De AI Act legt voor klantenservicesystemen concrete logverplichtingen op zodra een systeem als hoog-risico wordt geclassificeerd. Dat betekent dat je automatisch en aantoonbaar moet bijhouden wanneer een AI-systeem actief is, welke beslissingen het neemt en op basis van welke invoer. Voor contactcenters en klantenservice-afdelingen die werken met geautomatiseerde routing, AI-chatbots of geautomatiseerde beslissingsondersteuning is dit een directe compliance-verplichting. In dit artikel beantwoorden we de meest gestelde vragen over AI Act logverplichtingen voor klantenservicesystemen.
Welke AI-systemen in klantenservice vallen onder de AI Act?
Niet elk AI-systeem in klantenservice valt automatisch onder de strengste regels van de AI Act. De wet werkt met een risicoclassificatie: alleen systemen die als hoog-risico worden aangemerkt, zijn onderworpen aan uitgebreide logging- en documentatieverplichtingen. De meeste standaard chatbots en FAQ-assistenten vallen in de categorie beperkt risico, met lichtere transparantieverplichtingen.
Systemen in de hoog-risico categorie zijn onder andere AI-toepassingen die beslissingen ondersteunen rondom toegang tot essentiële diensten. Denk aan geautomatiseerde systemen die bepalen of een klant in aanmerking komt voor een uitkering, een verzekering of een noodoproep. Ook systemen die profilering van natuurlijke personen uitvoeren, zijn altijd hoog-risico, ongeacht de context.
Voor de meeste commerciële klantenservice-omgevingen geldt: een AI die gesprekken samenvat of agenten suggesties geeft, valt doorgaans buiten de hoog-risico categorie. Maar zodra een AI-systeem invloed heeft op beslissingen met significante gevolgen voor klanten, zoals toewijzing van prioriteit bij noodgevallen of kredietgerelateerde dienstverlening, worden de zwaardere verplichtingen geactiveerd. Het is verstandig om per systeem expliciet te documenteren waarom het al dan niet hoog-risico is.
Wat moeten logbestanden van AI-systemen precies bevatten?
Logbestanden van hoog-risico AI-systemen moeten voldoende informatie bevatten om het functioneren van het systeem achteraf te kunnen beoordelen en te controleren. Concreet gaat het om automatische registratie van de activiteitsperioden, de verwerkte invoer, de gegenereerde uitvoer en eventuele beslissingen of aanbevelingen die het systeem heeft gedaan.
De AI Act schrijft voor dat logs in ieder geval het volgende vastleggen:
- De tijdstippen waarop het systeem actief was
- De referentiedatabank of invoergegevens die zijn gebruikt voor een specifieke beslissing
- De identiteit van de personen die het systeem hebben bediend of geautoriseerd
- Informatie over verificatiestappen die zijn uitgevoerd
- Gevallen waarin het systeem resultaten heeft opgeleverd die buiten een bepaalde drempelwaarde vielen
Het doel van deze vereisten is traceerbaarheid. Als een klant bezwaar maakt tegen een beslissing die (mede) door een AI-systeem is genomen, moet je kunnen aantonen wat het systeem heeft gedaan en op basis waarvan. Logging is daarmee niet alleen een technische verplichting, maar ook een instrument voor verantwoording richting klanten en toezichthouders.
Hoe lang moeten AI-logs bewaard worden?
Voor hoog-risico AI-systemen geldt een bewaartermijn van minimaal tien jaar na het moment waarop het systeem voor het laatst actief was of de laatste relevante beslissing heeft genomen. Deze termijn geldt ook voor de bijbehorende technische documentatie en conformiteitsverklaringen.
De tienjaarstermijn is bewust lang gekozen. AI-beslissingen kunnen pas jaren later in juridische of toezichtprocedures relevant worden, bijvoorbeeld wanneer een klant achteraf aantoonbare benadeling aantoont. Door logs langdurig te bewaren, blijft het mogelijk om historische beslissingen te reconstrueren en te verantwoorden.
Praktisch betekent dit dat je opslaginfrastructuur en archiveringsbeleid hierop moeten zijn ingericht. Logs mogen niet zomaar worden gewist als een systeem wordt vervangen of uitgeschakeld. Zorg er ook voor dat archieven doorzoekbaar en leesbaar blijven, ook als de onderliggende software in de tussentijd is veranderd.
Wie is verantwoordelijk voor de logverplichtingen: leverancier of gebruiker?
De verantwoordelijkheid voor logverplichtingen is gedeeld, maar de verdeling hangt af van de rol die een partij inneemt. De AI Act maakt onderscheid tussen de aanbieder (degene die het systeem ontwikkelt of op de markt brengt) en de gebruiker of deployer (de organisatie die het systeem inzet in de eigen bedrijfsvoering). Beide partijen hebben eigen verplichtingen.
De aanbieder is verantwoordelijk voor het inbouwen van loggingfunctionaliteit in het systeem zelf. Het systeem moet technisch in staat zijn om de vereiste gegevens automatisch vast te leggen. De aanbieder levert ook de technische documentatie die aantoont dat het systeem conform is ontworpen.
De deployer, dus de organisatie die het AI-systeem inzet voor klantenservice, is verantwoordelijk voor het daadwerkelijk activeren en bewaren van die logs. Je kunt als deployer niet volstaan met de mededeling dat de leverancier dat regelt. Als jij het systeem inzet, ben jij verantwoordelijk voor de naleving in jouw omgeving. Dat geldt ook als je een systeem aanpast, hernoemt of inzet voor een ander doel dan oorspronkelijk bedoeld. In dat geval word je zelf aanbieder met alle bijbehorende verplichtingen.
Hoe verhoudt de AI Act logging zich tot AVG-verplichtingen?
AI Act logverplichtingen en AVG-verplichtingen overlappen gedeeltelijk, maar ze hebben een ander primair doel. De AVG richt zich op de bescherming van persoonsgegevens en beperkt hoe lang en waarvoor je die gegevens mag bewaren. De AI Act richt zich op traceerbaarheid en verantwoording van AI-beslissingen. Die twee doelstellingen kunnen op gespannen voet staan.
Concreet: de AI Act verplicht je om logs tien jaar te bewaren, terwijl de AVG vraagt om dataminimalisatie en beperkte bewaartermijnen voor persoonsgegevens. Als jouw AI-logs persoonsgegevens bevatten, wat bij klantenservicesystemen bijna altijd het geval is, moet je beide regimes tegelijk naleven.
De praktische oplossing is het scheiden van loggegevens. Bewaar de technische beslissingslogica en systeemactiviteit los van direct identificeerbare persoonsgegevens waar dat mogelijk is. Gebruik pseudonimisering of anonimisering voor de AVG-gevoelige elementen, terwijl de AI Act-relevante traceerbaarheid intact blijft. Leg in je verwerkingsregister expliciet vast hoe je de twee regimes met elkaar verzoent. Dit vraagt om samenwerking tussen je IT-afdeling, privacy officer en de leverancier van het AI-systeem.
Wat zijn de gevolgen van niet-naleving van de logverplichtingen?
Niet-naleving van de logverplichtingen onder de AI Act kan leiden tot substantiële boetes. Voor non-conformiteit met de verplichtingen voor hoog-risico AI-systemen, waaronder de loggingvereisten, geldt een maximale boete van 15 miljoen euro of 3% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Voor kleinere organisaties geldt het laagste van beide bedragen.
Naast financiële sancties zijn er ook operationele risico’s. Toezichthouders kunnen eisen dat je een systeem tijdelijk buiten gebruik stelt totdat de compliance aantoonbaar op orde is. In sectoren zoals overheid, zorg of nutsbedrijven kan dat directe gevolgen hebben voor de dienstverlening aan klanten.
De handhaving van de AI Act is decentraal ingericht: nationale markttoezichtautoriteiten zijn verantwoordelijk voor hoog-risico AI-systemen. Dat betekent dat de prioriteiten en intensiteit van handhaving per lidstaat kunnen verschillen. Finland was in januari 2026 de eerste lidstaat die formele handhavingsbevoegdheden activeerde. In Nederland loopt de aanwijzing van de bevoegde autoriteit nog, maar de verwachting is dat handhaving in de loop van 2026 concreter wordt. Het is dus verstandig om nu al actie te ondernemen en niet te wachten tot er daadwerkelijk gehandhaafd wordt.
Hoe Pegamento helpt met AI Act compliance voor klantenservice
Wij begrijpen dat AI Act compliance voor klantenserviceorganisaties een complexe opgave is, zeker als je meerdere systemen hebt van verschillende leveranciers die niet goed op elkaar zijn afgestemd. Dat is precies het soort gefragmenteerde situatie waar wij dagelijks mee werken. Als ISO 27001 gecertificeerde ICT-specialist (aangevuld met ISO 9001 en ISO 26000) nemen wij informatiebeveiliging en compliance serieus, ook in de oplossingen die wij voor jou inrichten.
Onze Agentic AI voor customer service is ontwikkeld met traceerbaarheid als uitgangspunt. Agentic AI is de evolutie van traditionele RPA-bots naar zelfdenkende assistenten die niet alleen instructies opvolgen, maar zelfstandig initiatief nemen en handelen. Wat wij concreet voor je kunnen betekenen op het gebied van AI Act logverplichtingen:
- Inzicht in welke AI-systemen binnen jouw klantenservice onder de AI Act vallen en welke risicoclassificatie van toepassing is
- Technische inrichting van loggingfunctionaliteit die voldoet aan de vereisten voor hoog-risico systemen
- Afstemming tussen AI Act loggingvereisten en jouw bestaande AVG-beleid en verwerkingsregister
- Alles onder één dak: van advies en implementatie tot beheer en ondersteuning, zonder dat je meerdere leveranciers hoeft te coördineren
- Oplossingen op maat met standaard bouwblokken, zodat je snel compliant bent zonder kostbaar maatwerk
Wil je weten hoe jouw huidige klantenservicesystemen scoren op AI Act compliance? Neem contact op voor een vrijblijvend gesprek. We denken graag met je mee over een aanpak die past bij jouw organisatie en sector.
Veelgestelde vragen
Hoe weet ik of mijn bestaande AI-systeem al voldoet aan de logvereisten van de AI Act?
Begin met een interne audit waarbij je per AI-systeem nagaat of het automatisch activiteitsperioden, invoergegevens, uitvoer en beslissingen registreert. Vraag vervolgens bij je leverancier na of de loggingfunctionaliteit technisch is ingebouwd en of er documentatie beschikbaar is die dit aantoont. Als je systeem geen gestructureerde logs produceert of als die logs niet doorzoekbaar en langdurig bewaarbaar zijn, is aanvullende technische inrichting noodzakelijk vóór je als compliant kunt worden beschouwd.
Wat als mijn AI-leverancier geen loggingfunctionaliteit aanbiedt — ben ik dan alsnog aansprakelijk?
Ja, als deployer blijf jij verantwoordelijk voor naleving in jouw omgeving, ook als de leverancier tekortschiet. In dat geval heb je twee opties: de leverancier contractueel verplichten de vereiste loggingfunctionaliteit toe te voegen, of overstappen naar een systeem dat wél compliant is. Documenteer in elk geval schriftelijk welke stappen je hebt ondernomen om compliance te bereiken, zodat je bij een eventuele audit kunt aantonen dat je actief hebt gehandeld.
Mijn klantenservice-AI valt in de categorie 'beperkt risico' — heb ik dan helemaal geen logverplichtingen?
Niet helemaal. Systemen met beperkt risico zijn vrijgesteld van de zware loggingvereisten voor hoog-risico systemen, maar zijn nog steeds onderworpen aan transparantieverplichtingen, zoals het informeren van gebruikers dat zij met een AI-systeem communiceren. Bovendien kan de risicoclassificatie van een systeem veranderen als je het inzet voor een ander doel of uitbreidt met nieuwe functionaliteit, waarna zwaardere verplichtingen van toepassing worden. Het is dus verstandig om de classificatie van elk systeem periodiek opnieuw te beoordelen.
Hoe ga ik praktisch om met de tienjarige bewaartermijn als ik een AI-systeem vervang of uitschakel?
Zorg er bij het uitschakelen of vervangen van een systeem voor dat alle bestaande logs worden gearchiveerd in een formaat dat ook na tien jaar nog leesbaar en doorzoekbaar is, onafhankelijk van de software die ze heeft gegenereerd. Exporteer logs naar een open of gestandaardiseerd bestandsformaat zoals JSON of CSV en sla ze op in een beveiligde, gecontroleerde omgeving. Leg in je archiveringsbeleid expliciet vast wie verantwoordelijk is voor het beheer van deze historische logs en hoe toegang wordt gecontroleerd.
Welke concrete stap kan ik het beste als eerste zetten om mijn organisatie AI Act-compliant te maken?
De meest effectieve eerste stap is het opstellen van een inventaris van alle AI-systemen die je inzet binnen je klantenservice, inclusief de systemen van externe leveranciers. Documenteer per systeem het doel, de beslissingen die het beïnvloedt en de potentiële impact op klanten, zodat je een onderbouwde risicoclassificatie kunt maken. Op basis van die inventaris weet je welke systemen prioriteit hebben voor technische aanpassingen en waar je contractuele afspraken met leveranciers moet herzien.
Kunnen AI-logs worden gebruikt als bewijs in een juridische procedure van een klant?
Ja, en dat is precies één van de redenen waarom de AI Act loggingvereisten oplegt. Als een klant bezwaar maakt tegen een beslissing die (mede) door een AI-systeem is genomen, kunnen logs dienen als bewijsmateriaal — in jouw voordeel als het systeem correct heeft gehandeld, maar ook in het nadeel van je organisatie als er fouten of onregelmatigheden uit blijken. Zorg er daarom voor dat logs integer, ongewijzigd en voorzien van betrouwbare tijdstempels worden bewaard, zodat ze juridisch stand kunnen houden.
Hoe betrek ik mijn privacy officer optimaal bij de implementatie van AI Act logverplichtingen?
Betrek je privacy officer al in de ontwerpfase, niet pas achteraf. Laat hen meedenken over hoe logs worden opgebouwd, zodat pseudonimisering of anonimisering van persoonsgegevens technisch wordt ingebouwd in plaats van achteraf toegepast. Zorg dat de AI Act-loggingvereisten expliciet worden opgenomen in het verwerkingsregister, inclusief de juridische grondslag voor de tienjaarige bewaring, zodat je AVG-compliance en AI Act-compliance in één gedocumenteerd beleid samenbrengt.


