Voor AI-logging geldt een bewaartermijn van minimaal tien jaar voor hoog-risico AI-systemen onder de EU AI Act. De verantwoordelijkheid ligt bij zowel aanbieders als deployers, afhankelijk van hun rol in de keten. In dit artikel beantwoorden we de meest gestelde vragen over bewaarplichten, verantwoordelijkheden en de relatie met de AVG, zodat je precies weet waar je als organisatie aan toe bent. Als je meer wilt weten over hoe AI-gedreven intelligentie verantwoord ingezet kan worden, lees dan verder over AI-gedreven intelligentie.
Welke wettelijke regels gelden er voor het bewaren van AI-logs?
De belangrijkste wettelijke basis voor het bewaren van AI-logs is de EU AI Act (Verordening (EU) 2024/1689). Voor hoog-risico AI-systemen schrijft de verordening voor dat logs automatisch worden gegenereerd en bewaard, zodat achteraf aantoonbaar is hoe het systeem heeft gefunctioneerd. Aanvullend gelden de AVG en sectorspecifieke regelgeving als aanvullende kaders.
De EU AI Act trad in werking op 1 augustus 2024, maar de verplichtingen worden gefaseerd ingevoerd. Voor hoog-risico AI-systemen die vallen onder Annex III worden de meeste conformiteitseisen per 2 augustus 2026 afdwingbaar. Dit betekent dat organisaties die nu al zulke systemen inzetten, zich actief moeten voorbereiden op naleving.
Hoog-risico AI omvat systemen in domeinen zoals biometrie, kritieke infrastructuur, onderwijs, werkgelegenheid, toegang tot essentiële diensten, rechtshandhaving, migratie en rechtsbedeling. Gebruik je AI binnen een van deze domeinen, dan gelden de strengste loggingsvereisten. Voor AI met beperkt risico zijn de verplichtingen lichter, maar transparantievereisten blijven van toepassing.
Hoe lang moet je AI-logging concreet bewaren?
Voor hoog-risico AI-systemen schrijft de EU AI Act een bewaartermijn van tien jaar voor. Importeurs van hoog-risico systemen zijn verplicht de technische documentatie en conformiteitsverklaring gedurende tien jaar na marktintroductie te bewaren. Voor de automatisch gegenereerde logs van het systeem zelf geldt dezelfde orde van grootte, tenzij sectorspecifieke regels een langere termijn vereisen.
Concreet betekent dit het volgende:
- Hoog-risico AI (Annex III): minimaal tien jaar bewaren, te rekenen vanaf de datum waarop het systeem in gebruik is genomen of de beslissing is genomen.
- GPAI-modellen: technische documentatie conform Annex XI en Annex XII moet actueel worden gehouden zolang het model beschikbaar is, plus de periode die nationale toezichthouders hanteren.
- AI met beperkt of minimaal risico: geen expliciete bewaartermijn in de AI Act, maar de AVG en andere wetgeving kunnen alsnog termijnen opleggen.
Houd er rekening mee dat de AVG kortere bewaartermijnen kan voorschrijven voor persoonsgegevens die in logs voorkomen. Hier ontstaat een spanning: de AI Act vraagt om lange bewaring voor auditdoeleinden, terwijl de AVG vraagt om minimale gegevensverwerking. De oplossing is doorgaans pseudonimisering of aggregatie van persoonsgegevens in de logs, zodat aan beide verplichtingen wordt voldaan.
Wie is er verantwoordelijk voor AI-logging: aanbieder of gebruiker?
Zowel de aanbieder als de deployer (gebruiker) dragen verantwoordelijkheid voor AI-logging, maar op verschillende vlakken. De aanbieder is verantwoordelijk voor het bouwen van een systeem dat automatisch de vereiste logs genereert. De deployer is verantwoordelijk voor het bewaren, beheren en beschikbaar stellen van die logs aan toezichthouders.
De AI Act maakt een belangrijk onderscheid tussen rollen in de keten:
- Aanbieder: ontwikkelt of laat een AI-systeem ontwikkelen en brengt het op de markt. Verantwoordelijk voor het inbouwen van loggingsfunctionaliteit en het opstellen van technische documentatie.
- Deployer: zet een bestaand AI-systeem in voor eigen doeleinden. Verantwoordelijk voor het bewaren van de gegenereerde logs en het naleven van gebruiksvoorwaarden.
- Importeur en distributeur: moeten verifiëren of de conformiteitsbeoordeling is uitgevoerd en documentatie tien jaar bewaren.
Een cruciaal aandachtspunt is Artikel 25 van de AI Act: een deployer of distributeur kan ongemerkt de status van aanbieder verkrijgen. Dit gebeurt wanneer je je eigen naam op een systeem zet, een substantiële wijziging aanbrengt, of het beoogde doel zodanig wijzigt dat het systeem hoog-risico wordt. In dat geval gelden alle verplichtingen van een aanbieder, inclusief de volledige loggingsplicht. Het is dan ook verstandig om nu al een register bij te houden van alle AI-systemen en de rol die je organisatie daarin vervult.
Wat moet er precies in AI-logs worden vastgelegd?
Voor hoog-risico AI-systemen moeten logs minimaal bevatten: de periode van gebruik van het systeem, de referentiedatabank waartegen het systeem invoer heeft getoetst, de invoerdata die tot een bepaalde uitkomst hebben geleid, en de identiteit van de natuurlijke personen die betrokken waren bij de verificatie van de resultaten. De exacte inhoud hangt af van het type systeem en het toepassingsdomein.
In de praktijk gaat het om de volgende categorieën logdata:
- Operationele logs: wanneer het systeem actief was, welke versie werd gebruikt, en welke datainvoer werd verwerkt.
- Beslissingslogs: welke uitkomsten het systeem heeft gegenereerd en op basis van welke parameters.
- Menselijk toezicht: wanneer en hoe een menselijke operator de uitkomst heeft beoordeeld, goedgekeurd of overschreven.
- Incidentlogs: afwijkingen, fouten of onverwacht gedrag van het systeem.
- Toegangslogs: wie toegang had tot het systeem en de bijbehorende data.
Voor GPAI-modellen gelden aanvullende documentatieverplichtingen conform Annex XI en Annex XII, waaronder een samenvatting van de gebruikte trainingsdata en informatie over de capaciteiten en beperkingen van het model. Aanbieders van modellen met systeemrisico moeten bovendien ernstige incidenten onverwijld melden aan het AI Office.
Hoe verhoudt AI-logging zich tot de AVG en privacywetgeving?
AI-logging en de AVG staan in een gespannen verhouding tot elkaar. De AI Act vraagt om uitgebreide en langdurige logging voor auditbaarheid en toezicht, terwijl de AVG het beginsel van dataminimalisatie hanteert: je mag niet meer persoonsgegevens verwerken dan strikt noodzakelijk. Organisaties moeten beide verplichtingen tegelijkertijd naleven.
De praktische oplossing ligt in een combinatie van technische en organisatorische maatregelen:
- Pseudonimisering: vervang directe identificatoren in logs door codes, zodat de data niet meer direct herleidbaar is tot een persoon zonder aanvullende sleutel.
- Aggregatie: sla waar mogelijk geaggregeerde data op in plaats van individuele beslissingen.
- Toegangsbeperking: beperk toegang tot logs tot medewerkers met een aantoonbare noodzaak, en leg die toegang zelf ook vast.
- Bewaartermijnen afstemmen: stel gedifferentieerde bewaartermijnen in voor persoonsgegevens versus technische systeemdata.
Vergeet ook niet dat de AVG een rechtmatige grondslag vereist voor elke verwerking van persoonsgegevens, inclusief die in AI-logs. Doorgaans is dit een gerechtvaardigd belang of een wettelijke verplichting. Documenteer deze grondslag in je verwerkingsregister en koppel dit aan het AI-systeemregister dat de AI Act vereist.
Wat zijn de gevolgen van onvoldoende AI-logging?
Onvoldoende AI-logging kan leiden tot forse boetes, verlies van markttoegangsmogelijkheden en reputatieschade. De AI Act kent een drietrapsboetestructuur: overtredingen van de verboden praktijken kunnen oplopen tot 35 miljoen euro of 7% van de wereldwijde jaaromzet. Non-conformiteit met overige verplichtingen, waaronder loggingseisen, kan leiden tot maximaal 15 miljoen euro of 3%.
Naast financiële sancties zijn er ook operationele en juridische risico’s:
- Toezichthoudersingrijpen: nationale markttoezichtautoriteiten kunnen het gebruik van een systeem opschorten of verbieden zolang de logging niet op orde is.
- Aansprakelijkheid: bij een incident of klacht kun je zonder adequate logs niet aantonen dat het systeem correct heeft gefunctioneerd, wat je juridische positie ernstig verzwakt.
- Verlies van vertrouwen: klanten, partners en aanbestedende diensten verwachten aantoonbare compliance. Ontbrekende logs ondermijnen dat vertrouwen direct.
- AVG-boetes: als logs persoonsgegevens bevatten die niet correct worden beheerd, riskeer je ook een sanctie van de Autoriteit Persoonsgegevens.
Finland was in januari 2026 de eerste EU-lidstaat die handhavingsbevoegdheden krachtens Artikel 99 aan zijn toezichthouder toekende. Dit is een signaal dat handhaving snel concreter wordt. Organisaties die nu nog geen loggingsbeleid hebben, lopen een reëel risico.
Hoe Pegamento helpt met AI-logging en compliance
Verantwoorde AI-inzet begint bij de juiste infrastructuur. Bij Pegamento helpen we organisaties om AI-systemen op te zetten die voldoen aan de eisen van de EU AI Act, de AVG en sectorspecifieke regelgeving. Onze aanpak is gericht op concrete, beheersbare stappen, zonder onnodige complexiteit.
Wat we voor je kunnen doen:
- AI-systeemregister opzetten: we helpen je een overzicht te maken van alle AI-systemen in gebruik, inclusief rolverdeling (aanbieder, deployer, importeur) en risicoclassificatie.
- Loggingsarchitectuur inrichten: we zorgen dat de juiste data automatisch wordt vastgelegd, met aandacht voor de balans tussen AI Act-vereisten en AVG-compliance.
- Agentic AI verantwoord inzetten: onze Agentic AI voor customer service is gebouwd met auditbaarheid als uitgangspunt, zodat elke beslissing traceerbaar is. Agentic AI is de evolutie van klassieke RPA-bots: in plaats van alleen instructies op te volgen, nemen deze zelfdenkende assistenten zelfstandig initiatief en handelen ze proactief.
- One stop shop: van advies en implementatie tot beheer en ondersteuning, alles onder één dak, zonder dat je meerdere leveranciers hoeft te managen.
- ISO 27001-gecertificeerde beveiliging: onze werkwijze is geborgd via ISO 27001 (informatiebeveiliging), ISO 9001 en ISO 26000, zodat je kunt bouwen op een betrouwbare basis.
Wil je weten hoe jouw organisatie er nu voor staat op het gebied van AI-logging en compliance? Neem contact op en we denken graag met je mee.
Veelgestelde vragen
Geldt de tienjarige bewaartermijn ook voor AI-systemen die al vóór augustus 2024 in gebruik waren?
Ja, ook bestaande hoog-risico AI-systemen vallen onder de EU AI Act zodra de verplichtingen per 2 augustus 2026 afdwingbaar worden. Dit betekent dat organisaties die nu al zulke systemen inzetten, de bewaartermijn van tien jaar moeten laten ingaan vanaf het moment dat het systeem conform de AI Act in gebruik is genomen of gecertificeerd is. Het is verstandig om nu al te beginnen met het structureel opslaan van logs, zodat je bij een controle of incident een aantoonbare audittrail kunt overleggen.
Hoe begin ik als organisatie met het opzetten van een AI-loggingsbeleid?
Begin met een inventarisatie van alle AI-systemen die je organisatie gebruikt of aanbiedt, en bepaal per systeem de risicoclassificatie en jouw rol (aanbieder, deployer of importeur). Stel vervolgens een loggingsarchitectuur in die automatisch de vereiste data vastlegt, en koppel dit aan een verwerkingsregister voor de AVG. Een praktische eerste stap is het opstellen van een AI-systeemregister met daarin de rolverdeling, het risiconiveau en de bijbehorende bewaartermijnen per systeem.
Wat als de AI-leverancier die ik gebruik geen loggingsfunctionaliteit ingebouwd heeft?
Als deployer ben je verantwoordelijk voor het bewaren van de logs, maar de aanbieder is verplicht het systeem zo te bouwen dat automatische logging technisch mogelijk is. Biedt een leverancier geen adequate loggingsfunctionaliteit, dan loop je als deployer alsnog compliancerisico's. Bespreek dit expliciet met je leverancier en leg contractueel vast welke logdata wordt gegenereerd, in welk formaat, en hoe lang deze beschikbaar blijft. Overweeg bij aanhoudende onduidelijkheid of deze leverancier geschikt is voor gebruik in een hoog-risico context.
Hoe ga ik om met AI-logs die persoonsgegevens bevatten van medewerkers in plaats van klanten?
Persoonsgegevens van medewerkers in AI-logs vallen evengoed onder de AVG, inclusief de verplichte rechtmatige grondslag en de beginselen van dataminimalisatie en doelbinding. In veel gevallen zal de grondslag een gerechtvaardigd belang of een wettelijke verplichting zijn, maar dit moet je expliciet documenteren in je verwerkingsregister. Pas ook hier pseudonimisering toe waar mogelijk, en informeer medewerkers via een privacyverklaring over het feit dat hun handelingen in AI-systemen worden gelogd.
Moeten AI-logs ook worden opgenomen in een DPIA (Data Protection Impact Assessment)?
Ja, als het AI-systeem persoonsgegevens verwerkt en er sprake is van een hoog risico voor betrokkenen, is een DPIA verplicht onder de AVG. Omdat hoog-risico AI-systemen per definitie ingrijpende beslissingen kunnen nemen, is de kans groot dat een DPIA vereist is. In de DPIA beschrijf je ook hoe de logging is ingericht, welke persoonsgegevens daarin voorkomen, hoe lang ze worden bewaard en welke beveiligingsmaatregelen zijn getroffen. Dit document vormt bovendien een waardevolle onderbouwing bij een eventuele controle door de toezichthouder.
Hoe bewaar ik AI-logs veilig zonder dat onbevoegden er toegang toe krijgen?
Sla AI-logs op in een beveiligde, toegangsgecontroleerde omgeving met versleuteling in rust en in transit, en hanteer strikte toegangsrechten op basis van het 'need-to-know'-principe. Log ook de toegang tot de logs zelf, zodat je bij een incident kunt aantonen wie wanneer welke data heeft ingezien. Zorg daarnaast voor een back-upstrategie die de integriteit van de logs over de volledige bewaartermijn van tien jaar garandeert, en test periodiek of de logs nog raadpleegbaar en volledig zijn.
Gelden er ook loggingsverplichtingen voor AI-systemen die we intern gebruiken en niet op de markt brengen?
Ja, ook intern ingezette AI-systemen kunnen onder de AI Act vallen als ze als hoog-risico worden geclassificeerd, ongeacht of ze commercieel worden aangeboden. Wanneer een organisatie een AI-systeem zelf ontwikkelt en intern inzet voor bijvoorbeeld personeelsbeoordeling of kredietbeslissingen, treedt zij op als aanbieder én deployer tegelijk. In dat geval gelden alle conformiteitseisen, inclusief de loggingsplicht. Het is dus onjuist om te denken dat interne systemen automatisch buiten het toepassingsbereik van de AI Act vallen.


