Agnes brengt alle AI-tools in haar organisatie in kaart met een gestructureerde inventaris

Hoe Bouw je een AI Inventaris voor de EU AI Act? (Stappenplan)

AI Act, AVG, Compliance, MKB

"Welke AI-tools gebruiken jullie eigenlijk allemaal?" Het klinkt als een simpele vraag. Tot je begint te tellen.

De marketingafdeling gebruikt ChatGPT voor teksten. Sales heeft een AI-tool voor leadscoring. HR screent cv's met een automatisch systeem. En de helft van je medewerkers gebruikt AI-functies in software die je allang had, zonder dat iemand dat bewust heeft vastgelegd.

Onder de EU AI Act word je als organisatie verantwoordelijk gehouden voor de AI-systemen die je inzet. Niet alleen voor de systemen die je zelf bouwt, maar ook voor tools die je als gebruiker inzet. De eerste stap om dat goed te regelen: een AI inventaris.

Wat is een AI inventaris?

Een AI inventaris is een gestructureerd overzicht van alle AI-systemen die je organisatie gebruikt. Per systeem documenteer je wat het doet, welke data het verwerkt, wie de leverancier is en welke risico's eraan zitten.

Vergelijk het met het verwerkingsregister dat je voor de AVG bijhoudt. Dat register beschrijft hoe je persoonsgegevens verwerkt. Een AI inventaris beschrijft hoe je kunstmatige intelligentie inzet. In de praktijk overlappen ze deels, want veel AI-systemen verwerken persoonsgegevens. Maar de invalshoek is anders: bij een AI inventaris kijk je naar het AI-systeem als geheel, inclusief de risicoklasse onder de EU AI Act.

Waarom heb je een AI inventaris nodig?

Drie redenen. Geen ervan is "omdat het leuk klinkt".

1. De EU AI Act verplicht het. De EU AI Act maakt onderscheid tussen aanbieders (providers) en gebruikers (deployers) van AI. Als je als bedrijf AI-tools inzet, ben je deployer. Deployers van hoog-risico AI-systemen moeten hun gebruik registreren in een EU-database en documenteren hoe ze die systemen inzetten. Zonder inventaris kun je die verplichting niet nakomen, want je weet niet eens welke systemen je hebt.

2. Shadow AI is een reeel risico. Medewerkers adopteren AI-tools sneller dan je IT-afdeling kan bijhouden. Een vertaaltool hier, een AI-schrijfassistent daar. Elk van die tools verwerkt mogelijk bedrijfsgegevens of persoonsgegevens. Zonder overzicht heb je geen grip op wat er binnenkomt. Dat is een AI Act-risico en een AVG-risico tegelijk.

3. Het maakt leveranciersbeheer concreet. Je koopt waarschijnlijk AI als onderdeel van bestaande software. Je CRM heeft predictive lead scoring. Je helpdesktool heeft een chatbot. Die AI-functies vallen onder de EU AI Act, maar ook onder je verwerkersovereenkomsten en leveranciersbeheer. Een AI inventaris maakt zichtbaar welke leveranciers AI-componenten leveren, zodat je de juiste afspraken kunt maken.

Stappenplan: je AI inventaris opbouwen

Stap 1: Breng alle AI-tools in kaart

Begin breed. Vraag niet alleen "welke AI-tools gebruiken we?" maar ook "welke software die we al hebben bevat AI-functies?"

Concrete acties:

  • Pak je software-inventaris erbij (of maak er een als je die nog niet hebt)
  • Loop per afdeling langs: marketing, sales, HR, finance, klantenservice, IT
  • Vraag expliciet naar tools die medewerkers zelf hebben aangeschaft of gratis gebruiken
  • Check bestaande software op AI-functies: automatische samenvattingen, chatbots, aanbevelingen, predictieve modellen, vertaalfuncties

Shadow AI is niet kwaadwillend. Het zijn medewerkers die hun werk beter proberen te doen. Maar je moet het wel weten.

Stap 2: Classificeer elk systeem op risiconiveau

De EU AI Act werkt met vier risicocategorieen:

| Risiconiveau | Omschrijving | Voorbeeld | |---|---|---| | Onaanvaardbaar | Verboden toepassingen | Social scoring, manipulatieve AI | | Hoog risico | Strenge eisen voor documentatie en toezicht | AI voor personeelsselectie, kredietscoring | | Beperkt risico | Transparantieverplichtingen | Chatbots, AI-gegenereerde content | | Minimaal risico | Geen specifieke verplichtingen | Spamfilters, AI-vertaling, autocorrect |

De meeste mkb's zullen vooral tools in de categorieen "beperkt risico" en "minimaal risico" hebben. Maar check dit per tool. Gebruik je AI voor het screenen van sollicitanten? Dan zit je in hoog risico, met bijbehorende documentatie-eisen. Meer over de verplichtingen per risicocategorie lees je in ons overzicht.

Stap 3: Documenteer de kerngegevens per tool

Leg per AI-systeem minimaal het volgende vast:

| Veld | Toelichting | |---|---| | Naam van het systeem | De productnaam en versie | | Leverancier | Wie levert het systeem? | | Doel | Waarvoor zetten jullie het in? | | Afdeling | Welke afdeling of team gebruikt het? | | Risicoklasse EU AI Act | Minimaal, beperkt, hoog of onaanvaardbaar | | Persoonsgegevens verwerkt | Ja/nee, en zo ja: welke categorieen? | | Type data-input | Welke data gaat het systeem in? | | Type data-output | Wat levert het systeem op? Scores, teksten, beslissingen? | | Automatische besluitvorming | Neemt het systeem besluiten zonder menselijke tussenkomst? | | Verwerkersovereenkomst | Is er een getekende VWO met AI-specifieke clausules? | | Contactpersoon | Wie is intern verantwoordelijk voor deze tool? |

Dit is je basistemplate. Voor hoog-risico systemen komt daar meer bij: technische documentatie, logging-eisen en menselijk toezicht.

Stap 4: Controleer verwerkersovereenkomsten op AI-clausules

Je hebt waarschijnlijk al verwerkersovereenkomsten (VWO's) met je softwareleveranciers. Maar dekken die ook het AI-gebruik?

Controleer per leverancier:

  • Staat er expliciet in de VWO dat er AI wordt ingezet?
  • Is beschreven welke data als trainingsdata wordt gebruikt (en of je data daarvoor wordt ingezet)?
  • Zijn er afspraken over automatische besluitvorming?
  • Is er een opt-out mogelijkheid voor AI-training op jouw data?

Veel standaard-VWO's zijn geschreven voor de AVG en dekken AI-specifieke risico's niet. Dit is het moment om dat gesprek met je leverancier aan te gaan.

Stap 5: Richt een proces in voor nieuwe AI-tools

Een inventaris die je eenmalig opstelt en daarna vergeet, is binnen drie maanden verouderd. Zorg voor een inname-proces:

  • Nieuwe AI-tools worden gemeld bij een centraal punt (IT, privacy officer of compliance-eigenaar)
  • Elke nieuwe tool doorloopt een korte intake: wat doet het, welke data verwerkt het, in welke risicoklasse valt het?
  • Bij hoog-risico tools volgt een uitgebreidere beoordeling voordat de tool in gebruik wordt genomen
  • De inventaris wordt bijgewerkt zodra een tool wordt toegevoegd of verwijderd

Het hoeft geen zwaar goedkeuringsproces te worden. Een gestructureerde intake van vijf vragen is genoeg om grip te houden.

Stap 6: Wijs eigenaarschap toe en houd het actueel

Zonder eigenaar veroudert je inventaris. Wijs per AI-systeem een verantwoordelijke aan en stel een reviewfrequentie in:

  • Minimaal twee keer per jaar een volledige review
  • Tussentijds bijwerken bij nieuwe tools, gewisselde leveranciers of gewijzigde functionaliteit
  • Koppel de review aan je bestaande compliance-cyclus (bijvoorbeeld samen met je verwerkingsregister-review)

Praktijkvoorbeeld: zo ziet een record eruit

| Veld | Invulling | |---|---| | Naam | ChatGPT Team | | Leverancier | OpenAI | | Doel | Schrijfondersteuning marketing en klantenservice | | Afdeling | Marketing, Klantenservice | | Risicoklasse | Beperkt risico (transparantieplicht) | | Persoonsgegevens | Ja, klantvragen bevatten soms namen en e-mailadressen | | Data-input | Tekstprompts met bedrijfs- en klantinformatie | | Data-output | Gegenereerde teksten | | Automatische besluitvorming | Nee, output wordt altijd door een medewerker beoordeeld | | VWO met AI-clausules | Ja, Data Processing Addendum OpenAI getekend, opt-out training bevestigd | | Contactpersoon | Lisa, teamlead marketing |

Dat is het detailniveau dat je nodig hebt. Concreet genoeg om bij een audit te laten zien.

Veelgemaakte fouten

Alleen "echte AI-tools" tellen. Veel bedrijven denken bij AI aan ChatGPT en vergeten dat hun CRM, helpdesktool of boekhoudsoftware ook AI-functies bevat. Die tellen ook mee.

Risicoklasse niet bepalen. Een lijst met AI-tools is nuttig, maar zonder risicoklassificatie weet je niet welke verplichtingen erbij horen.

Geen koppeling met leveranciersbeheer. Je AI inventaris en je leveranciersbeheer moeten met elkaar verbonden zijn. Een AI-tool zonder verwerkersovereenkomst is een open einde.

Eenmalig invullen en vergeten. AI-adoptie gaat snel. Wat je vandaag opschrijft, is over zes maanden incompleet. Plan vaste reviewmomenten in.

AI inventaris en verwerkingsregister: wat is het verschil?

Je verwerkingsregister beschrijft hoe je persoonsgegevens verwerkt (AVG-verplichting). Je AI inventaris beschrijft welke AI-systemen je gebruikt (EU AI Act-verplichting). Ze overlappen waar AI-systemen persoonsgegevens verwerken. In de praktijk onderhoud je ze het makkelijkst in hetzelfde platform, gekoppeld aan dezelfde systemen- en leverancierslijst.

In ComplianceHive combineer je je systemeninventaris, verwerkingsregister en AI Act compliance in een platform. Voeg je een AI-tool toe aan je systemeninventaris, dan kun je direct de risicoklasse, verwerkersovereenkomst en AI-specifieke gegevens vastleggen. Geen losse spreadsheets, geen dubbele administratie.

Klaar om je AI inventaris op te stellen?

ComplianceHive geeft je de structuur om je AI-gebruik stap voor stap in kaart te brengen. Leg systemen vast, classificeer op risico en koppel alles aan je bestaande compliance-administratie.

Probeer het 30 dagen gratis

Start vandaag nog met grip op je leveranciers en software

Laat ComplianceHive je helpen met ISO 27001, AVG, leveranciersbeheer en meer. Geen gedoe, geen spreadsheets, gewoon overzicht. Begin nu met een gratis proefperiode van 1 maand. Geen creditcard nodig, geen verborgen kosten. Ontdek het Busy Hive-plan en beheer tot wel 25 tools en leveranciers in één overzicht.

Probeer 1 maand gratis