Je verwerkingsregister is al je AI Act-dossier: je bent voor 70% klaar
AI Act, AVG, Compliance
Je hebt maanden gewerkt aan je AVG-documentatie. Verwerkingsregister opgezet, verwerkersovereenkomsten bijgehouden, rechtsgronden gedocumenteerd. Dan verschijnt de AI Act op je radar en je denkt: nog een heel traject erbij.
Dat valt mee. Grotere kans: je hebt het meeste werk al gedaan.
Dit artikel legt uit waarom je bestaande AVG-documentatie het startpunt is voor je AI Act-compliance, wat je er direct uit kunt hergebruiken, en wat je nog moet aanvullen.
Waarom je verwerkingsregister al voor 70% klopt
De AI Act stelt verplichtingen aan organisaties die AI-systemen gebruiken. Die verplichtingen draaien om drie kernvragen: wat doet het systeem, welke data verwerkt het, en wie is verantwoordelijk?
Die drie vragen heb je al beantwoord in je verwerkingsregister.
Kijk naar wat je al vastlegt voor de AVG:
Het doel van de verwerking staat er al in. De AI Act vraagt hetzelfde: waarvoor gebruik je dit systeem? Je kunt de formulering direct overnemen of licht aanpassen.
De verantwoordelijke persoon staat er al in. De AI Act vereist een verantwoordelijke partij per AI-systeem. In de meeste mkb-organisaties is dat dezelfde persoon als de verwerkingsverantwoordelijke in je AVG-register.
De betrokken gegevenssoorten staan er al in. Als een AI-systeem persoonsgegevens verwerkt, heb je die gegevenssoorten al gedocumenteerd voor je verwerkingsregister. Die informatie vormt direct de basis voor je AI Act-dossier.
De subverwerkers en leveranciers staan er al in. De AI Act vereist informatie over de aanbieder van het AI-systeem. Als je het systeem van een leverancier afneemt, heb je de leveranciersgegevens al vastgelegd.
Dat is geen toevallige overlap. De EU heeft de AI Act bewust ontworpen met de AVG als referentiepunt. Organisaties die al AVG-compliant zijn, lopen niet van nul.
Wat je er concreet uit kunt hergebruiken
Neem je verwerkingsregister erbij en zoek de verwerkingen waarbij een AI-tool betrokken is. Dat is je startpunt voor je AI Act-documentatie.
Voor elk AI-systeem dat persoonsgegevens verwerkt, kun je de volgende velden direct kopiëren of overnemen:
Doel van de verwerking, naam en contactgegevens verwerkingsverantwoordelijke, betrokken categorieën persoonsgegevens, bewaartermijnen, naam en contactgegevens van verwerkers en subverwerkers. Die informatie vul je al in voor je AVG-register en is direct herbruikbaar.
Dat bespaart niet alleen werk. Het zorgt ook dat beide registers consistent zijn, wat toezichthouders verwachten.
Wat je nog moet aanvullen
Het verwerkingsregister dekt de AVG-kant. Voor de AI Act zijn er aanvullende velden die je nog niet hebt.
Risicoklasse. De AI Act indeelt AI-systemen in vier categorieen: onaanvaardbaar risico (verboden), hoog risico, beperkt risico en minimaal risico. Dit is het eerste dat je per systeem moet bepalen. Voor de meeste AI-tools die mkb-bedrijven gebruiken valt het mee: e-mailtools, agenda-assistenten en zoekfunctionaliteit vallen doorgaans in minimaal risico.
AI-type. De AI Act maakt onderscheid tussen typen AI-systemen op basis van hoe ze werken: machine learning, deep learning, patroonherkenning. Dit documenteer je per systeem.
Menselijk toezicht. De AI Act vereist dat hoog-risico AI-systemen structureel menselijk toezicht hebben: iemand die de beslissingen van het systeem kan beoordelen en corrigeren. Als je systeem in de hoog-risico categorie valt, beschrijf je wie dat toezicht uitoefent en hoe.
Technische documentatie (bij hoog risico). Hoog-risico AI-systemen vereisen aanvullende documentatie over nauwkeurigheid, robuustheid en cybersecurity-maatregelen. Dit is uitgebreider dan wat je al hebt, maar treft de meeste mkb-bedrijven niet: de meeste AI-tools die je als deployer (gebruiker) afneemt vallen niet in de hoog-risico categorie.
Het 30%-verschil in perspectief
De 70% die je al hebt dekt de brede documentatiebasis: wat verwerk je, voor welk doel, wie is verantwoordelijk, welke partijen zijn betrokken. Dat is het fundament waarop toezichthouders beoordelen of je serieus werk maakt van compliance.
De 30% die je toevoegt, is grotendeels risicoklasse-bepaling en AI-type. Dat is werk van een middagje voor de meeste mkb-organisaties, niet een maandenlang project.
De uitzondering is als je hoog-risico AI-systemen gebruikt, zoals tools voor personeelsselectie, kredietbeoordeling of biometrische identificatie. Dan is de technische documentatie uitgebreider. Maar dat weet je al: dit zijn systemen waarvan je wist dat ze gevoelig zijn.
Hoe je dit praktisch aanpakt
Stap 1: Breng je AI-systemen in kaart. Maak een lijst van alle AI-tools die je organisatie gebruikt. Vraag medewerkers actief mee te denken, want AI-gebruik verspreid zich snel via afdelingen. Ons artikel over de AI-inventaris opstellen geeft je daarvoor een gestructureerde aanpak.
Stap 2: Match op je verwerkingsregister. Ga per AI-systeem na of het persoonsgegevens verwerkt. Zo ja: zoek die verwerking op in je register. Dat is je startpunt voor de AI Act-entry van dit systeem.
Stap 3: Voeg de AI Act-velden toe. Bepaal de risicoklasse, het AI-type en de toezichthoudende persoon. Lees ons artikel over AI Act risicoklasse bepalen als je niet zeker bent welke categorie van toepassing is.
Stap 4: Documenteer menselijk toezicht. Schrijf per hoog-risico systeem op wie de beslissingen van het systeem beoordeelt, hoe dat in de praktijk werkt en hoe een beslissing kan worden gecorrigeerd.
Stap 5: Houd beide registers actueel. AVG en AI Act zijn levende documenten. Als je een nieuw AI-systeem in gebruik neemt, voeg je het tegelijk toe aan je verwerkingsregister (als het persoonsgegevens verwerkt) en je AI-register.
Een levend register werkt beter dan een eenmalig document
Het grootste risico bij compliance-documentatie is dat het een project wordt in plaats van een gewoonte. Je stelt het op, archiveert het en pakt het pas aan als er een audit aankomt.
Dat werkt niet voor de AVG. Het werkt al helemaal niet voor de AI Act, want het AI-landschap verandert snel. Tools die je team vandaag gebruikt, bestaan over zes maanden misschien niet meer. Nieuwe tools komen erbij. Risicoklassen kunnen veranderen als de functionaliteit van een tool wordt uitgebreid.
Een levend register is een register dat meegroeit. Dat je bijwerkt als iets verandert, niet alleen als er controle dreigt. Dat je kunt laten zien als een klant vraagt om bewijs van naleving.
ComplianceHive combineert je verwerkingsregister en je AI-systemenregister in één platform. Je legt een AI-systeem dat persoonsgegevens verwerkt één keer vast, en het verschijnt automatisch in beide registers. Zo houd je beide verplichtingen bij zonder dubbel werk. Probeer het 30 dagen gratis.
Veelgestelde vragen
Kun je je bestaande AVG-verwerkingsregister gebruiken voor de AI Act?
Ja, als startpunt. Informatie over doel, verantwoordelijke persoon, verwerkingsactiviteiten en betrokken gegevenssoorten is direct herbruikbaar voor je AI Act-documentatie. Wat je aanvult: de risicoklasse van het AI-systeem, het AI-type, menselijk toezicht en technische documentatieverplichtingen.
Welke informatie uit mijn verwerkingsregister heb ik nodig voor de AI Act?
Doel van de verwerking, betrokken gegevenssoorten, naam en contactgegevens van de verwerkingsverantwoordelijke, bewaartermijn en informatie over subverwerkers. Al deze velden die je al invult voor je AVG-register vormen de basis voor je AI Act-documentatie.
Wat moet ik extra documenteren voor de AI Act bovenop mijn verwerkingsregister?
Voor AI-systemen die onder de AI Act vallen, voeg je toe: de risicoklasse, het AI-type, een beschrijving van menselijk toezicht en bij hoog-risico systemen technische documentatie over nauwkeurigheid, robuustheid en cybersecurity.
Moet ik een apart AI-register bijhouden naast mijn verwerkingsregister?
Ja. Het verwerkingsregister en het AI-register zijn niet uitwisselbaar: ze dienen verschillende toezichthouders en hebben deels andere velden. ComplianceHive legt AI-systemen die persoonsgegevens verwerken vast in beide registers tegelijk, zodat je dezelfde informatie niet tweemaal hoeft in te voeren.
Wat is het meest praktische startpunt voor AI Act-compliance als mkb?
Pak je bestaande verwerkingsregister erbij. Bekijk welke verwerkingen gebruikmaken van AI-systemen. Bepaal per systeem de risicoklasse. Voeg de AI Act-velden toe aan die entries. Zo bouw je je AI Act-documentatie voort op werk dat je al gedaan hebt.