Agnes in een vergadering met een whiteboard vol AI-tools en post-its, terwijl ze een overzicht van AI-systemen opstelt

Hoe maak je een AI-inventaris? Stappenplan voor MKB

AI Act, Compliance

Je krijgt een vraag van een klant over AI-compliance en je weet niet wat je moet antwoorden. Of je leest over de EU AI Act en realiseert je dat je niet eens weet welke AI-systemen je bedrijf eigenlijk gebruikt. Herkenbaar? Dat is precies waar iedereen begint.

Het goede nieuws: je hebt geen consultancybureau nodig om grip te krijgen op je AI-gebruik. Een AI-inventaris opstellen kost je ongeveer 30 minuten. Dit stappenplan laat je zien hoe.

Waarom je een AI-inventaris nodig hebt (en wanneer het verplicht is)

De EU AI Act verdeelt AI-systemen in risicocategorieen. Voor hoog-risico systemen gelden strenge verplichtingen, waaronder registratie in een EU-database (Artikel 49). Maar zelfs als je geen hoog-risico systemen gebruikt, heb je een inventaris nodig om dat te kunnen vaststellen.

Zonder overzicht kun je niet bepalen welke regels voor jou gelden. Dat is alsof je belastingaangifte doet zonder te weten welke inkomsten je hebt.

De verplichtingen voor deployers van hoog-risico AI worden afdwingbaar vanaf augustus 2026. Maar wachten tot de deadline is riskant. Een inventaris opstellen kost weinig tijd nu. Inhalen onder tijdsdruk kost veel meer.

Stap 1: Denk breder dan "AI-tools"

Als je aan AI denkt, denk je waarschijnlijk aan ChatGPT of Copilot. Logisch. Maar de AI Act hanteert een brede definitie in Artikel 3. Veel meer systemen vallen eronder dan je verwacht.

Denk aan:

  • Je CRM dat leads scoort op aankoopkans (Salesforce Einstein, HubSpot)
  • Je e-mailtool die het optimale verzendmoment voorspelt (Mailchimp, ActiveCampaign)
  • Je HR-platform dat cv's filtert of kandidaten rankt (Personio, Recruitee)
  • Je boekhoudsoftware die anomalieen signaleert (Exact, Xero)
  • Je klantenservicetool met een chatbot of sentimentanalyse

Dit zijn geen sciencefiction-toepassingen. Dit zijn tools die je waarschijnlijk al gebruikt. En ze vallen allemaal onder de definitie van AI-systeem in de EU AI Act.

Stap 2: Loop je softwarestack door

Begin bij wat je al hebt: je lijst van software-abonnementen. Denk aan facturen, SSO-logins of je IT-asset-overzicht.

Loop elke tool langs en stel jezelf de vraag: heeft deze tool functionaliteit die je "slim", "intelligent", "geautomatiseerd" of "AI-gestuurd" noemt?

Controleer ook de feature-paginas en productdocumentatie van je leveranciers. Veel SaaS-aanbieders hebben de afgelopen twee jaar AI-functies toegevoegd zonder dat je daar actief voor hebt gekozen. Die automatische upgrade naar "AI-powered" betekent dat je als deployer ineens onder de AI Act kunt vallen.

Maak een simpele lijst. Een spreadsheet is prima. Kolommen: naam van de tool, leverancier, beschrijving van de AI-functionaliteit. Meer heb je in dit stadium niet nodig.

Stap 3: Vraag je medewerkers

Hier missen de meeste bedrijven een stuk. Shadow AI is reeel. Medewerkers gebruiken tools die jij niet hebt ingekocht, niet hebt goedgekeurd en misschien niet eens kent.

Dat is niet per se een probleem. Het wordt pas een probleem als je er niet van weet.

Stel je team een eenvoudige vraag: "Welke AI-tools gebruik je om je werk te doen?" Dat kan via een kort teamoverleg, een Slack-poll of een gedeelde spreadsheet. Houd het laagdrempelig. Frameer het als iets nuttigs, niet als controle. Het doel is een complete lijst, niet een schuldvraag.

Typische verrassingen: medewerkers die ChatGPT gebruiken voor e-mails, marketingteams die AI-beeldgeneratie inzetten, salesteams die AI-transcriptietools draaien in klantgesprekken. Al die tools horen op je inventaris.

Stap 4: Beoordeel elk systeem op drie vragen

Nu je een lijst hebt, doorloop je elk systeem op drie kernvragen. Deze vragen sluiten direct aan op de risicoclassificatie-logica van de EU AI Act.

1. Gebruikt het daadwerkelijk AI? Niet alles wat "smart" heet, is AI in de zin van de wet. Een statische regelgebaseerde filter is geen AI-systeem. Een model dat patronen leert uit data wel. Check de documentatie van je leverancier als je twijfelt.

2. Neemt het beslissingen over mensen (of beinvloedt het die)? Denk aan selectie, scoring, prijsstelling, toegangsbeslissingen of kredietbeoordeling. Als een systeem invloed heeft op kansen of rechten van personen, verhoogt dat het risicoprofiel aanzienlijk.

3. Gebruikt het biometrische gegevens? Gezichtsherkenning, stemanalyse, vingerafdrukken. Als het antwoord ja is, zit je waarschijnlijk in de categorie hoog risico of zelfs verboden AI-toepassingen.

Dit is een zelfevaluatie-hulpmiddel, geen juridisch advies. Maar het geeft je een werkbaar startpunt om elk systeem te plaatsen.

Stap 5: Leg het vast in een AI-register

Een inventaris in je hoofd telt niet. Leg het vast. Per AI-systeem noteer je minimaal:

  • Naam en leverancier van het systeem
  • Wat de AI doet in concrete termen
  • Of het geautomatiseerde beslissingen neemt over mensen
  • Of menselijke controle mogelijk is
  • Het risicoprofiel op basis van de drie vragen uit stap 4

Houd het simpel. Een gedeelde spreadsheet werkt. Maar als je meerdere systemen hebt en het overzicht wilt bewaren, helpt structuur.

In ComplianceHive leg je elk AI-systeem vast via een stapsgewijze wizard. Je doorloopt de AI-classificatie, het risicoprofiel en de besluitvormingsimpact per systeem. Alles op een plek, auditklaar.

ComplianceHive AI-systeem register met risicoklasse en AI-type per systeem In ComplianceHive leg je elk AI-systeem vast via een stapsgewijze wizard, inclusief AI-type, risicoklasse en geautomatiseerde besluitvorming.

Wat nu? Risicoklasse bepalen als volgende stap

Je hebt nu een lijst. Dat is de basis. De volgende stap is het bepalen van de risicoklasse per systeem. De EU AI Act werkt met vier niveaus: onaanvaardbaar risico (verboden), hoog risico, beperkt risico en minimaal risico. Elk niveau brengt andere verplichtingen met zich mee.

In ons artikel over risicoklassificatie lees je precies hoe je elk systeem indeelt en wat dat praktisch betekent.

Wil je alles in een centraal AI-systeem register bijhouden? Dan kun je vandaag beginnen.

Veelgestelde vragen

Moet elk bedrijf een AI-inventaris hebben onder de EU AI Act?

Niet elk bedrijf is wettelijk verplicht om een formeel AI-register bij te houden. Maar als je organisatie hoog-risico AI-systemen gebruikt, zoals AI voor werving of kredietbeoordeling, moet je die registreren in de EU-database. Voor alle andere AI-systemen is een interne inventaris sterk aan te raden, omdat je zonder overzicht niet kunt beoordelen welke verplichtingen op je rusten.

Wat is het verschil tussen een AI-inventaris en een AI-register?

Een AI-inventaris is je interne overzicht van alle AI-systemen die je organisatie gebruikt. Een AI-register is de formele registratie in de EU-database, verplicht voor hoog-risico systemen onder Artikel 49 van de AI Act. In de praktijk begint iedereen met een inventaris en bouwt van daaruit verder.

Hoe lang duurt het om een AI-inventaris op te stellen?

Een eerste inventaris kun je in 30 minuten opzetten. Loop je softwarestack door, check de feature-paginas van je tools op AI-functionaliteit en stel je team een korte vraag over welke tools zij gebruiken. Perfectie is niet het doel. Het doel is dat de inventaris bestaat.

Welke informatie moet per AI-systeem worden vastgelegd?

Leg minimaal vast: de naam van het systeem, de leverancier, wat de AI-functionaliteit doet, of het geautomatiseerde beslissingen neemt over mensen en of menselijke controle mogelijk is. Voor hoog-risico systemen komen daar technische documentatie en logging bij.

Wat doe ik als een medewerker zelf een AI-tool heeft aangeschaft zonder toestemming?

Behandel het niet als overtreding maar als informatie. Shadow AI is overal. Voeg de tool toe aan je inventaris, beoordeel het risico en beslis dan of de tool mag blijven (eventueel onder voorwaarden) of moet worden vervangen. Het belangrijkste is dat je ervan weet.

Dit artikel is algemene informatie en geen juridisch advies. Raadpleeg een gekwalificeerde jurist voor juridische interpretatie.

Start vandaag nog met grip op je leveranciers en software

Laat ComplianceHive je helpen met ISO 27001, AVG, leveranciersbeheer en meer. Geen gedoe, geen spreadsheets, gewoon overzicht. Begin nu met een gratis proefperiode van 1 maand. Geen creditcard nodig, geen verborgen kosten. Ontdek het Busy Hive-plan en beheer tot wel 25 tools en leveranciers in één overzicht.

Probeer 1 maand gratis