Je kunt niet beheren wat je niet kent. Dat geldt zeker voor AI binnen je organisatie, waar tools vaak verspreid en zonder centrale afstemming worden ingevoerd. Een AI-register brengt daar verandering in: het is een overzicht van alle AI-systemen die je gebruikt, met per systeem de belangrijkste kenmerken. Het is geen wettelijk verplicht formulier met een vast format, maar in de praktijk de onmisbare basis onder vrijwel alle AI Act-verplichtingen.

Waarom een AI-register?

De AI Act vraagt je om per systeem te bepalen welke risicocategorie en welke verplichtingen erbij horen. Dat kan alleen als je weet welke systemen er zijn. Een register levert daarnaast directe voordelen op:

  • Overzicht en controle: je voorkomt dat er ongemerkt AI-tools in gebruik zijn die niemand heeft beoordeeld (de zogeheten schaduw-AI).
  • Aantoonbaarheid: richting een toezichthouder, klant of je eigen directie laat je zien dat je grip hebt op je AI-gebruik.
  • Basis voor classificatie: per systeem bepaal je de risicocategorie, en daarmee de bijbehorende verplichtingen.
  • Onderbouwing van beleid: een register voedt je AI-beleid, je trainingsplan en je leveranciersafspraken.

Daarbij komt dat AI vaak ongemerkt de organisatie binnenkomt. Een medewerker probeert een handige tool uit, een afdeling sluit zelf een abonnement af, of een bestaand softwarepakket krijgt er via een update ineens AI-functies bij. Zonder register mis je dat soort verschuivingen en loop je achter de feiten aan.

Wat leg je per systeem vast?

Een bruikbaar register hoeft niet ingewikkeld te zijn, maar bevat per AI-systeem in elk geval de volgende gegevens:

  1. Naam en leverancier van het systeem.
  2. Doel en toepassing: waar gebruik je het voor, en in welk bedrijfsproces?
  3. Je rol: ben je gebruiksverantwoordelijke (deployer) of aanbieder (provider)?
  4. Risicocategorie: verboden, hoog, beperkt of minimaal.
  5. Verantwoordelijke binnen de organisatie: wie beheert het systeem en houdt toezicht?
  6. Status van de verplichtingen: welke maatregelen zijn getroffen, en wat staat nog open?
  7. Verwerkt het persoonsgegevens? Zo ja, dan raakt het ook aan de AVG.

Twijfel je over de rol of de risicocategorie van een systeem? Onze gratis risicoscan bepaalt die per systeem, zodat je register meteen klopt.

Hoe houd je het actueel?

Een register is geen eenmalig project maar een levend document. AI-tools komen en gaan, en leveranciers passen hun producten aan. Houd het daarom up-to-date door:

  • een vast moment in te plannen, bijvoorbeeld elk kwartaal, om het register na te lopen;
  • nieuwe tools standaard te registreren voordat ze in gebruik gaan;
  • een eigenaar aan te wijzen die het register beheert.

Op het UMW-platform houd je het register digitaal bij. Elk systeem wordt automatisch geclassificeerd, je ziet direct welke verplichtingen openstaan, en je dashboard rekent dit door naar een actuele compliance-score. Zo wordt het register niet alleen een lijst, maar het kloppend hart van je AI Act-aanpak.

Begin klein, maar begin

Veel organisaties stellen een register uit omdat ze het "compleet" willen doen. Dat is niet nodig. Begin met de tools die je nu kent, vul aan zodra je nieuwe ontdekt, en verfijn de classificatie gaandeweg. Een onvolledig register dat groeit is oneindig veel waardevoller dan een perfect register dat nooit van start komt. Dit artikel is voorlichting en geen juridisch advies, maar als praktische eerste stap brengt een register je compliance meteen vooruit.