Waarom documentatie centraal staat
De EU AI Act draait niet alleen om de juiste maatregelen, maar ook om kunnen aantonen dat je ze hebt getroffen. Documentatie is dat bewijs. Bij een controle, een aanbesteding of een vraag van een klant laat je met de juiste stukken zien dat je AI-gebruik onder controle is.
Niet elk document is voor elke organisatie verplicht. Welke je nodig hebt, hangt af van je AI-gebruik en de risicocategorie van je systemen. Een goed startpunt om dat te bepalen is de gratis risicoscan, die per systeem aangeeft welke verplichtingen spelen.
De negen kerndocumenten
In de praktijk komt AI Act-documentatie voor het MKB neer op negen documenttypes. Samen dekken ze het overgrote deel van wat je nodig kunt hebben.
| Document | Waarvoor het dient | Vooral relevant bij |
|---|---|---|
| AI-beleid | Vertaalt verplichtingen naar interne afspraken | Elke organisatie die AI gebruikt |
| Risicobeoordeling per systeem | Bepaalt en onderbouwt de risicocategorie | Elk geregistreerd AI-systeem |
| Transparantieverklaring | Informeert mensen over AI-interactie en -content | Beperkt risico (Art. 50) |
| Procedure menselijk toezicht | Legt vast wie controleert en kan ingrijpen | Hoog risico (Art. 14 / Art. 26) |
| Data-governancebeleid | Borgt kwaliteit en beheer van gebruikte data | Hoog risico en datagedreven systemen |
| Incidentrapport(-sjabloon) | Structureert melding en afhandeling van incidenten | Alle risicovollere systemen |
| Leveranciersvragenlijst | Toetst of een AI-leverancier compliant is | Inkoop van AI-tools |
| FRIA (grondrechteneffectbeoordeling) | Brengt impact op grondrechten in kaart | Hoog risico, waar vereist (Art. 27) |
| AI-inkoopvoorwaarden | Legt eisen contractueel vast bij leveranciers | Inkoop en aanbesteding |
Wat ze gemeen hebben
Stuk voor stuk gaat het om vastleggen: wat je doet, waarom, en wie waarvoor verantwoordelijk is. Het zwaartepunt verschuift met de risicocategorie. Voor een organisatie met alleen minimaal-risico-AI volstaan vaak een AI-beleid en een transparantieverklaring; bij hoog-risico-systemen komen de procedure voor menselijk toezicht, het data-governancebeleid en mogelijk een FRIA erbij.
Welke documenten per risicocategorie?
Omdat de risicocategorie bepaalt wat je nodig hebt, helpt het om de documenten daar tegenaan te leggen. De onderstaande indeling is een richtsnoer, geen uitputtende checklist.
| Risicocategorie | Documenten die meestal spelen |
|---|---|
| Minimaal | AI-beleid, eventueel een transparantieverklaring |
| Beperkt (Art. 50) | AI-beleid, transparantieverklaring |
| Hoog (Bijlage III) | Bovenstaande plus risicobeoordeling, menselijk-toezichtprocedure, data-governancebeleid, incidentrapport en waar vereist een FRIA |
| Bij inkoop | Leveranciersvragenlijst en AI-inkoopvoorwaarden, ongeacht de categorie |
Hoe hoger het risico, hoe vollediger je dossier moet zijn. Voor de meeste MKB-bedrijven met vooral beperkt- of minimaal-risico-AI blijft de set daardoor overzichtelijk.
Begin bij je register
Documentatie heeft pas zin als je weet wélke systemen je hebt. Daarom begint het altijd bij een AI-register: een overzicht van al je AI-gebruik. Per systeem koppel je vervolgens de classificatie en de bijbehorende documenten. Zo voorkom je dat je documenten maakt die je niet nodig hebt — of een verplicht stuk over het hoofd ziet.
Houd documentatie actueel
AI-gebruik verandert, en documentatie die niet meeverandert verliest haar waarde. Spreek af wanneer je stukken herziet: bij een nieuwe tool, een gewijzigd gebruik of nieuwe regelgeving (zoals de Digital Omnibus). Beheer met versies helpt je aantonen wat wanneer gold.
Sneller tot complete documentatie
Je hoeft deze documenten niet vanaf nul te schrijven. Het UMW-platform genereert deze negen types op basis van je scan en je register, in het Nederlands en Engels en met versiebeheer, zodat je documentatie meegroeit met je organisatie.
Het grote voordeel van die aanpak is samenhang: omdat de documenten uit dezelfde scan en hetzelfde register komen, sluiten ze op elkaar aan in plaats van dat ze elkaar tegenspreken. Je risicobeoordeling, je transparantieverklaring en je AI-beleid vertellen dan één consistent verhaal — precies wat een toezichthouder of klant wil zien. Verdere uitleg per onderwerp staat in de kennisbank.