AI-gebruik documenteer je conform de AI Act door voor elk AI-systeem een technisch dossier bij te houden dat het doel, de risicoklasse, de werking en de verantwoordelijkheden beschrijft. Hoe uitgebreid die documentatie moet zijn, hangt af van de risicoklasse van je systeem: hoog-risico AI vraagt om een volledig technisch dossier en registratie in een EU-databank, terwijl AI met beperkt risico volstaat met lichtere transparantieverplichtingen. In dit artikel beantwoorden we de meest gestelde vragen over AI governance en documentatie, zodat je precies weet wat je organisatie moet regelen.
Welke AI-systemen moet je verplicht documenteren onder de AI Act?
Onder de AI Act ben je verplicht te documenteren zodra je een AI-systeem aanbiedt of inzet dat als hoog-risico wordt geclassificeerd, of wanneer je een systeem gebruikt dat onder de transparantieverplichtingen voor beperkt risico valt. De meerderheid van de huidige AI-toepassingen valt in de categorie minimaal of geen risico en blijft ongereguleerd, maar je moet wel kunnen aantonen tot welke categorie je systeem behoort.
De wet onderscheidt vier risiconiveaus. Verboden AI (onaanvaardbaar risico) mag simpelweg niet worden ingezet. Hoog-risico AI vereist uitgebreide documentatie en conformiteitsbeoordeling. AI met beperkt risico kent lichtere transparantieverplichtingen, zoals de verplichting om gebruikers te informeren dat ze met een AI-systeem communiceren. AI met minimaal risico is grotendeels vrij van documentatieplicht.
Hoog-risico AI is gedefinieerd in twee categorieën. Ten eerste systemen die als veiligheidscomponent dienen van producten die onder Europese harmonisatiewetgeving vallen en een conformiteitsbeoordeling door een derde partij vereisen. Ten tweede systemen die vallen onder een van de acht domeinen in Annex III:
- Biometrie
- Kritieke infrastructuur
- Onderwijs en beroepsopleiding
- Werkgelegenheid en personeelsbeheer
- Toegang tot essentiële diensten (zoals kredietwaardigheid of noodoproepen)
- Rechtshandhaving
- Migratie en grenscontrole
- Rechtsbedeling en democratische processen
Belangrijk: systemen die profilering van natuurlijke personen uitvoeren, zijn altijd hoog-risico, ongeacht het domein. Een systeem dat uitsluitend een enge procedurele of voorbereidende taak vervult en geen significant risico voor grondrechten vormt, kan buiten de hoog-risico-categorie vallen, maar alleen als je dit onderbouwd documenteert.
Wat moet er precies in een AI Act-conforme documentatie staan?
Een AI Act-conforme documentatie voor hoog-risico systemen bevat minimaal een technisch dossier met een beschrijving van het systeem en het beoogde doel, een risicoanalyse, informatie over de trainingsdata en de werking van het systeem, en een beschrijving van de menselijke toezichtmaatregelen. Voor beperkt-risico systemen volstaat een beknoptere transparantiedocumentatie.
Voor hoog-risico AI schrijft de AI Act de volgende elementen voor in het technisch dossier:
- Algemene beschrijving: wat doet het systeem, wat is het beoogde gebruik en wie zijn de eindgebruikers?
- Risicoklasse-onderbouwing: waarom valt het systeem in de hoog-risico-categorie, of juist niet?
- Technische specificaties: architectuur, algoritmen, trainingsdata en prestatiestatistieken
- Risicobeheersysteem: welke risico’s zijn geïdentificeerd en welke maatregelen zijn genomen?
- Menselijk toezicht: hoe en door wie wordt het systeem gecontroleerd?
- Conformiteitsverklaring: verklaring dat het systeem aan de eisen voldoet
- Registratie: inschrijving in de EU-databank voor hoog-risico systemen
Documentatie moet gedurende tien jaar worden bewaard na het op de markt brengen of in gebruik nemen van het systeem. Dit geldt ook voor importeurs, die verplicht zijn te verifiëren dat de conformiteitsbeoordeling is uitgevoerd en de CE-markering aanwezig is voordat ze een systeem introduceren.
Hoe verschilt documentatie voor aanbieders en gebruikers van AI?
Aanbieders van AI-systemen dragen de zwaarste documentatieplicht: zij moeten het volledige technisch dossier opstellen, de conformiteitsbeoordeling uitvoeren en het systeem registreren. Gebruikers (in de AI Act aangeduid als "deployers") hebben een lichtere plicht, maar zijn wel verplicht om het systeem te gebruiken conform de instructies van de aanbieder en om incidenten te melden.
Het onderscheid is in de praktijk niet altijd scherp. Een organisatie die een standaard AI-tool van een externe leverancier afneemt, is deployer. Maar zodra je die tool aanpast, je eigen naam erop zet, of het beoogde doel zodanig wijzigt dat het systeem hoog-risico wordt, word je zelf aanbieder, met alle bijbehorende verplichtingen.
Voor deployers gelden onder meer de volgende verplichtingen bij hoog-risico AI:
- Gebruik het systeem uitsluitend voor het beoogde doel zoals beschreven door de aanbieder
- Zorg voor menselijk toezicht door gekwalificeerde medewerkers
- Meld ernstige incidenten aan de markttoezichtautoriteit
- Voer bij bepaalde toepassingen een grondrechteneffectbeoordeling uit
- Bewaar logs van het gebruik, voor zover je daar controle over hebt
Aanbieders buiten de EU moeten bovendien een gemachtigde vertegenwoordiger in de EU aanwijzen die namens hen de verplichtingen naleeft.
Hoe stel je een praktisch AI-register in voor je organisatie?
Een praktisch AI-register begin je door alle AI-systemen in je organisatie te inventariseren, ze te classificeren op risiconiveau en per systeem de kerngegevens vast te leggen. Het register vormt de ruggengraat van je AI governance en maakt het mogelijk om snel aan te tonen welke systemen je gebruikt en hoe je de compliance borgt.
Bouw je register op in drie stappen:
- Inventariseer: breng alle AI-toepassingen in kaart, inclusief ingekochte tools, ingebedde functies in software en intern ontwikkelde systemen. Vergeet ook AI-functies in bestaande software niet, zoals automatische e-mailsortering of voorspellende tekst.
- Classificeer: bepaal per systeem de risicoklasse op basis van de AI Act-criteria. Documenteer de redenering, zodat je bij een controle kunt aantonen waarom je een systeem als laag-risico hebt geclassificeerd.
- Documenteer: leg per systeem vast wie de aanbieder is, wat het beoogde gebruik is, wie verantwoordelijk is binnen je organisatie, welke data het systeem gebruikt en welke maatregelen er zijn voor menselijk toezicht.
Houd het register levend door het te koppelen aan je inkoopproces: elk nieuw AI-systeem dat je aanschaft of implementeert, wordt direct opgenomen en geclassificeerd. Wijs een eigenaar aan per systeem, zodat verantwoordelijkheden helder zijn. De AI Act verplicht organisaties ook tot AI-geletterdheid (Artikel 4, van kracht sinds 2 februari 2025), wat betekent dat medewerkers die met AI-systemen werken voldoende kennis moeten hebben van de werking en risico’s ervan.
Welke tools en templates helpen bij AI Act-documentatie?
Voor AI Act-documentatie kun je gebruikmaken van risicobeoordelingstemplates van nationale toezichthouders, open standaarden zoals model cards en datasheets for datasets, en gespecialiseerde compliance-softwareoplossingen. De Europese Commissie en het AI Office publiceren ook richtsnoeren en standaardformulieren die als startpunt dienen.
Praktische hulpmiddelen die je kunt inzetten:
- Risicobeoordelingstemplates: het AI Office en nationale autoriteiten bieden formats aan voor het classificeren van AI-systemen en het onderbouwen van je risicoklasse-keuze
- Model cards: gestandaardiseerde documenten die de werking, beperkingen en beoogde toepassingen van een AI-model beschrijven, oorspronkelijk ontwikkeld door de onderzoekswereld
- Data impact assessments: templates voor het beoordelen van de risico’s van trainingsdata, inclusief bias en privacyaspecten
- Grondrechteneffectbeoordeling: voor bepaalde hoog-risico toepassingen is dit verplicht; de Commissie werkt aan een gestandaardiseerd format
- Compliance-software: gespecialiseerde platforms helpen bij het bijhouden van je AI-register, het plannen van audits en het beheren van documentatie over meerdere systemen
Koppel je AI-documentatie waar mogelijk aan bestaande processen voor informatiebeveiliging en privacybeheer. Als je organisatie al werkt met een Information Security Management System (ISMS) op basis van ISO 27001, kun je AI-gerelateerde risico’s en documentatie daar logisch in integreren.
Wat zijn de gevolgen als je AI-documentatie niet op orde is?
Als je AI-documentatie niet voldoet aan de AI Act, riskeer je boetes tot 15 miljoen euro of 3% van de wereldwijde jaaromzet bij non-conformiteit met de verplichtingen. Bij overtredingen van de verboden praktijken loopt de boete op tot 35 miljoen euro of 7% van de jaaromzet. Naast financiële sancties loop je ook reputatieschade en operationele stillegging op.
De boetestructuur kent drie treden:
- Verboden praktijken (Artikel 5): maximaal 35 miljoen euro of 7% van de wereldwijde jaaromzet
- Non-conformiteit met overige verplichtingen: maximaal 15 miljoen euro of 3% van de jaaromzet
- Onjuiste of misleidende informatie aan autoriteiten: maximaal 7,5 miljoen euro of 1% van de jaaromzet
Voor kmo’s en start-ups geldt telkens het laagste van het percentage of het vaste bedrag, wat een relatieve bescherming biedt. De meeste verplichtingen voor hoog-risico Annex III-systemen gelden vanaf 2 augustus 2026, dus organisaties hebben nu nog de tijd om hun documentatie op orde te brengen. Toezicht op hoog-risico AI berust bij nationale markttoezichtautoriteiten, wat kan leiden tot verschillen in prioriteiten per lidstaat. Finland was in januari 2026 de eerste lidstaat die handhavingsbevoegdheden toekende aan zijn autoriteit.
Naast boetes zijn er ook indirecte gevolgen: zonder aantoonbare AI governance verlies je het vertrouwen van klanten en partners, kun je hoog-risico systemen niet meer legaal inzetten, en loop je risico op aansprakelijkheid als een AI-systeem schade veroorzaakt zonder dat je kunt aantonen dat je de juiste maatregelen had genomen.
Hoe Pegamento helpt met AI governance en documentatie
AI governance goed inrichten vraagt om meer dan een spreadsheet met systemen. Het vraagt om een gestructureerde aanpak die aansluit op je bestaande processen voor beveiliging, kwaliteit en compliance. Wij helpen organisaties bij het opzetten van een werkbare AI governance-structuur, van inventarisatie tot documentatie en monitoring.
Wat we concreet voor je kunnen doen:
- Inventariseren welke AI-systemen je organisatie gebruikt, inclusief ingebedde functies in bestaande software
- Classificeren van systemen op basis van de AI Act-risicocriteria, met onderbouwde documentatie
- Opzetten van een AI-register dat aansluit op je bestaande ISMS en ISO 27001-processen
- Implementeren van Agentic AI-assistenten die voldoen aan de transparantie- en documentatieverplichtingen, inclusief de benodigde technische dossiers
- Trainen van medewerkers op AI-geletterdheid conform Artikel 4 van de AI Act
Onze aanpak combineert bewezen standaardbouwblokken tot een oplossing op maat voor jouw organisatie, zonder kostbaar maatwerk. Alles onder één dak: van advies en implementatie tot beheer en ondersteuning. Wil je weten waar je nu staat met je AI-documentatie en wat je nog moet regelen voor de deadlines van 2026? Neem contact op en we kijken samen naar de beste aanpak voor jouw situatie.
Veelgestelde vragen
Moet ik als kleine organisatie of kmo ook voldoen aan de AI Act-documentatieverplichtingen?
Ja, de AI Act geldt in principe voor alle organisaties die AI-systemen aanbieden of inzetten binnen de EU, ongeacht hun omvang. Kmo's en start-ups krijgen wel enige bescherming via de boetestructuur (het laagste van het vaste bedrag of het percentage van de omzet geldt), en het AI Office biedt vereenvoudigde richtsnoeren specifiek voor kleinere organisaties. Toch is het verstandig om ook als kmo nu al te starten met een basisinventarisatie van je AI-systemen, zodat je niet voor verrassingen staat wanneer de deadlines van 2026 naderen.
Hoe weet ik of een AI-tool die ik inkoop bij een externe leverancier hoog-risico is?
Vraag bij de leverancier actief naar de risicoklassificatie van het systeem en of er een technisch dossier en conformiteitsverklaring beschikbaar zijn. Hoog-risico systemen moeten door de aanbieder zijn geregistreerd in de EU-databank en voorzien zijn van een CE-markering. Als deployer ben je verplicht te verifiëren dat de aanbieder zijn verplichtingen heeft nageleefd voordat je het systeem in gebruik neemt — ontbreekt deze documentatie, dan loop je zelf risico bij een controle.
Wat is het verschil tussen een AI-register en een technisch dossier, en heb ik beide nodig?
Een AI-register is een intern overzichtsdocument van alle AI-systemen die je organisatie gebruikt, inclusief hun risicoklasse, eigenaar en gebruiksdoel — het is jouw beheertool voor AI governance. Een technisch dossier is een gedetailleerd, wettelijk verplicht document per hoog-risico systeem dat de technische werking, risicoanalyse en conformiteitsverklaring bevat. Je hebt beide nodig: het register als fundament voor je governance-structuur, en het technisch dossier als bewijs van compliance voor hoog-risico toepassingen.
Wat moet ik doen als een AI-systeem dat ik gebruik van risicoklasse verandert, bijvoorbeeld door een update van de leverancier?
Zodra een leverancier een significante update doorvoert die het beoogde gebruik of de werking van het systeem wezenlijk wijzigt, kan de risicoklassificatie inderdaad veranderen — en daarmee ook jouw verplichtingen als deployer. Houd contractueel vast dat leveranciers je informeren bij wijzigingen die de risicoklasse kunnen beïnvloeden, en herzie de classificatie in je AI-register bij elke materiële update. Koppel dit aan je inkoopproces zodat je niet achteraf voor verrassingen staat.
Hoe ga ik om met AI-functies die al ingebouwd zitten in bestaande software, zoals CRM- of HR-systemen?
Ingebedde AI-functies in standaardsoftware worden vaak over het hoofd gezien, maar vallen wel degelijk onder de AI Act als ze beslissingen ondersteunen in hoog-risico domeinen zoals personeelsbeheer of kredietverlening. Inventariseer actief welke AI-functionaliteiten aanwezig zijn in je bestaande softwarepaketten — vraag dit na bij leveranciers als het niet duidelijk is — en neem ze op in je AI-register. Als de leverancier de aanbieder is, controleer dan of zij hun documentatieverplichtingen hebben nageleefd.
Hoe zorg ik ervoor dat mijn AI-documentatie up-to-date blijft naarmate de regelgeving evolueert?
Wijs een verantwoordelijke aan — bijvoorbeeld een AI-coördinator of een bestaande compliance-functionaris — die de ontwikkelingen rondom de AI Act actief volgt, waaronder richtsnoeren van het AI Office en updates van nationale toezichthouders. Koppel je AI-register aan een vaste reviewcyclus, minimaal jaarlijks of bij elke significante wijziging in een systeem of de regelgeving. Abonneer je op updates van het Europees AI Office en relevante nationale autoriteiten om tijdig te reageren op nieuwe verplichtingen of gewijzigde interpretaties.
Kunnen medewerkers persoonlijk aansprakelijk worden gesteld als AI-documentatie niet op orde is?
De AI Act richt zich primair op organisaties als juridische entiteiten, niet op individuele medewerkers. Toch kan binnen een organisatie interne aansprakelijkheid ontstaan als een medewerker aantoonbaar nalatig is geweest in het naleven van vastgelegde procedures. Zorg daarom voor heldere taakverdeling in je AI governance — leg vast wie verantwoordelijk is voor documentatie, classificatie en toezicht — en zorg dat medewerkers voldoende zijn getraind op hun verplichtingen conform Artikel 4 van de AI Act.


