Skip to content

Een AI-register opzetten in 90 minuten (AI-verordening)

In 90 minuten en vijf stappen het AI-register opzetten dat het Europese mkb nodig heeft op grond van art. 26 AI-verordening en ICO-richtsnoeren. Startkolommen, valkuilen, eigenaarsregels.

Een AI-register opzetten in 90 minuten (AI-verordening)
Methodology by Daniela PiskackovaCo-founder & AI Audit Lead

De meeste Europese mkb-ondernemingen behandelen het AI-register als een zwaarwichtig product dat ze pas opleveren wanneer de handhaving van de AI-verordening toeslaat. Dat is een denkfout. Een werkende v1 kost negentig minuten als u het opzet als een inventaris aan de kant van de gebruiksverantwoordelijke en niet als een nalevingsdocument. Hieronder staat het stappenplan in vijf stappen dat we in onze auditopdrachten met operationeel leidinggevenden doorlopen — hetzelfde plan dat op vrijdagmiddag een risicobeeld op grond van bijlage III op één pagina zet en de ruimte verdient om het tragere werk daarna goed te doen.

Snel antwoord. Een AI-register is de inventaris, aan de kant van de gebruiksverantwoordelijke, van elk AI-systeem in uw organisatie. Het ligt besloten in de verplichtingen van de gebruiksverantwoordelijke uit art. 26 AI-verordening [1] en sluit aan op de ICO-richtsnoeren onder UK GDPR [2]. Een werkende v1 kost negentig minuten voor mkb-ondernemingen tot 200 medewerkers: 15 minuten om te inventariseren, 20 om in te delen naar risiconiveau aan de hand van bijlage III, 25 om de kernkolommen te vullen, en 30 om eigenaren aan te wijzen en het toezicht steekproefsgewijs te toetsen.

Wat is een AI-register?

Het AI-register verhoudt zich tot de verplichtingen van de gebruiksverantwoordelijke uit art. 26 zoals het register van de verwerkingsactiviteiten (ROPA) zich verhoudt tot art. 30 UK GDPR: een levende inventaris die elk systeem benoemt, het risiconiveau ervan classificeert en een verantwoordelijke persoon toewijst. Het is het document waar een ICO-onderzoeker, een inkoopafdeling of het team van een zakelijke klant dat leveranciers doorlicht als eerste naar vraagt.

De AI-verordening schrijft het formaat van het register niet voor in de verordeningstekst. Art. 26, lid 5, vereist dat gebruiksverantwoordelijken van systemen met een hoog risico menselijk toezicht waarborgen door een aangewezen, deskundige persoon; art. 26, lid 6, vereist dat logs van gebruik met een hoog risico ten minste zes maanden worden bewaard [1]. Het register is de operationele onderlaag die beide zichtbaar maakt. De ICO is sinds 2023 duidelijk dat AI die persoonsgegevens verwerkt onder UK GDPR de discipline van een gegevensbeschermingseffectbeoordeling (DPIA) en verantwoordingsverplichtingen in werking zet [2], en de AI-auditingtoolkit van de ICO somt de soorten gestructureerde vastleggingen op die een mkb-onderneming nodig heeft [3]. Geen enkele toezichthouder schrijft een specifieke tool voor. Een spreadsheet die de juiste kolommen benoemt en de juiste eigenaren toewijst, doorstaat de toets.

Waarom negentig minuten werkt (en wat het u niet oplevert)

Het register is niet de bestemming. Het is de kaart. Negentig minuten volstaan om aan het licht te brengen welke AI in gebruik is, het risiconiveau ervan te classificeren en verantwoordelijkheid toe te wijzen — het drietal feiten dat elke gebruiksverantwoordelijke moet kunnen aantonen voordat een toezichthouder, klant of bestuur ernaar vraagt. Wat negentig minuten u niet oplevert: een effectbeoordeling op het gebied van de grondrechten op grond van art. 27 voor elk systeem uit bijlage III, een curriculum voor AI-geletterdheid op grond van art. 4 dat in verhouding staat tot de rol, een due-diligencepakket voor leveranciers met verwerkersovereenkomsten en modelkaarten, of een volledig uitgeschreven protocol voor menselijk toezicht [1]. Dat zijn vervolgwerkstromen, afgebakend tegen wat het register aan het licht brengt.

De discipline van het strak afbakenen van de tijd telt zwaarder dan de afwerking. In onze auditopdrachten leveren de mkb-ondernemingen die het register als een project van meerdere weken behandelen er meestal geen op; de mkb-ondernemingen die v1 binnen negentig minuten afbakenen, leveren op dag één een register op en itereren het daarna. De verplichtingen uit art. 26 zijn doorlopend, niet eenmalig, dus een v1 die u kunt actualiseren is strikt meer waard dan een v3 waaraan u nog niet bent begonnen.

Hoe verloopt de werkwijze voor het AI-register van 90 minuten?

Stap 1 — Inventariseer elk AI-systeem in gebruik (15 minuten)

Drie bronnen dekken het meeste van wat u zult vinden. Haal betaalde SaaS-abonnementen uit uw financiële administratie of bedrijfskaart — elke leverancier met "AI", "ML", "Copilot", "Assistant" of "Insight" in de productnaam hoort op de lijst. Haal ingebouwde AI uit uw bestaande platforms — Microsoft 365 Copilot, Gemini-functies in Google Workspace, Salesforce Einstein, HubSpot Breeze, automatische antwoorden in Outlook, vergadersamenvattingen in Teams vallen er allemaal onder, betaald of niet. Haal shadow AI op met een bericht van één alinea aan iedereen waarin u vraagt welke AI-tools medewerkers dagelijks gebruiken, inclusief onbetaalde consumentenaccounts.

Behandel shadow AI als vallend binnen de reikwijdte. Een medewerker die een cv in een gratis ChatGPT-account plakt, maakt van de mkb-onderneming een gebruiksverantwoordelijke van een systeem met een hoog risico op grond van de arbeidsbepalingen van de AI-verordening (bijlage III) [1], en de gegevens verlaten uw omgeving onder UK GDPR [2]. De taak van het register is om dit aan het licht te brengen, niet om het te beteugelen. Beteugelen komt in stap 4, zodra u weet wat er is.

Stap 2 — Deel elk systeem in naar risiconiveau aan de hand van bijlage III (20 minuten)

Bijlage III bij de AI-verordening somt acht domeinen met een hoog risico op [1]: biometrische identificatie, kritieke infrastructuur, onderwijs en beroepsopleiding, werkgelegenheid en personeelsbeheer, toegang tot essentiële diensten, rechtshandhaving, migratie- en grenstoezicht, en rechtsbedeling. Voor het mkb zijn de levende triggers meestal werkgelegenheid (cv-screening, prestatieranking, geautomatiseerde planning), toegang tot diensten (kredietbeslissingen, verzekeringspremies) en onderwijs (toetsing van opleidingen, certificeringen).

Merk elk systeem op uw lijst aan als een van de volgende: hoog risico (overeenkomst met bijlage III), beperkt risico (transparantieverplichtingen op grond van art. 50), minimaal risico (geen specifieke verplichtingen buiten de AI-geletterdheid uit art. 4), of gebruiksverantwoordelijke van een AI-model voor algemene doeleinden (een AI-model voor algemene doeleinden als ruggengraat voor een chatbot of assistent) [1]. De meeste mkb-stacks vallen onder twee of drie niveaus. De classificatie is aan de gebruiksverantwoordelijke; ze is niet over te dragen aan de leverancier en niet afhankelijk van de bedrijfsgrootte.

Stap 3 — Vul de tien kernkolommen in (25 minuten)

De kolommen die hun plaats op een register van de gebruiksverantwoordelijke verdienen:

  1. Naam van het systeem — hoe uw medewerkers het dagelijks noemen.
  2. Leverancier — de rechtspersoon achter het product.
  3. Model of versie — voor zover bekend (bijv. GPT-4o, Claude 3.5, Gemini 1.5, eigen ontwikkeling).
  4. Gebruiksgeval — één zin die beschrijft wat het systeem beslist of genereert.
  5. Risiconiveau — hoog / beperkt / minimaal / gebruiksverantwoordelijke van een AI-model voor algemene doeleinden.
  6. Persoonsgegevens betrokken — J/N, plus de categorieën onder UK GDPR.
  7. Rechtsgrond — de rechtsgrond op grond van UK GDPR Article 6 (gerechtvaardigd belang, overeenkomst, toestemming, enz.).
  8. Verantwoordelijke persoon — een aangewezen persoon, geen team of rol.
  9. Logs als bedoeld in art. 26, lid 6 — J/N/N.v.t. voor ingebruiknames met een hoog risico.
  10. Datum van ingebruikname — minimaal maand en jaar.

Een spreadsheet met deze tien kolommen beantwoordt de eerste vraag die elke toezichthouder, klant of bestuurder zal stellen. Al het overige is iteratief werk, geen v1-werk. Weersta de neiging om kolommen toe te voegen totdat u alle tien op elke regel hebt ingevuld.

Stap 4 — Wijs per systeem een verantwoordelijke persoon aan (15 minuten)

Art. 26, lid 5, vereist dat gebruiksverantwoordelijken van systemen met een hoog risico menselijk toezicht waarborgen door een deskundige, verantwoordelijke persoon met de bevoegdheid om het systeem te pauzeren of te overrulen [1]. Vertaal dat naar uw register door een feitelijke persoon te benoemen bij elke regel uit bijlage III — geen rol als "IT-lead" of "hoofd Operations". De verantwoordelijke persoon moet drie eigenschappen hebben: hij kan de output van het systeem lezen, hij heeft de bevoegdheid om het uit te schakelen, en hij is bij naam bereikbaar in uw register.

Wijs ook voor systemen buiten bijlage III een eigenaar aan. De formele verplichting is lichter; de discipline is dezelfde. Operationeel leidinggevenden en senior managers zijn in de meeste mkb-ondernemingen de natuurlijke eigenaren; een CTO of CDO is niet vereist.

Stap 5 — Toets steekproefsgewijs het menselijk toezicht op één systeem met een hoog risico (15 minuten)

Loop voor de regel met het hoogste risico uit bijlage III drie vragen langs: beoordeelt een mens de AI-output voordat die een persoon raakt (de human-in-the-loop-test); kan die mens de AI-beslissing in de praktijk overrulen (de bevoegdheidstest); heeft de mens een bij de rol passende opleiding gekregen op grond van art. 4 (de geletterdheidstest) [1]? De antwoorden gaan in een vrije-tekstkolom "aantekeningen menselijk toezicht" naast de tien kernkolommen.

U rondt het protocol voor menselijk toezicht niet af in vijftien minuten. Het doel is om aan het licht te brengen waar de leemte zit, niet om haar te dichten. Een regel met de tekst "geen menselijke beoordeling van cv-screening; leemte binnen 30 dagen te dichten" is precies de juiste uitkomst. De taak van het register is om de leemte zichtbaar te maken; haar dichten is een aparte werkstroom en een apart budget.

De opbouw van het AI-register in 90 minuten als in de tijd afgebakende werkstroom: systemen inventariseren in 15 minuten, indelen naar risiconiveau aan de hand van bijlage III in 20, tien kernkolommen vullen in 25, een verantwoordelijke eigenaar aanwijzen in 15, en het toezicht steekproefsgewijs toetsen in 15.
De opbouw van het AI-register in 90 minuten als in de tijd afgebakende werkstroom.

Welke vijf valkuilen nekken een v1 AI-register?

  • Het register als eenmalig document behandelen. De verplichtingen uit art. 26 zijn doorlopend; het register is een levend artefact dat ten minste per kwartaal wordt herzien en wordt geactualiseerd zodra een nieuw AI-systeem in gebruik wordt genomen of een leverancier een grote modelwijziging doorvoert.
  • Shadow AI missen. Onbetaalde consumentenaccounts en persoonlijke Copilot-sessies zijn de categorie met de meeste incidenten en de minste zichtbaarheid. Als het register ze niet aan het licht brengt, liegt het.
  • Een "nalevingstool" kopen vóór de inventarisatie. De nalevings-SaaS van een leverancier classificeert uw gebruiksgevallen niet — alleen uw team kan dat. Eerst de spreadsheet, dan pas de tool (of nooit; voor mkb-ondernemingen tot 200 medewerkers volstaat een bijgehouden spreadsheet).
  • Een rol toewijzen in plaats van een persoon. Een "IT-team" is niet aanspreekbaar. Een aangewezen persoon met een telefoonnummer wel. Art. 26, lid 5, gaat uit van het laatste [1].
  • De AI-geletterdheid uit art. 4 volledig overslaan. Art. 4 geldt sinds 2 februari 2025 voor elke medewerker die AI gebruikt, in verhouding tot zijn rol [1]. Het is geen niveau — elk systeem brengt een verplichting uit art. 4 met zich mee. Noteer haar in het register, ook al is het curriculum zelf vervolgwerk.

Wat te doen na de negentig minuten

Het register is de ontdekkingslaag. Er komen doorgaans drie vervolgwerkstromen uit voort:

  1. Afbakening van de FRIA voor elke regel uit bijlage III, op grond van art. 27 AI-verordening [1] — een apart, dieper document dat de risiconiveaukolom van het register in gang zet en niet vervangt.
  2. Curriculum voor AI-geletterdheid — in verhouding tot de rol, afgebakend tegen de kolom met de verantwoordelijke persoon van het register en niet tegen de personeelsomvang.
  3. Due-diligencepakket voor leveranciers — verwerkersovereenkomsten, modelkaarten, de herkomst van AI-modellen voor algemene doeleinden, afgebakend tegen de leverancierskolom van het register en geactualiseerd bij verlenging van de inkoop.

Dit zijn de werkstromen die een vooraf ingebouwde aanpak in onze opdrachtervaring in ongeveer twaalf weken dekt voor £18.000-32.000, en dezelfde werkstromen die een achteraf-aanpak in zes samengeperste weken dekt voor £85.000-145.000 — een vermenigvuldiging die strookt met de MIT Sloan-data van na de AVG over EU-bedrijven die onder handhavingsdruk hun opgeslagen data met 26% en hun rekenkracht met 15% terugbrachten [4]. Het register is de goedkoopst denkbare eerste zet tegen die rekensom.

Samenvatting

AI Register in 90 Minutes — a deployer-side inventory
│
├─ The five-step build
│   ├─ List (15m) — paid, embedded, and shadow AI in scope
│   ├─ Risk-tier (20m) — match each system to Annex III
│   ├─ Ten columns (25m) — the audit-ready floor, no more
│   ├─ Name owners (15m) — a person per system, not a team
│   └─ Spot-check (15m) — surface the oversight gap, don't close it
│
├─ Why timebox v1
│   ├─ A living map — Article 26 duties are continuous
│   └─ v1 you update beats v3 you never start
│
└─ What it doesn't buy
    └─ Downstream — FRIA, Article 4 literacy, vendor due diligence

Verwante inzichten


Laatst bijgewerkt: mei 2026. Versie 1.0.

Frequently Asked Questions

Vervangt een AI-register het register van de verwerkingsactiviteiten (ROPA)?
Nee, het zijn aanvullende inventarissen met een verschillende rechtsgrond. Het register van de verwerkingsactiviteiten (ROPA) is verplicht op grond van art. 30 UK GDPR en brengt stromen van persoonsgegevens in kaart. Het AI-register is de tegenhanger aan de kant van de gebruiksverantwoordelijke op grond van art. 26 AI-verordening en ICO-richtsnoeren; het catalogiseert elk AI-systeem, ongeacht of er persoonsgegevens worden verwerkt. Veel systemen staan op beide, maar de koppeling is in beide richtingen een-op-veel.
Onze medewerkers gebruiken gratis ChatGPT en consumenten-Copilot. Tellen die mee voor het register?
Ja. De verplichtingen van de gebruiksverantwoordelijke uit art. 26 gelden voor de mkb-onderneming, ongeacht of het AI-abonnement zakelijk of consumentgericht is, betaald of gratis. Zodra een medewerker een AI-tool in het werk gebruikt, is de onderneming de gebruiksverantwoordelijke en hoort het systeem in het register. Gratis consumentenaccounts missen doorgaans ook de verwerkersovereenkomst die een enterprise-laag wel biedt, wat het risico onder UK GDPR vergroot in plaats van verkleint.
Onze mkb-onderneming is buiten de EU gevestigd. Geldt de AI-verordening voor ons register?
Voor mkb-ondernemingen buiten de EU is de rechtstreekse toepasselijkheid van de AI-verordening beperkter, maar zelden nul. De verordening werkt extraterritoriaal zodra de output van een systeem binnen de EU wordt gebruikt — bij SaaS-producten en B2B-diensten gebeurt dat routinematig. Ook zonder EU-blootstelling volgen nationale toezichthouders de logica van de verordening: de ICO stemt de Britse AI-richtsnoeren er sinds 2023 op af, en vergelijkbare niet-EU-Europese rechtsgebieden volgen. Een register dat is opgezet tegen art. 26, sluit ook op die nationale richtingen aan.
Wie zou het AI-register moeten beheren binnen een mkb-onderneming zonder CTO?
De Operations Director, het hoofd compliance of een senior medewerker die rapporteert aan de directie. Het register is redactioneel werk, geen technisch werk: regels bijhouden, risiconiveaus actualiseren wanneer systemen wijzigen, en elk kwartaal de verantwoordelijke personen aanspreken. Een gangbaar mkb-patroon is één aangewezen eigenaar die het register beheert in ongeveer drie uur per kwartaal, plus de aangewezen verantwoordelijke persoon per regel die zijn eigen systeemgebonden verplichtingen draagt.
Hoe vaak moeten we het register actualiseren?
Per kwartaal is de realistische ondergrens voor het mkb, plus een actualisering bij elke gebeurtenis: zodra een nieuw AI-systeem wordt ingekocht of een grote modelwijziging uitkomt (bijvoorbeeld een leverancier die overstapt op een volgende modelgeneratie). Voor regels met een hoog risico uit bijlage III worden de logs doorlopend geactualiseerd op grond van art. 26, lid 6. Een statisch register van een jaar oud doorstaat de aantoonbaarheidstoets niet voor een toezichthouder of een inkoopteam.
Volstaat een spreadsheet, of hebben we een speciale GRC-tool nodig?
Voor mkb-ondernemingen tot ongeveer 200 medewerkers volstaat een spreadsheet. De kolommen, de aangewezen eigenaren en de discipline van de kwartaalactualisering dragen het auditgewicht, niet het platform. Excel of Google Sheets met beperkte toegang en versiegeschiedenis voldoet aan het aantoonbaarheidsvereiste. Speciale GRC-tools worden nuttig boven ruwweg 500 medewerkers of vijftien AI-systemen; daaronder weegt de overhead van de tool zwaarder dan de tijdwinst.

Sources

  1. 1.Regulation (EU) 2024/1689 — Artificial Intelligence ActEuropean Parliament and of the Council · 2024
  2. 2.Guidance on AI and Data ProtectionInformation Commissioner's Office (ICO) · 2023
  3. 3.AI and Data Protection Risk Toolkit / AI Auditing FrameworkInformation Commissioner's Office (ICO) · 2023
  4. 4.GDPR's Effects on Firm Data and Computation Use (Bessen, Janßen, Peukert, Seamans)MIT Sloan · 2022

Want this run on your business?

AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.

Start your audit

You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.