Wat is een AI-register?
Een AI-register is een gestructureerd overzicht van alle AI-systemen die je organisatie gebruikt of aanbiedt. Het is te vergelijken met het verwerkingsregister dat je onder de AVG kent, maar dan voor kunstmatige intelligentie. Je legt per systeem vast wat het doet, wie het levert, in welke rol je het gebruikt en welk risico het meebrengt.
De AI Act schrijft geen specifiek registerformaat voor het MKB voor, maar zonder zo'n overzicht kun je niet aantonen dat je je verplichtingen kent en naleeft. Het register is daarmee geen doel op zich, maar het werkdocument waarop je hele compliance-aanpak rust.
Waarom het register de basis is
Je kunt pas iets classificeren, beleid maken of verplichtingen toewijzen als je weet welke AI er in huis is. In de praktijk verbaast het veel MKB-bedrijven hoeveel AI ze al gebruiken: een chatbot op de site, een tool die cv's voorsorteert, een planningsmodule, generatieve AI in de office-software. Pas als dat zichtbaar is, kun je per systeem bepalen of het minimaal, beperkt of hoog risico is.
Een actueel register helpt je ook bij toezicht en bij verantwoording naar klanten en medewerkers. En het maakt latere stappen, zoals het opstellen van een AI-beleid of een grondrechteneffectbeoordeling, een stuk eenvoudiger.
Welke velden horen erin?
Houd het register zo eenvoudig mogelijk, maar leg minimaal de onderstaande velden vast. Daarmee heb je genoeg om elk systeem te kunnen classificeren en de juiste verplichtingen te koppelen.
| Veld | Wat leg je vast? |
|---|---|
| Systeem | Naam en korte omschrijving van wat het systeem doet |
| Leverancier | De aanbieder of bron (eigen ontwikkeling, SaaS-leverancier, open source) |
| Rol | Ben je gebruiksverantwoordelijke (deployer) of aanbieder (provider)? |
| Afdeling | Waar en door wie wordt het ingezet (HR, sales, klantenservice) |
| Datacategorieën | Welke gegevens gaan erin, met name persoonsgegevens of bijzondere gegevens |
| Classificatie | De risicocategorie: minimaal, beperkt, hoog of verboden |
| Verantwoordelijke | Wie binnen de organisatie eigenaar is van dit systeem |
Aanvullende velden die vaak handig zijn: de status (in gebruik, in test, uitgefaseerd), de datum van laatste beoordeling en een verwijzing naar de gebruiksaanwijzing van de aanbieder. Werk je met hoog-risico-systemen, dan loont het ook om vast te leggen of er een grondrechteneffectbeoordeling is gedaan en hoe het menselijk toezicht is geregeld. Zo groeit het register mee met de zwaarte van je toepassingen, zonder dat je het meteen overcompliceert.
Hoe houd je het register actueel?
Een register dat je één keer invult en daarna laat liggen, verliest snel zijn waarde. AI verandert: leveranciers brengen updates uit, je voegt nieuwe tools toe en oude vallen weg. Spreek daarom af dat elk nieuw AI-systeem pas in gebruik gaat nadat het in het register staat, en beleg een vaste eigenaar.
Plan daarnaast een periodieke check in, bijvoorbeeld per kwartaal. Loop dan na of de gegevens nog kloppen, of de classificatie nog past en of er nieuwe verplichtingen zijn bijgekomen. Zo blijft je overzicht betrouwbaar en blijf je voorbereid op de gefaseerde deadlines van de AI Act.
Van register naar concrete acties
Het register is het startpunt, niet het eindpunt. Zodra een systeem erin staat, bepaal je de risicocategorie en de bijbehorende verplichtingen. Een systeem dat met mensen communiceert valt al snel onder de transparantieplicht van Artikel 50, terwijl een tool voor werving en selectie in de hoog-risico-hoek kan vallen (Bijlage III).
Het platform van UMW maakt van je register een levend dashboard: je legt een systeem één keer vast, de engine classificeert het automatisch met onderbouwing per artikel, en je ziet meteen de openstaande verplichtingen en de eerstvolgende deadline. Geen losse spreadsheet meer die veroudert, maar een register dat meebeweegt met je scan, je documenten en je taken.
Weet je nog niet waar je staat? Begin met de gratis risicoscan. Wil je de praktische stap-voor-stap aanpak lezen, bekijk dan een AI-register bijhouden: waarom en hoe in de kennisbank.