Responsible AI Platform

AI-systemen registreren onder de EU AI Act: wat is verplicht, voor wie, en hoe verhoudt dit zich tot het Nederlandse Algoritmeregister?

··11 min leestijd
Engelse versie niet beschikbaar

"Moeten we dit AI-systeem registreren?" is een van die vragen die je in bijna elke AI-governance-discussie hoort. Het lastige is dat er in de praktijk drie verschillende dingen met "registreren" worden bedoeld. Soms gaat het om een intern overzicht van alle AI en algoritmes binnen de organisatie. Soms gaat het om het Nederlandse Algoritmeregister voor overheidsorganisaties. En soms gaat het om de EU-database die de EU AI Act introduceert. Die drie lopen makkelijk door elkaar, terwijl de juridische plichten en de doelgroep per register verschillen.

In dit blog breng ik de registratieverplichtingen onder de EU AI Act terug naar de kern: wanneer is registratie verplicht, welke rol moet je hebben (provider of deployer), welke systemen vallen eronder (Annex III), wat moet je registreren (Annex VIII), en wat zeggen Nederlandse bronnen zoals de AP en het Algoritmeregister hierover.

1) De basis: de EU AI Act kent geen algemene registratieplicht voor "alle AI"

De AI Act verplicht organisaties niet om elk AI-systeem dat ergens in een team wordt gebruikt in een extern register te zetten. De registratieplicht waar veel mensen op doelen, is specifieker: het gaat om registratie in een EU-database voor bepaalde high-risk AI-systemen, vooral de systemen die als high-risk worden aangemerkt omdat ze onder Annex III vallen.

Die EU-database is geregeld in Artikel 71 (de database zelf en hoe die werkt) en de registratieplicht staat in Artikel 49 (wie wanneer moet registreren). In de tekst van de AI Act staat bijvoorbeeld expliciet dat providers van high-risk AI-systemen uit Annex III (met een uitzondering) zichzelf en hun systeem registreren in de EU-database, en dat publieke deployers ook hun gebruik registreren. (EUR-Lex)

Het praktische gevolg: veel organisaties doen er verstandig aan om intern een AI-register te bouwen voor grip en governance, maar dat interne register is iets anders dan de wettelijke registratieplicht richting een Europese database.

2) Provider versus deployer: waarom de rolverdeling alles bepaalt

De AI Act werkt met rollen. Voor registratie zijn vooral twee rollen relevant:

Provider: de partij die het AI-systeem ontwikkelt of laat ontwikkelen en het op de markt brengt onder eigen naam, of het in gebruik neemt voor eigen doeleinden op een manier die in de AI Act als "putting into service" kwalificeert.

Deployer: de partij die het systeem gebruikt in een eigen proces.

Dit onderscheid is in de praktijk soms scherp (softwareleverancier levert, klant gebruikt), maar vaak ook grijs, bijvoorbeeld bij maatwerkmodellen, open-source componenten, "AI features" in SaaS, of situaties waarin een organisatie zelf een model bouwt en intern uitrolt.

Voor de registratieplicht is het onderscheid echter doorslaggevend: Artikel 49 legt de primaire registratieplicht voor het systeem bij de provider, en een aanvullende registratieplicht voor het gebruik bij publieke deployers. (EUR-Lex)

3) Wanneer is registratie in de EU-database verplicht?

De AI Act maakt drie hoofdcategorieën.

A. Providers van high-risk Annex III-systemen: registratie is verplicht vóór marktintroductie of ingebruikname

Artikel 49(1) zegt: vóór het op de markt brengen of in gebruik nemen van een high-risk AI-systeem dat in Annex III staat, registreert de provider (of de gemachtigde vertegenwoordiger) zichzelf en het systeem in de EU-database uit Artikel 71. Daarbij staat direct een uitzondering: dit geldt niet voor de high-risk AI-systemen uit Annex III punt 2. (EUR-Lex)

Het is nuttig om dit te vertalen naar een herkenbaar scenario. Denk aan een leverancier die een AI-systeem aanbiedt voor het automatisch beoordelen van kandidaten in een recruitmentproces, of een aanbieder van een AI-tool die toegang tot onderwijs of examens beïnvloedt. Als zo'n systeem onder Annex III valt en high-risk is, dan ontstaat die registratieplicht aan de provider-kant.

B. Providers die een Annex III-systeem "niet-high-risk" vinden onder Artikel 6(3): toch registreren

De AI Act kent een procedure waarmee een provider kan concluderen dat een systeem in een Annex III-context niet high-risk is, op basis van de voorwaarden van Artikel 6(3). De wetgever heeft daarbij expliciet voorkomen dat dit onzichtbaar blijft: Artikel 49(2) verplicht ook dan registratie van provider en systeem in de EU-database. (EUR-Lex)

Dit is een belangrijk mechanisme omdat het twee dingen afdwingt. Ten eerste: je kunt je "niet-high-risk"-positie niet alleen intern opschrijven en verdergaan. Ten tweede: de gegevensset die je moet registreren bevat ook de grondslag en een korte onderbouwing waarom je onder 6(3) meent te vallen. Dat staat uitgewerkt in Annex VIII, Section B. (EUR-Lex)

C. Publieke deployers: registratie van het gebruik vóór inzet

Artikel 49(3) verplicht bepaalde deployers om hun gebruik te registreren in de EU-database. Dit geldt voor deployers die publieke autoriteiten zijn, EU-instellingen, of partijen die namens hen handelen. Ook hier gaat het om high-risk AI-systemen uit Annex III, met opnieuw de uitzondering voor Annex III punt 2. (EUR-Lex)

De gedachte hierachter is zichtbaar in de inrichting van de database: voor publieke inzet wordt niet alleen "welk systeem" geregistreerd, maar ook informatie over de impact en de context, juist omdat overheidstoepassingen vaak direct ingrijpen op rechten van burgers.

4) Uitzonderingen die je echt moet kennen

Er zijn twee uitzonderingen die in de praktijk snel gemist worden.

Annex III punt 2: registratie op nationaal niveau, niet in de EU-database

Artikel 49(5) zegt dat high-risk AI-systemen uit Annex III punt 2 op nationaal niveau worden geregistreerd. (EUR-Lex) Dat betekent niet dat er geen registratie is, maar wel dat het kanaal anders is. Voor governance en procurement is dit relevant, omdat je bij dit type systeem niet automatisch de EU-database als "single source of truth" kunt nemen.

Law enforcement, migratie, asiel en grensbeheer: afgeschermde registratie

Artikel 49(4) regelt dat voor high-risk AI-systemen in Annex III punten 1, 6 en 7 binnen law enforcement en migratie/asiel/grensbeheer registratie plaatsvindt in een secure non-public section van de EU-database, met beperkte toegang en een beperkt datapakket. (EUR-Lex)

In dezelfde geest zie je in de AI Act ook dat "real-time remote biometric identification" in publieke ruimtes alleen mag worden ingezet als onder meer een FRIA is gedaan en registratie in de database is geregeld, met een uitzonderingsroute voor urgente situaties waarbij registratie "zonder onnodige vertraging" moet volgen. (EUR-Lex)

5) Wat moet je registreren? Annex VIII maakt het concreet

Veel organisaties denken bij registratie aan "naam van het systeem en klaar". Annex VIII laat zien dat de EU-database bedoeld is als gestructureerde transparantie en traceerbaarheid.

Section A (providers, Artikel 49(1)) vraagt onder meer om providergegevens, de handelsnaam en identificatie, een beschrijving van het doel, een beknopte beschrijving van inputs en operating logic, status, lidstaten waar het beschikbaar is, en een kopie van de EU declaration of conformity en instructies voor gebruik (met uitzonderingen voor bepaalde domeinen). (EUR-Lex)

Section B (providers, Artikel 49(2)) vraagt naast basisgegevens expliciet om: welke voorwaarde(n) uit Artikel 6(3) je gebruikt om "niet-high-risk" te claimen, en een korte samenvatting van de gronden. (EUR-Lex)

Section C (publieke deployers, Artikel 49(3)) is misschien wel het meest interessant, omdat het registratie koppelt aan impact assessments. De deployer registreert onder meer de URL van de entry van de provider en voegt een samenvatting toe van de Fundamental Rights Impact Assessment (FRIA) en, waar relevant, een samenvatting van een DPIA onder de AVG of onder de wetshandhavingsrichtlijn. (EUR-Lex)

Hier zit een governance-signaal in: registratie is niet bedoeld als losse administratieve stap, maar als onderdeel van een aantoonbaar verantwoord implementatieproces.

6) De timing: wanneer gaat dit spelen?

De AI Act is in werking getreden op 1 augustus 2024, zoals de Europese Commissie ook in haar communicatie bevestigt. (European Commission) Voor de registratieverplichtingen uit Artikel 49 en de EU-database uit Artikel 71 geldt in de AI Act een gefaseerde toepassing. In veel implementatie-overzichten wordt voor deze artikelen 2 augustus 2026 genoemd als toepassingsmoment, omdat dit samenvalt met de bredere start van de high-risk verplichtingen. (artificialintelligenceact.eu)

Tegelijk is dit precies het soort onderdeel waar eind 2025 politieke dynamiek omheen hangt. In november 2025 is in de media bericht dat de Commissie voorstellen verkent of heeft gepresenteerd om onderdelen van high-risk verplichtingen uit te stellen richting 2027, onder druk van uiteenlopende partijen. (Reuters) Voor organisaties is dit een bekend spanningsveld: de formele wettekst geeft één datum, maar beleidsdiscussies kunnen later bijsturen. Totdat een wijziging is aangenomen, is de wettekst leidend, en dat maakt 2026 nog steeds het ankerpunt voor je voorbereiding.

7) Hoe verhoudt dit zich tot het Nederlandse Algoritmeregister?

Nederland heeft een eigen register voor publieke organisaties: algoritmes.overheid.nl. Dat register is breder dan de AI Act, omdat het niet alleen AI-systemen in de zin van de AI Act betreft en ook niet beperkt is tot Annex III-high-risk. Het doel is transparantie richting burgers, media en organisaties over de inzet van impactvolle algoritmes.

Twee punten zijn hierbij belangrijk.

Ten eerste: het Algoritmeregister zegt expliciet dat het aanleveren van informatie nu nog niet verplicht is, maar dat er wel een verplichting aan komt. (algoritmes.overheid.nl) Ten tweede: de overheidssite Digitale Overheid vermeldt dat registratie van impactvolle algoritmes uiteindelijk wettelijk verplicht wordt, en verwijst daarbij ook naar Nederlandse en Europese wetgeving als context. (Digitale Overheid)

Voor de praktijk betekent dit dat overheidsorganisaties straks met twee sporen te maken kunnen krijgen:

  1. EU-database (AI Act) voor de specifieke groep Annex III-systemen (plus 6(3)-gevallen) en het publieke gebruik daarvan. (EUR-Lex)
  2. Nederlands Algoritmeregister als transparantie-instrument voor impactvolle algoritmes in bredere zin, met eigen publicatievelden en eigen doelstellingen. (algoritmes.overheid.nl)

Die registers kunnen informatie delen, maar ze zijn niet identiek in scope en bedoeling.

8) Wat betekent dit voor organisaties buiten de overheid?

Voor private organisaties is de headline vaak: "wij hoeven ons gebruik niet in de EU-database te registreren, dus klaar". Dat is een te smalle lezing. Het klopt dat Artikel 49(3) zich richt op publieke deployers. (EUR-Lex) Maar private organisaties kunnen wél provider zijn, ook onbewust. Denk aan:

  • een grote organisatie die zelf een model ontwikkelt en intern in meerdere landen uitrolt, onder eigen naam, met eigen documentatie en beheer;
  • een organisatie die een bestaand model zo ingrijpend wijzigt dat er feitelijk een nieuw systeem ontstaat;
  • een platformpartij die AI-functionaliteit als product aanbiedt aan klanten.

In zulke gevallen kun je ineens in provider-positie terechtkomen, met registratieplicht onder Artikel 49(1) of 49(2) als het systeem Annex III-high-risk is of als je een 6(3)-claim maakt. (EUR-Lex)

Daarnaast is er een tweede reden waarom "wij hoeven niet" in de praktijk zelden het eindpunt is: je kunt de AI Act niet uitvoeren zonder intern overzicht. Zonder inventaris weet je niet welke systemen Annex III kunnen raken, welke leveranciers je moet aansturen op documentatie, en waar FRIA of DPIA-logica in je proces hoort. De wet verplicht misschien niet expliciet een intern register voor iedereen, maar de compliance-voering wordt vrijwel onmogelijk zonder.

9) Een werkbare aanpak voor registratie zonder bureaucratie

Als je registratie niet als los project wilt benaderen maar als onderdeel van AI-governance, helpt het om drie lagen te onderscheiden:

Laag 1: interne inventaris (breed) Een intern overzicht waarin je ieder relevant AI of algoritmisch systeem opneemt dat impact kan hebben op personen, bedrijfsvoering of publieke waarden. Dit is je stuurinformatie voor procurement, risk management, audits en incidentafhandeling.

Laag 2: EU-database registratie (smal, juridisch hard) Alleen voor de gevallen van Artikel 49. Dit vraagt dat je intern al weet of een systeem Annex III is, of je provider of deployer bent, en of een uitzondering speelt (Annex III punt 2 of afgeschermde domeinen). (EUR-Lex)

Laag 3: nationale transparantie (publieke sector) Voor overheden is het Algoritmeregister een apart spoor met een bredere transparantie-insteek en een route richting verplichting. (algoritmes.overheid.nl)

Zodra je dit onderscheid expliciet maakt in beleid en processen, verdwijnen veel discussies. Teams weten dan waarom ze intern registreren (governance), wanneer er extern geregistreerd moet worden (AI Act), en wanneer publicatie richting burgers aan de orde is (Algoritmeregister).

10) Wat je nu al kunt voorbereiden richting 2026

Als je richting 2026 geen last-minute dataverzamelproject wilt, zijn er een paar concrete voorbereidingen die meteen waarde opleveren.

Begin met het in kaart brengen van je rol per systeem: ben je deployer, provider, of zit je in een hybride situatie. Koppel daar direct je leveranciersmanagement aan, want Annex VIII laat zien dat registratie inhoudelijk niet alleen uit een naam bestaat, maar ook uit doel, basislogica, status en conformiteitsdocumenten. (EUR-Lex)

Voor publieke organisaties is het slim om FRIA en DPIA niet als aparte werelden te behandelen. De AI Act maakt die relatie expliciet: Section C vraagt om samenvattingen, en Artikel 27 beschrijft hoe FRIA kan aansluiten op wat al in een DPIA wordt gedaan. (EUR-Lex)

Tot slot: behandel registratie als onderdeel van "change management". Een register is alleen nuttig als het meebeweegt bij updates, retraining, wijziging van doel, nieuwe datasets, nieuwe afdelingen die het systeem gebruiken, of nieuwe landen waarin het wordt uitgerold. Dat geldt intern, en dat geldt net zo goed voor wat je in externe registers moet bijhouden, omdat Annex VIII ook zegt dat informatie up-to-date gehouden moet worden. (EUR-Lex)

Bronnen

  1. Regulation - EU - 2024/1689 - EN - EUR-Lex
  2. AI Act enters into force - European Commission
  3. Article 49: Registration | EU Artificial Intelligence Act
  4. EU to delay 'high risk' AI rules until 2027 after Big Tech pushback - Reuters
  5. Over het Algoritmeregister - algoritmes.overheid.nl
  6. Algoritmeregister voor de overheid Algoritmes - Digitale Overheid
Test je kennis

AI-systeem Registratie Quiz

Test je kennis over registratieverplichtingen onder de EU AI Act en het Nederlandse Algoritmeregister. Van Artikel 49 tot Annex III - ontdek waar je staat.

10 vragenGeschatte tijd: 8 minuten
Start de quiz

🏛️ Meer over AI Governance: Bekijk de AI Governance & Compliance Gids voor structuur, audit-gereedheid en toezicht.