In het kort: Een AI-register is een overzicht van alle AI-systemen in uw bedrijf, hun risicoklasse en wie verantwoordelijk is. Voor MKB-bedrijven volstaat een Excel- of Word-document, mits volledig en actueel. Niet bijhouden kan oplopen tot 3% van uw wereldwijde omzet aan boete.
| Wat | Voor wie verplicht | Deadline | Bewaarduur |
|---|---|---|---|
| AI-register (basis) | Elk MKB met AI-gebruik | 2 augustus 2026 | Doorlopend actueel |
| Uitgebreid hoog-risico register | Hoog-risico AI deployers | 2 augustus 2026 | 10 jaar na laatste gebruik |
| Technische documentatie | Hoog-risico AI providers | 2 augustus 2026 | 10 jaar |
Wettelijke grondslag: De verplichting volgt uit artikel 26 (verplichtingen voor deployers) en artikel 49 (registratie hoog-risico AI) van de EU AI Act (Verordening 2024/1689). De Autoriteit Persoonsgegevens (AP) houdt in Nederland toezicht — zie hun themapagina algoritmes en AI.
Wat is een AI-register? (en waarom u er één nodig heeft)
Een AI-register is een centraal overzicht van elk AI-systeem dat uw bedrijf gebruikt — van ChatGPT tot Microsoft Copilot, van AI in uw boekhoudpakket tot de chatbot op uw website. Voor elk systeem documenteert u wie de leverancier is, waarvoor u het gebruikt, welk risiconiveau het heeft volgens de EU AI Act, en wie binnen uw bedrijf verantwoordelijk is.
Drie redenen waarom u een AI-register nodig heeft:
- Wettelijke verplichting vanaf 2 augustus 2026. Geen register = automatische overtreding bij audit.
- Audit-bewijs. De AP en sector-toezichthouders kunnen elk moment vragen om uw AI-overzicht.
- Risicobeheer. Zonder register weet u niet welke AI-tools persoonsgegevens verwerken — en dus waar uw AVG-blootstelling zit.
Verplicht of niet? Snelle check
Vrijwel elk Nederlands MKB-bedrijf is verplicht een register bij te houden, óók als u "alleen ChatGPT" gebruikt. De omvang van het register hangt af van het hoogste risiconiveau van uw AI-gebruik:
- Alleen minimaal-risico AI (vertaal-tools, spellingcheckers): lichter register, basis-informatie volstaat.
- Beperkt risico (chatbots, content-AI): standaard register met transparantie-vermelding.
- Hoog risico (HR-screening, kredietbeoordeling): uitgebreid register + technische documentatie + risicobeoordeling.
Stap 1: Inventariseer alle AI-systemen in uw organisatie
Begin met een complete lijst. De grootste fout die MKB-bedrijven maken is denken "wij gebruiken eigenlijk geen AI" — terwijl AI ondertussen verstopt zit in vrijwel elke moderne business-tool. Onderstaande tabel toont waar u in elk geval moet kijken.
| Categorie | Voorbeelden | Vaak vergeten |
|---|---|---|
| Productiviteit | ChatGPT, Claude, Gemini, Copilot | Notion AI, Grammarly, Loom AI |
| HR & Recruitment | LinkedIn Recruiter, HireVue, BambooHR | AI-screening in ATS, AI-interview tools |
| Marketing | HubSpot AI, Mailchimp AI, Jasper | Canva Magic, Adobe Firefly, content recommendation |
| Klantcontact | Intercom Fin, Zendesk AI, chatbots | Spraakanalyse in callcenter-software |
| Finance & admin | Xero AI, Moneybird automatisch boeken | AI in expense management, fraudedetectie |
| Operations | Salesforce Einstein, AI in ERP | Predictive maintenance, route-optimalisatie |
Praktische tip: doe de gratis ActCheck als startpunt — die loopt automatisch de meest voorkomende AI-tools langs en levert een eerste inventaris in 2 minuten.
Stap 2: Classificeer elk systeem (vier risicocategorieën)
De EU AI Act kent vier risicocategorieën. Welke categorie van toepassing is bepaalt wat u verder moet documenteren en welke verplichtingen gelden.
| Categorie | Wat valt erin | MKB-voorbeeld | Register-eisen |
|---|---|---|---|
| Onaanvaardbaar | Sociale scoring, manipulatie, emotieherkenning werkvloer | AI die werknemer-emoties tracked | Verboden — direct stoppen |
| Hoog risico | HR-selectie, kredietbeoordeling, onderwijs-scoring, biometrie | AI-CV-screening, automatische promotie-beslissing | Uitgebreid + technische docs + risicobeoordeling |
| Beperkt risico | Chatbots, deepfakes, content generatie | Klantenservice chatbot, AI-gegenereerde nieuwsbrief | Standaard register + transparantie-melding |
| Minimaal risico | Spamfilter, vertaaltools, AI in games | Grammarly, DeepL, Outlook spam-filter | Basis register volstaat |
Bij twijfel: lees onze deep-dives over classificatie van hoog-risico AI en de verboden AI-praktijken uit artikel 5.
Stap 3: Documenteer per systeem (verplichte velden)
Per AI-tool legt u minimaal de volgende velden vast. Voor beperkt- of minimaal-risico AI kunt u zich beperken tot de basisset; voor hoog-risico AI komt de uitgebreide set erbij.
Basisset (geldt voor elk AI-systeem)
- Naam van het AI-systeem
- Aanbieder/leverancier
- Doel van gebruik binnen uw bedrijf
- Risicoklasse (minimaal / beperkt / hoog)
- Type data (anoniem / persoonsgegevens / bedrijfsvertrouwelijk)
- Afdeling die het gebruikt
- Verantwoordelijke (naam + functie)
- DPA-status (getekend / niet van toepassing)
- Datum in gebruik genomen
Aanvullend voor hoog-risico AI
- Verwijzing naar de technische documentatie van de leverancier
- Resultaat risicobeoordeling (FRIA — Fundamental Rights Impact Assessment)
- Beschrijving van menselijk toezicht (wie controleert wat)
- Logging-procedure (welke logs houdt het systeem bij)
- Datum laatste audit + naam auditor
Stap 4: Wijs verantwoordelijkheden toe
Onder de EU AI Act bent u óf "provider" (u bouwt of vermarkt zelf AI) óf "deployer" (u gebruikt AI die door anderen is gemaakt). Vrijwel elk MKB-bedrijf is deployer. Zorg dat duidelijk is wie binnen uw organisatie welke rol heeft.
Een eenvoudige rolverdeling voor MKB-bedrijven:
- Eindverantwoordelijke (directeur/eigenaar): tekent het register af, ontvangt rapportages
- AI-coördinator (operations/IT-manager): beheert het register, controleert nieuwe tools
- Functionaris Gegevensbescherming (intern of extern): toetst AVG-aspecten
- Tool-eigenaren (afdelingshoofden): zorgen dat hun AI-tools correct geregistreerd staan
Voor MKB-bedrijven onder de 50 medewerkers is het normaal dat één persoon meerdere rollen vervult. Belangrijk is dat het schriftelijk is vastgelegd — niet dat het verschillende mensen zijn.
Stap 5: Onderhoud en actualiseer
Een AI-register is alleen waardevol als het actueel is. Drie triggers voor een register-update:
- Nieuwe AI-tool: voeg toe vóór ingebruikname, niet erna
- Contract- of leveranciers-wijziging: update DPA-status, mogelijk risicoklasse
- Kwartaal-review: vraag aan elke afdeling welke AI ze gebruiken (mensen vergeten het te melden)
Plus minimaal jaarlijks een formele audit door uw AI-coördinator, waarin u het hele register doorloopt en signed-off afsluit.
Medewerkers gebruiken vaak AI-tools via persoonlijke accounts of gratis versies die niet via IT zijn aangeschaft. Denk aan persoonlijke ChatGPT-accounts, AI-features in Canva of Figma, of speech-to-text apps. U bent als organisatie verantwoordelijk, ook als u het niet wist. Vraag actief uit.
Sector-voorbeelden: hoe ziet een AI-register eruit?
Voorbeeld 1: HR-afdeling (40 medewerkers)
Een middelgroot bedrijf met een HR-afdeling die actief AI inzet voor recruitment en personeelsbeheer. Drie van de vier tools zijn hoog-risico vanwege HR-context.
- LinkedIn Recruiter (AI-features) — hoog risico, persoonsgegevens, DPA via Microsoft Enterprise
- HireVue video-interview AI — hoog risico, biometrische data, DPA + FRIA vereist
- ChatGPT Enterprise — beperkt risico, voor functieprofielen schrijven, anonieme input
- BambooHR — hoog risico, embedded AI in performance management, leverancier-DPA
Meer details: lees onze complete gids over AI Act voor HR en personeelsbeleid.
Voorbeeld 2: Marketingbureau (12 medewerkers)
Klein marketingbureau dat agressief AI inzet voor content-productie en campagne-optimalisatie. Vrijwel alles is beperkt risico.
- ChatGPT Plus — beperkt risico, contentcreatie, transparantie-melding bij AI-content
- Jasper — beperkt risico, blog-generatie, DPA via Enterprise plan
- Midjourney — beperkt risico, beeldgeneratie, watermerk-vermelding verplicht
- HubSpot AI — beperkt risico, email-personalisatie, DPA via HubSpot
- Canva Magic Studio — minimaal risico, design-assistentie
Verdieping: AI Act voor marketing en reclame.
Voorbeeld 3: Accountantskantoor (8 medewerkers)
Klein accountantskantoor dat AI gebruikt voor administratie en analyse. Een deel valt onder beperkt risico vanwege financiële context, maar geen hoog-risico AI.
- Moneybird AI-categorisatie — beperkt risico, financiële data, leverancier-DPA
- Microsoft Copilot — beperkt risico, document-ondersteuning, M365 DPA
- ChatGPT Team — beperkt risico, geen klantdata, anoniem gebruik
- Excel met AI-formulering — minimaal risico, lokale verwerking
Sector-specifiek: AI Act voor accountants en boekhouders.
Wat als ik geen AI-register bijhoud?
De boetes onder de EU AI Act zijn fors, maar voor het MKB gelden gemaximeerde percentages. Voor overtredingen rond hoog-risico AI is dit € 15 miljoen of 3% van de wereldwijde omzet (voor MKB geldt het laagste van de twee). Voor minder zware overtredingen (zoals een ontbrekend basis-register bij beperkt-risico AI): € 7,5 miljoen of 1,5%.
Naast boetes zijn er andere risico's:
- Audit-failure: zonder register kunt u niets aantonen aan de AP of sector-toezichthouder
- Aansprakelijkheid bij datalek: AVG-verantwoordelijkheid voor onbekende AI-tools ligt nog steeds bij u
- Klant- en partnervertrouwen: enterprise-klanten vragen steeds vaker om uw AI-governance documenten
- Verzekering: cyberverzekeraars beginnen AI-register als voorwaarde te stellen
Voor de volledige boete-uitleg: boetes onder de EU AI Act.
Begin vandaag: gratis 2-minuten AI Act check
Vul de gratis ActCheck in en zie direct welke AI-systemen u moet registreren, met automatische risicoklassificatie en een downloadbaar startrapport — perfecte basis voor uw AI-register.
Start de gratis checkVeelgestelde vragen
Wanneer moet ik beginnen met mijn AI-register?
Nu. De deadline is 2 augustus 2026 maar het opzetten kost — voor een typisch MKB-bedrijf — één tot twee werkdagen voor de eerste versie. Daarna is het bijhouden minimaal werk. Wachten tot juli 2026 wordt stressvol.
Moet een ZZP'er ook een AI-register bijhouden?
Ja, als u AI gebruikt die onder de wet valt. Voor de meeste ZZP'ers met alleen ChatGPT en wat productiviteits-AI volstaat een beperkt register van één pagina. Voor ZZP'ers in HR-consultancy, kredietadvies of zorg geldt de uitgebreide variant. Zie onze gids voor ZZP'ers.
Mag ik mijn AI-register in Excel bijhouden?
Ja. De wet stelt geen eisen aan het formaat — alleen aan de volledigheid en het actueel zijn. Excel, Word, Notion, een dedicated tool zoals ActCheck — alles is goed, mits versiebeheer aanwezig is en u kunt aantonen wanneer u wat heeft gewijzigd.
Wie controleert mijn AI-register?
De Autoriteit Persoonsgegevens is hoofdtoezichthouder. Voor sector-specifieke AI zijn er aanvullende toezichthouders: DNB en AFM voor finance, IGJ voor zorg, Inspectie SZW voor arbeid. Zie ook onze overzichtsblog over de 10 Nederlandse AI Act-toezichthouders.
Wat als ik AI inkoop bij een leverancier — moet die het register bijhouden?
Nee. U als gebruiksverantwoordelijke (deployer) bent verantwoordelijk voor uw eigen register. De leverancier (provider) heeft eigen verplichtingen rondom technische documentatie en CE-markering, maar uw register is uw werk. Wel mag u in uw register verwijzen naar de technische documentatie van de leverancier in plaats van die zelf op te stellen.
Hoe vaak moet ik mijn AI-register updaten?
Bij elke materiële verandering: nieuwe AI-tool, gewijzigd doel, andere risicoklasse. Plus minimaal halfjaarlijks een formele review. Een goed proces is: kwartaal-uitvraag bij afdelingshoofden + jaarlijkse audit door uw AI-coördinator.
Geldt het AI-register ook voor gratis AI-tools?
Ja. De wet kent geen uitzondering voor gratis tools. ChatGPT-gratisversie, gratis Canva AI, gratis vertaaltools — allemaal in het register. Sterker nog: bij gratis tools is de DPA-situatie vaak slechter (geen zakelijke voorwaarden), dus extra reden om ze te documenteren en mogelijk te vervangen door betaalde alternatieven met DPA.