AI Act-audit voorbereiden: praktische gids voor interne en externe controle

Sinds 2 augustus 2026 zijn de hoog-risico-verplichtingen van de EU AI Act van kracht. Dat betekent dat toezichthouders, notified bodies en zakelijke klanten allemaal aanleiding hebben om uw AI Act-dossier te controleren. Veel organisaties zijn op papier "compliant" maar struikelen bij een echte audit op een simpel probleem, geen vindbare bewijsstukken. Deze gids beschrijft de drie soorten AI Act-audits, de zeven onmisbare dossierdelen en de 10 vragen die elke toezichthouder zal stellen.

Drie soorten AI Act-audits

Het is nuttig om onderscheid te maken in welke audit u kunt verwachten. Elke soort heeft een andere aanleiding, doorlooptijd en focus.

1. Toezichthouder, onaangekondigd of na klacht

De Autoriteit Persoonsgegevens (samen met sectorale toezichthouders zoals DNB voor financiele instellingen en IGJ voor de zorg) kan een controle starten na een melding, klacht of risico-gebaseerd onderzoek. Vaak onaangekondigd, soms met korte aankondiging. Focus, naleving van uw deployer- of provider-verplichtingen.

2. Notified body, bij conformiteitsbeoordeling

Voor hoog-risico AI van Annex III is een conformiteitsbeoordeling verplicht voor markttoegang. Een notified body beoordeelt of uw systeem aan de essentiele eisen voldoet. Formele audit, op afspraak, met inhoudelijk diepe toetsing van het technisch dossier.

3. Klantaudit, bij contractuele toetsing

Zakelijke klanten, zeker grote en publieke organisaties, vragen voor contractsluiting of jaarlijks om bewijs van AI Act-naleving. Soms in de vorm van een vragenlijst, soms een echte audit op locatie. Focus, kunnen wij u vertrouwen als leverancier?

Wat hebben alle drie gemeen?

Drie audit-types, een gemeenschappelijke noemer, dossier. Bewijs zonder dossier is geen bewijs. U kunt nog zo overtuigend vertellen dat u alles op orde heeft, als u de documentatie niet binnen een halfuur op tafel kunt leggen, faalt de audit. De rest van deze gids gaat dus over hoe u dat dossier inricht.

De zeven dossierdelen die elke audit checkt

De volgende zeven onderdelen vormen samen het AI Act-dossier. Mist u een onderdeel, dan staat u op achterstand.

1. AI-register

Een volledig overzicht van alle AI-systemen die uw organisatie gebruikt. Per systeem minimaal, naam, leverancier, doel, risicoklasse, data-categorieen, verantwoordelijke, status DPA. Zonder register kan de toezichthouder de audit niet beginnen, u weet zelf niet wat u hebt.

2. Risicoclassificatie per systeem

Per AI-systeem een beargumenteerde afweging waarom het in een bepaalde risicoklasse valt. Verwijs naar Bijlage I (productveiligheidswetgeving) en Bijlage III (gebruiksgebieden) van de AI Act. Voor een systeem dat u als beperkt risico hebt geclassificeerd, moet u onderbouwen waarom het geen hoog-risico is.

3. Risicobeheersysteem

Voor hoog-risico AI verplicht onder artikel 9 AI Act. Bevat een risicoregister, mitigaties, testresultaten, post-marketresultaten en periodieke review. Geen one-off, maar een levend document. De toezichthouder wil zien dat u risico's bijhoudt naarmate het systeem evolueert.

4. Data governance bewijsstukken

Onder artikel 10 AI Act moet u voor hoog-risico AI aantonen dat trainings-, validatie- en testdata representatief, foutvrij en relevant zijn. Bewijsstukken, datasheet, herkomstverklaringen, bias-rapporten, verwerkersovereenkomsten met dataleveranciers.

5. Menselijk toezicht-protocol

Onder artikel 14 AI Act moet u beschrijven hoe menselijk toezicht is georganiseerd, wie heeft welke rol, welke training is gevolgd, welke autorisaties zijn nodig om besluiten te overrulen, welke escalatieprocedure geldt bij twijfel. Plus bewijs van uitvoering.

6. Logging-archief

Onder artikel 12 AI Act loggen hoog-risico AI-systemen automatisch hun activiteit. U moet deze logs minimaal 6 maanden bewaren, doorzoekbaar maken en integriteit beschermen. Veel organisaties hebben de logging-functie aan staan, maar geen proces voor de bewaring of analyse.

7. Incident- en klachtenlog

Alle voorvallen rond uw AI-systemen, met hoe ze zijn afgehandeld. Inclusief klachten van betrokkenen, modelfouten, fall-back-acties en eventuele meldingen aan de toezichthouder. De afwezigheid van een incidentlog is verdacht, geen enkel systeem werkt 100 procent perfect.

10 vragen die elke toezichthouder zal stellen

Bereid u voor op de volgende vragen. Per vraag wijst u direct het bewijsstuk in uw dossier aan.

1. Welke AI-systemen heeft uw organisatie in gebruik? (AI-register)
2. Welke daarvan zijn hoog-risico volgens Bijlage III, en hoe heeft u dat beoordeeld? (risicoclassificatie)
3. Heeft u een DPIA en eventueel een FRIA uitgevoerd? Mag ik die zien? (impactbeoordelingen)
4. Hoe is menselijk toezicht georganiseerd, wie heeft welke rol? (menselijk toezicht-protocol)
5. Hoe weet u dat uw trainings- en inputdata kwalitatief in orde zijn? (data governance)
6. Wat doet u als het systeem een evident foutief besluit neemt? (incidentprocedure)
7. Heeft het systeem incidenten gehad in het afgelopen jaar? (incidentlog)
8. Hoe weten betrokkenen dat u AI inzet en hoe kunnen ze bezwaar maken? (transparantie en klachtenproces)
9. Wanneer is uw risicobeoordeling voor het laatst herzien? (datum review-cyclus)
10. Wie is bij uw organisatie eindverantwoordelijk voor AI-naleving? (governance, AI-coordinator)

Mock audit doen voordat de echte langskomt

Een interne mock audit is de beste manier om kwetsbaarheden te ontdekken voordat een externe partij het doet. Praktische opzet:

• Wijs een collega aan (intern of via een adviseur) die in een dagdeel uw dossier doorloopt
• Geef die persoon dezelfde 10 vragen als hierboven
• Laat zonder hulp van de inhoudsdeskundige documentatie zoeken in uw bestaande mappenstructuur
• Tijd opnemen, lukt het binnen een halfuur per vraag? Zo niet, herstructureer het dossier
• Maak een actielijst van de gaten en plan herstel binnen 4 weken

8-punts pre-audit checklist

1. 1
   AI-register up-to-date

   Alle AI-systemen geinventariseerd, met datum laatste update binnen 6 maanden. Geen lege velden, geen tools van ex-medewerkers.

2. 2
   Per hoog-risico systeem een DPIA en (waar nodig) FRIA

   Vindbaar, getekend, met datum, en eventueel met advies DPO. Geen one-pagers zonder onderbouwing.

3. 3
   Risicobeoordelingen actueel

   Laatste review binnen 12 maanden, met aantoonbare follow-up op de geconstateerde risico's.

4. 4
   Menselijk toezicht-protocol opgesteld en getraind

   Document beschikbaar, plus deelnameregistraties van de training en autorisatiematrix.

5. 5
   Logging actief en archief beschikbaar

   Logs van minimaal 6 maanden, doorzoekbaar, met integriteitsbescherming en duidelijk bewaarproces.

6. 6
   Incident- en klachtenlog bijgehouden

   Met datum, ernst, afhandeling en leerpunt per incident. Een leeg log is een rood signaal.

7. 7
   Transparantie- en informatieverplichting nageleefd

   Privacyverklaring vermeldt AI-gebruik, chatbots zijn gelabeld, betrokkenen weten waar ze kunnen klagen.

8. 8
   Verantwoordelijke voor AI-naleving aangewezen

   Naam en functie bekend, vermeld in interne governance-documenten, met mandaat om incidenten af te handelen.