometrische identificatie op afstand — artikel 12(3)
Voor hoog-risico AI-systemen als bedoeld in punt 1(a) van Bijlage III (biometrische identificatie op afstand) stelt artikel 12(3) een minimale logboekset vast. De logboekcapaciteiten moeten ten minste voorzien in:
- de registratie van de periode van elk gebruik van het systeem (begindatum en -tijdstip en einddatum en -tijdstip van elk gebruik);
- de referentiedatabase waartegen invoergegevens door het systeem zijn gecontroleerd;
- de invoergegevens waarvoor de zoekopdracht tot een overeenkomst heeft geleid;
- de identificatie van de natuurlijke personen die betrokken zijn bij de verificatie van de resultaten, als bedoeld in artikel 14(5).
Voor andere hoog-risico Bijlage III-systemen (inclusief de HR/arbeids-systemen onder punt 4) schrijft artikel 12 geen gesloten lijst voor. De aanbieder kiest de set geregistreerde gebeurtenissen die voldoet aan artikel 12(2)(a)–(c), documenteert dit in de technische documentatie van Bijlage IV en maakt dit kenbaar via de gebruiksinstructies van artikel 13.
Bewaring aan de aanbiederskant — artikel 19
Artikel 19(1) vereist dat aanbieders van hoog-risico AI-systemen de logboeken als bedoeld in artikel 12(1) die automatisch door hun hoog-risico AI-systemen worden gegenereerd bewaren, voor zover dergelijke logboeken onder hun beheer vallen. Onverminderd het toepasselijke Unie- of nationale recht moeten de logboeken worden bewaard voor een periode die passend is voor het beoogde doel van het hoog-risico AI-systeem, van ten minste zes maanden, tenzij anders bepaald in het toepasselijke Unie- of nationale recht, met name het Unierecht inzake de bescherming van persoonsgegevens.
Bewaring aan de kant van de gebruiksverantwoordelijke — artikel 26(6)
Artikel 26(6) legt een parallele bewaarplicht op aan gebruiksverantwoordelijken van hoog-risico AI-systemen. Gebruiksverantwoordelijken moeten de logboeken die automatisch door dat hoog-risico AI-systeem worden gegenereerd bewaren voor zover dergelijke logboeken onder hun beheer vallen, voor een periode die passend is voor het beoogde doel van het hoog-risico AI-systeem, van ten minste zes maanden, tenzij anders bepaald in het toepasselijke Unie- of nationale recht, met name het Unierecht inzake de bescherming van persoonsgegevens.
Voor gebruiksverantwoordelijken die financiële instellingen zijn die op grond van het Unie-financiëlediensterrecht onderworpen zijn aan vereisten inzake hun interne governance, regelingen of processen, moeten de logboeken worden bewaard als onderdeel van de documentatie die op grond van het relevante Unie-financiëlediensterrecht wordt bijgehouden.
Waar de logboeken daadwerkelijk worden gebruikt
- Postmarktmonitoring artikel 72. Aanbieders moeten een postmarktmonitoringsysteem opzetten dat continu gegevens verzamelt en analyseert over de prestaties van het systeem — logboeken zijn het primaire substraat.
- Melding van ernstige incidenten artikel 73. Aanbieders melden ernstige incidenten aan markttoezichtautoriteiten. Zonder logboeken is er geen incidentreconstructie.
- Risicobeheertrigger artikel 79. Via logboekvorming geïdentificeerde 'risico'-gebeurtenissen zijn de trigger voor herbeoordeling, corrigerende actie en, waar relevant, terugroeping of intrekking op grond van artikel 20.
- Opschortingsplicht artikel 26(5). Wanneer gebruiksverantwoordelijken op basis van de monitoring van de werking vaststellen dat gebruik overeenkomstig de instructies ertoe kan leiden dat het AI-systeem een risico in de zin van artikel 79(1) oplevert, moeten zij zonder onnodige vertraging de aanbieder of distributeur en de relevante markttoezichtautoriteit informeren en het gebruik opschorten.
Veelvoorkomende misvattingen
- "De leverancier bewaart de logboeken — dat is voldoende." Artikel 26(6) is een onafhankelijke plicht van de gebruiksverantwoordelijke: u moet de logboeken die onder uw beheer vallen bijhouden, voor ten minste zes maanden.
- "Logboeken zijn alleen voor ingenieurs." Ze vormen bewijs voor postmarktmonitoring (art. 72), incidentmelding (art. 73), markttoezichtonderzoeken (art. 74) en in sommige scenario's informatieverzoeken van betrokken personen op grond van artikel 26(11).
- "Zes maanden is het maximum." Artikel 19 en artikel 26(6) zeggen ten minste zes maanden. De werkelijke periode moet "passend zijn voor het beoogde doel" en de opslagbeperking op grond van de AVG artikel 5(1)(e) respecteren.
- "Logboeken zijn vrijgesteld van de AVG." Wanneer logboeken persoonsgegevens bevatten, is de AVG parallel van toepassing. Artikel 12 en artikel 19 verwijzen uitdrukkelijk naar het Uniegegevensbeschermingsrecht.
Verwante EU-gidsen
- Menselijk toezicht — artikel 14
- Datagovernance en biastesting — artikel 10
- Handhaving en sancties — wie houdt toezicht en hoe
- EU AI-verordening-tijdlijn voor gebruiksverantwoordelijken
- NIS2 essentiële versus belangrijke entiteiten
Bronnen
- Verordening (EU) 2024/1689, artikelen 12, 14, 19, 20, 26, 72, 73, 74, 79 — EUR-Lex: eur-lex.europa.eu/eli/reg/2024/1689/oj
- Europese Commissie — AI Act Service Desk, artikel 12: ai-act-service-desk.ec.europa.eu/en/ai-act/article-12
Opmerking: Logboekbewaringsperioden kunnen worden verlengd of verkort door sectorspecifiek Unie- of nationaal recht (met name de AVG-opslagbeperking op grond van artikel 5(1)(e)). PowerQuant levert templates voor het logboekbewaarregister aan de kant van de gebruiksverantwoordelijke — geen juridisch advies.