De vraag komt in vrijwel elk eerste gesprek over AI Act-compliance voorbij: "Moeten wij een AI-register hebben?" Het korte antwoord: de EU AI Act bevat geen artikel dat organisaties letterlijk verplicht om een intern AI-register bij te houden. Het eerlijke antwoord: zonder register kun je vrijwel geen enkele verplichting uit de verordening aantoonbaar naleven, en toezichthouders en auditors beginnen hun vragen precies daar.
In dit artikel ontleden we wat de wet wel en niet eist, waar de registerplicht in de praktijk vandaan komt, en hoe je een AI-inventarisatie opzet die meer is dan een spreadsheet die na drie maanden veroudert.
Wat de AI Act letterlijk eist
De verordening kent verschillende registratie- en documentatieverplichtingen, maar die zijn specifieker dan "houd een register bij":
Voor aanbieders van hoog-risico AI-systemen geldt straks een registratieplicht in de EU-databank (artikel 49 en artikel 71). Die databank wordt door de Europese Commissie beheerd en is deels openbaar. Deze verplichting volgt het hoog-risico regime, dat via de Digital Omnibus is verschoven naar 2 december 2027 voor de zelfstandige hoog-risico systemen uit bijlage III.
Voor overheidsinstanties die als gebruiksverantwoordelijke hoog-risico AI inzetten geldt eveneens een registratieverplichting in de EU-databank. Ook die volgt de hoog-risico tijdlijn.
Voor iedereen die AI inzet geldt sinds 2 februari 2025 de AI-geletterdheidsbepaling van artikel 4: organisaties nemen maatregelen zodat medewerkers die met AI-systemen werken voldoende AI-geletterd zijn. Je kunt die maatregelen niet richten, laat staan onderbouwen, als je niet weet welke AI-systemen er draaien en wie ermee werkt.
Vanaf 2 augustus 2026 gelden de transparantieverplichtingen van artikel 50: chatbots moeten zich als AI kenbaar maken en AI-gegenereerde content moet herkenbaar zijn. Ook hier begint naleving bij weten wélke systemen onder die verplichting vallen.
Het interne AI-register is dus geen zelfstandige wettelijke plicht, maar de onmisbare onderbouw van verplichtingen die er wel zijn. Vergelijk het met het verwerkingsregister onder de AVG: dat is wel expliciet verplicht (artikel 30 AVG), en veel organisaties breiden precies dat register uit met een AI-dimensie.
Waarom je zonder register vastloopt
Drie praktische redenen waarom vrijwel elke serieuze AI-governance-aanpak met een inventarisatie begint:
1. Risicoclassificatie vereist een lijst. De AI Act werkt met risicocategorieën: verboden praktijken, hoog-risico, transparantieverplichtingen en minimaal risico. Je kunt een systeem pas classificeren als het in beeld is. Schaduw-AI, de tools die afdelingen zelf aanschaffen of gratis gebruiken, is in de praktijk de grootste blinde vlek. Onderzoek na onderzoek laat zien dat organisaties het aantal AI-toepassingen in huis structureel onderschatten.
2. Toezichthouders vragen ernaar. De Autoriteit Persoonsgegevens vraagt in haar rapportages en uitvragen over algoritmes consequent naar overzicht: welke systemen, welke doelen, welke risico's, wie is eigenaar. Voor de publieke sector bestaat daarnaast het Nederlandse Algoritmeregister, waarin overheidsorganisaties hun impactvolle algoritmes publiceren. Wie bij een uitvraag geen inventarisatie kan tonen, begint het gesprek met een achterstand.
3. Inkopers en klanten vragen ernaar. Steeds meer aanbestedingen en enterprise-inkooptrajecten bevatten vragen over AI-governance. De eerste vraag is vrijwel altijd een variant van: "Welke AI-systemen gebruikt u en hoe zijn die beoordeeld?" Een actueel register is dan geen compliance-last maar verkoopmateriaal.
Wat er in een werkbaar AI-register staat
Een register dat zijn werk doet, bevat per AI-systeem minimaal:
- Naam en omschrijving van het systeem en de concrete toepassing
- Eigenaar: wie is intern verantwoordelijk (niet de leverancier, maar de interne rol)
- Rol onder de AI Act: bent u aanbieder, gebruiksverantwoordelijke, importeur of distributeur van dit systeem
- Risicoclassificatie: verboden, hoog-risico (met bijlage III-categorie), transparantieverplichting, of minimaal risico, inclusief de onderbouwing
- Leverancier en contractstatus: wie levert het, welke garanties en documentatie zijn contractueel geregeld
- Gegevensverwerking: welke persoonsgegevens, koppeling met het AVG-verwerkingsregister en een eventuele DPIA
- Gebruikersgroepen: wie werkt ermee, relevant voor de artikel 4-maatregelen
- Status en reviewdatum: pilots veranderen in productie zonder dat iemand het register bijwerkt, dus een houdbaarheidsdatum per regel is geen luxe
De valkuil is compleetheid als doel op zich. Een register met veertig kolommen dat niemand bijhoudt verliest het altijd van een register met tien kolommen dat elk kwartaal wordt bijgewerkt en waar besluitvorming aan hangt.
Hoe je begint: van nul naar register in weken
De snelste route die in de praktijk werkt:
- Verzamel wat er al is. Het AVG-verwerkingsregister, de contractenadministratie, het applicatielandschap van IT en de facturenlijst van inkoop bevatten samen het grootste deel van de waarheid.
- Bevraag de organisatie kort en concreet. Niet "gebruikt u AI?" maar "welke tools gebruikt uw team om teksten te schrijven, beslissingen voor te bereiden, kandidaten te beoordelen of klantvragen te beantwoorden?"
- Classificeer eerst grof. Deel systemen in drie stapels: raakt mensen direct (kandidaten, klanten, burgers, patiënten), ondersteunt intern werk, of is experimenteel. De eerste stapel krijgt prioriteit bij de formele risicoclassificatie.
- Beleg eigenaarschap per systeem. Een register zonder eigenaren is een foto; met eigenaren is het een proces.
- Koppel er besluitvorming aan. Nieuwe AI-tools komen alleen in gebruik via een intake die het register voedt. Daarmee voorkom je dat de inventarisatie meteen veroudert.
Voor overheidsorganisaties komt daar de afweging bij welke systemen ook in het publieke Algoritmeregister thuishoren; de interne inventarisatie is daarvoor de bron.
De relatie met de rest van je AI Act-dossier
Het register is het fundament, niet het eindpunt. Vanuit de inventarisatie volgen de risicoclassificatie per systeem, de gap-analyse tegen de verplichtingen die voor uw rol gelden, de DPIA of FRIA waar nodig, de leveranciersdossiers en de artikel 4-maatregelen per gebruikersgroep. Wie het register overslaat en direct beleid schrijft, bouwt een dak zonder fundering.
Wilt u weten waar uw organisatie staat? De artikelen en bijlagen van de AI Act kunt u op dit platform integraal doorzoeken. Voor een begeleide start, van inventarisatie tot roadmap met vaste prijs, kunt u terecht bij Embed AI.