Agnes zet stap voor stap een AI-register op aan een bureau vol post-its en een laptop

AI-register opzetten: een stappenplan voor mkb

AI Act, Compliance

De EU AI Act vraagt iets nieuws van je: een register van alle AI-systemen die je bedrijf gebruikt of aanbiedt. Geen toezichthouder die op jouw stoep staat met een sjabloon. Geen kant-en-klare template van de overheid. Gewoon jij, een leeg document, en een wet die zegt dat je dit op orde moet hebben.

Voor grote bedrijven met een compliance-afdeling is dat lastig. Voor het mkb is het een dubbele uitdaging: je moet niet alleen weten wát je moet registreren, maar ook hóé je het praktisch inricht zonder fulltime jurist in dienst.

In dit stappenplan gaan we het oplossen. Inclusief checklist en een eerlijk gesprek over wat na het opzetten komt.

Waarom een AI-register verplicht is

De EU AI Act trad gefaseerd in werking en raakt vrijwel elk bedrijf dat AI gebruikt. Niet alleen ontwikkelaars. Ook gebruikers van AI-systemen, zoals iedereen die ChatGPT inzet voor klantcommunicatie, een chatbot draait op de website, of CV's laat screenen door een algoritme.

De wet onderscheidt vier risicocategorieën: onaanvaardbaar risico (verboden), hoog risico (zwaarste verplichtingen), beperkt risico (transparantieplicht) en minimaal risico. Voor elke AI in je organisatie moet je kunnen aantonen in welke categorie het valt en welke maatregelen je hebt genomen.

Dat aantonen, dat ís je AI-register.

Geldt dit ook voor jouw bedrijf met 12 medewerkers? Vrijwel zeker ja. De wet kent geen mkb-vrijstelling zoals de AVG die deels heeft. Wel zijn er lichtere regimes voor lager risico, maar je moet zelf kunnen onderbouwen welk regime van toepassing is. Zonder register geen onderbouwing.

Wat moet er in je AI-register staan?

Het AI-register is geen vrijblijvend lijstje. De wet en de richtlijnen van toezichthouders schrijven een aantal velden voor die per AI-systeem moeten worden vastgelegd:

  • Naam en doel van het AI-systeem
  • Leverancier of ontwikkelaar (ben je dat zelf, of een externe partij?)
  • Risicocategorie volgens de AI Act
  • Verwerkte data: welke gegevens gaan erin, welke komen eruit
  • Doelgroep en betrokkenen (klanten, medewerkers, sollicitanten)
  • Genomen waarborgen: menselijk toezicht, transparantie, bias-checks
  • Status van conformiteitsbeoordeling (voor hoog risico)
  • Verantwoordelijke persoon binnen je organisatie
  • Datum van ingebruikname en laatste evaluatie

Dat lijkt veel. Voor de meeste mkb-bedrijven valt het mee, omdat het aantal AI-systemen in gebruik kleiner is dan men denkt. Maar groter dan men hoopt.

Stappenplan: zo richt je het in

Stap 1: Inventariseer wat je al gebruikt

Begin niet met juridische analyse, begin met spitten. Vraag elk team welke tools ze gebruiken. ChatGPT in marketing. Copilot in development. Een AI-functie in je CRM die je niet eens had aangezet. Een sollicitantentool die zegt "AI-powered" op de productpagina.

Veel AI zit verstopt in software die je al jaren gebruikt. Maak eerst een ruwe lijst, zonder filter. Je schoont later op.

Stap 2: Classificeer per risiconiveau

Loop de lijst langs en bepaal per systeem het risico. Een AI die marketingteksten genereert is meestal beperkt risico. Een AI die CV's filtert valt vaak in hoog risico, omdat het over toegang tot werk gaat. Een AI die credit-scores berekent: hoog risico. Een vertaaltool: vrijwel altijd minimaal risico.

Twijfel je? Noteer de twijfel. Een eerlijk "nog te beoordelen" is beter dan een gokje dat later niet klopt.

Stap 3: Verzamel documentatie per systeem

Voor elk systeem hoort documentatie. Soms heeft de leverancier die al klaarliggen, vaak verstopt op een compliance-pagina. Vraag erom als je het niet kunt vinden. Een leverancier die geen AI Act-documentatie kan leveren, is een leverancier waarover je moet nadenken.

Stap 4: Wijs een eigenaar aan

Per AI-systeem één verantwoordelijke binnen je bedrijf. Niet "het team", maar één naam. Die persoon checkt jaarlijks of de gegevens nog kloppen, of de leverancier iets heeft veranderd, of het systeem überhaupt nog in gebruik is.

Stap 5: Leg het centraal vast

Het register zelf hoort op één plek te staan, toegankelijk voor wie het nodig heeft. Een spreadsheet kan, maar wordt al snel rommelig. Voor structurele aanpak werkt AI-systeem register software beter: vaste velden, audit trail, en koppeling met je andere compliance-dossiers.

AI-register checklist

Print deze uit, of vink af in je documentbeheersysteem. Zo weet je dat je niets bent vergeten:

  • [ ] Volledige inventarisatie gemaakt van alle AI-tools in gebruik (inclusief verborgen AI-functies in bestaande software)
  • [ ] Per systeem de risicocategorie volgens de AI Act bepaald en onderbouwd
  • [ ] Leveranciersdocumentatie opgevraagd en gearchiveerd voor elk systeem
  • [ ] Interne eigenaar aangewezen per AI-systeem
  • [ ] Verwerkte persoonsgegevens in kaart gebracht en gekoppeld aan je verwerkingsregister
  • [ ] Menselijk toezicht en waarborgen vastgelegd per hoog-risico systeem
  • [ ] Conformiteitsbeoordeling gestart of gepland voor hoog-risico systemen
  • [ ] Jaarlijkse evaluatiedatum geprikt voor het volledige register

Werk de checklist af in deze volgorde. Beginnen met de eigenaar aanwijzen voordat je weet wát je hebt, leidt tot lege velden en frustratie.

Hoe houd je het bij?

Dit is waar de meeste registers stuklopen. Niet bij het opzetten. Bij het bijhouden.

Een AI-register dat je één keer invult en daarna in een mapje stopt, is over zes maanden niet meer accuraat. AI-leveranciers updaten hun modellen. Teams introduceren nieuwe tools zonder het te melden. Wat vorig jaar beperkt risico was, kan na een productupdate hoog risico worden.

Voor mkb-bedrijven zonder compliance-team werkt het volgende ritme:

Kwartaalcheck (30 minuten): rondvraag bij teamleads of er nieuwe AI-tools zijn aangeschaft of geactiveerd. Toevoegen aan het register, of in de wachtrij zetten voor classificatie.

Halfjaarlijkse review: per AI-systeem checken of de leverancier iets heeft veranderd. Veel leveranciers communiceren updates via een changelog of compliance-pagina.

Jaarlijkse evaluatie: het hele register doorlopen, classificaties herijken, niet-meer-gebruikte systemen archiveren.

De overlap met je AVG-verwerkingsregister maakt dit makkelijker dan je denkt. AI-systemen verwerken vrijwel altijd persoonsgegevens, dus veel velden vul je in feite dubbel in. We schreven hier eerder over hoe je het verwerkingsregister kunt inzetten als AI Act-dossier: één bron, twee doelen.

Wil je dit niet zelf onderhouden in losse spreadsheets? ComplianceHive kan het ritme voor je inrichten. Onze AI Act-compliance software houdt het register levend met automatische herinneringen, leveranciersupdates en directe koppeling aan je AVG-dossier.

Veelgestelde vragen

Moet ons mkb echt een AI-register bijhouden, ook als we alleen ChatGPT gebruiken?

Ja. Ook bij beperkt of minimaal risico moet je kunnen aantonen welke AI je inzet en waarom je die categorie hebt toegekend. Een korte registratie is voldoende, maar afwezigheid van een register is niet verdedigbaar.

Hoeveel tijd kost het opzetten van een AI-register?

Voor een mkb-bedrijf met 5 tot 15 AI-systemen rekenen we op één tot twee werkdagen voor de eerste opzet. Daarna een paar uur per kwartaal voor onderhoud. Het zwaartepunt zit in de inventarisatie, niet in de juridische beoordeling.

Wat als een leverancier geen AI Act-documentatie levert?

Vraag schriftelijk om documentatie en bewaar de communicatie. Levert de leverancier niets, dan ligt het risico bij jou als gebruiker. Overweeg in dat geval een alternatieve leverancier, zeker voor hoog-risico toepassingen.


Start vandaag nog met grip op je leveranciers en software

Laat ComplianceHive je helpen met ISO 27001, AVG, leveranciersbeheer en meer. Geen gedoe, geen spreadsheets, gewoon overzicht. Begin nu met een gratis proefperiode van 1 maand. Geen creditcard nodig, geen verborgen kosten. Ontdek het Busy Hive-plan en beheer tot wel 25 tools en leveranciers in één overzicht.

Probeer 1 maand gratis