EU AI Act

AI-audit: je AI-systemen toetsen aan de AI Act

Een AI-audit is de check waarmee je nagaat of je AI-gebruik klopt met de EU AI Act. Deze pagina legt uit wat je toetst, hoe een audit verloopt en hoe vaak je hem herhaalt.

Laatst bijgewerkt: 13 juni 2026

Doe de gratis risicoscan

Wat is een AI-audit?

Een AI-audit is een gestructureerde toetsing van je AI-systemen aan de eisen van de EU AI Act. Je gaat per systeem na of de risico-inschatting nog klopt, of de juiste maatregelen zijn getroffen en of je het kunt onderbouwen. Het is het moment waarop je controleert of je register en je beleid stroken met wat er werkelijk gebeurt.

Een audit hoeft niet zwaar of formeel te zijn. Voor het MKB gaat het vooral om een periodieke, eerlijke controle: weten we nog welke AI we gebruiken, klopt onze classificatie, en hebben we de stukken op orde?

Wat toets je in een AI-audit?

Een goede audit loopt langs de kernverplichtingen van de wet. De tabel hieronder vat samen wat je per onderdeel controleert.

Onderdeel	Wat je toetst	Kern uit de wet
Inventarisatie	Staat al je AI-gebruik in het register?	Basis voor alle verplichtingen
Classificatie	Klopt de risicocategorie nog per systeem?	Art. 5 / Bijlage III / Art. 50
Documentatie	Zijn beleid, beoordelingen en verklaringen actueel?	Aantoonbaarheid
Menselijk toezicht	Is geregeld wie controleert en ingrijpt?	Art. 14 en Art. 26
Transparantie	Weten mensen dat ze met AI te maken hebben?	Art. 50
AI-geletterdheid	Is je personeel voldoende getraind?	Art. 4

Inventarisatie en classificatie

Begin altijd bij de vraag of je register compleet is. Nieuwe tools sluipen er ongemerkt in. Vervolgens controleer je of de risicocategorie per systeem nog klopt — werving en selectie vallen bijvoorbeeld onder hoog risico (Bijlage III), terwijl een eenvoudige chatbot onder beperkt risico (Art. 50) valt. Een wijziging in het gebruik kan de categorie veranderen.

Documentatie en toezicht

Vervolgens kijk je of je documentatie het gebruik nog dekt: AI-beleid, risicobeoordeling per systeem, transparantieverklaring, de procedure voor menselijk toezicht en — bij hoog risico — eventueel een FRIA (Art. 27). En je toetst of het menselijk toezicht in de praktijk ook echt werkt: is er iemand met mandaat die kan ingrijpen?

Transparantie en geletterdheid

Tot slot controleer je de transparantie naar gebruikers (Art. 50) en of je personeel nog voldoende AI-geletterd is (Art. 4) voor de systemen die het bedient.

Hoe verloopt een audit?

Een audit volgt grofweg dezelfde lijn als compliance zelf: registreren, classificeren, documentatie nalopen, gaten benoemen en acties uitzetten. Het verschil is dat je nu terugkijkt en toetst in plaats van opbouwt. Leg de bevindingen vast, want ook de audit zelf is onderdeel van je aantoonbaarheid.

In de praktijk doorloop je vier stappen. Eerst stel je de scope vast: welke systemen neem je mee? Vervolgens verzamel je het bewijs — register, beoordelingen, beleid, trainingsoverzicht. Daarna toets je dat tegen de verplichtingen die per categorie gelden. Tot slot leg je de bevindingen vast met concrete vervolgacties en een eigenaar per actie. Door die acties op te volgen, wordt de audit niet alleen een terugblik maar ook een motor voor verbetering.

Een veelgemaakte fout is om alleen naar de papieren situatie te kijken. Toets ook of het in de praktijk klopt: houdt iemand werkelijk toezicht, en wordt de transparantie naar gebruikers ook echt getoond? Het verschil tussen "beschreven" en "gedaan" is precies wat een audit zichtbaar maakt.

Hoe vaak voer je een AI-audit uit?

De wet schrijft geen vaste frequentie voor. In de praktijk werkt een combinatie het best:

Periodiek, bijvoorbeeld per kwartaal of halfjaar, als vaste check.
Bij wijzigingen, telkens als je een nieuwe AI-tool in gebruik neemt of een bestaand systeem anders gaat gebruiken.
Bij nieuwe regelgeving, zoals aanpassingen via de Digital Omnibus of nieuwe deadlines.

Een vaste ritmiek voorkomt dat je achteroploopt. Het UMW-platform ondersteunt een terugkerende governance-check, en de gratis risicoscan is een laagdrempelig vertrekpunt voor je eerste toetsing. Achtergrond per onderwerp vind je in de kennisbank.

Veelgestelde vragen

Voor de meeste MKB-bedrijven is een interne, gestructureerde toetsing voldoende om grip te houden. Een externe partij kan meerwaarde hebben bij hoog-risico-systemen of complexe situaties, maar is geen algemene verplichting uit de wet.

Er is geen wettelijk vastgelegde frequentie. Een periodieke check (bijvoorbeeld per kwartaal of halfjaar), aangevuld met een toetsing bij elke nieuwe tool of wetswijziging, houdt je register en classificatie actueel.

De risicoscan is vooral een vertrekpunt: hij brengt je AI-gebruik in kaart en bepaalt de risicocategorie. Een audit is het terugkerende moment waarop je toetst of die inschatting en je maatregelen nog kloppen met de praktijk.

Klaar om te beginnen?

Doe de gratis risicoscan en ontdek je risicocategorie en eerste stappen, of bekijk het platform.

Gratis risicoscan Bekijk het platform

Lees verder

De EU AI Act: de complete gids voor het MKBAlles over de EU AI Act (Verordening (EU) 2024/1689): wat de wet inhoudt, voor wie ze geldt, de risicocategorieën, de deadlines en de boetes. Met concrete eerste stappen.Wat valt onder de AI Act?Wat valt er onder de EU AI Act en wat niet? Lees wat een AI-systeem is, welke toepassingen eronder vallen, de vier risicocategorieën en doe de zelftest.Deployer of provider: welke rol heb je onder de AI Act?Je rol onder de AI Act bepaalt je verplichtingen. Lees het verschil tussen deployer (gebruiksverantwoordelijke) en provider (aanbieder), de plichten per rol en wanneer je rol verschuift.Hoog-risico-AI en Bijlage III van de AI ActHoog-risico-AI valt onder de strengste eisen van de AI Act. Lees wat hoog-risico-systemen zijn, welke domeinen Bijlage III noemt en welke verplichtingen erbij horen.