Een AI-register opbouwen: praktische gids voor Belgische KMO

Waarom een AI-register noodzakelijk is

De AI Act schrijft niet letterlijk een register voor, maar combineert verschillende verplichtingen die zonder centrale registratie niet haalbaar zijn. U moet kunnen aantonen welke AI-systemen u inzet (Artikel 26), welke risicocategorie ze hebben (Artikel 6 en bijlagen), welke documentatie u van de leverancier heeft ontvangen (Artikel 16), en welke transparantie-maatregelen u heeft genomen (Artikel 50). Een register is in de praktijk de enige werkbare manier om dat gestructureerd voor te leggen.

Een tweede reden is intern: zonder register weet u zelf niet wat er in uw bedrijf gebeurt. In bijna elke Quickscan vinden wij twee tot drie keer zoveel AI-toepassingen als de zaakvoerder vooraf inschat. Een register dwingt om die schaduw-AI in kaart te brengen.

Welke kolommen heeft een goed AI-register

De structuur die wij hanteren bestaat uit twaalf kolommen, opgedeeld in vier blokken.

Identificatie van het systeem:

• Naam van de tool (bijv. "LinkedIn Recruiter", "ChatGPT Team", "Teamleader CRM met AI-module")
• Provider (bijv. Microsoft, OpenAI, Teamleader Focus)
• Versie of plan (bijv. Recruiter Lite, ChatGPT Enterprise, Premium-licentie)
• Datum eerste inzet (zodat u retroactief kan beoordelen)

Gebruik in uw organisatie:

• Doel (concreet wat u ermee doet, niet enkel de generieke functie)
• Afdeling (HR, Sales, Marketing, Operations, Finance, IT)
• Verantwoordelijke gebruiker (naam van wie binnen de organisatie eigenaar is)

Compliance-beoordeling:

• Risicocategorie (verboden, hoog-risico, beperkt, minimaal, general-purpose)
• Datum risico-beoordeling
• Leveranciersverklaring ontvangen (ja of nee, met datum)

Beheersmaatregelen:

• Toegepaste maatregelen (training, gebruiksbeleid, menselijk toezicht, transparantietekst, FRIA uitgevoerd)
• Status (compliant, in remediatie, in beoordeling)

Drie voorbeeld-entries uit een typische KMO

Om concreet te maken hoe dit eruitziet, hieronder drie entries zoals wij ze opstellen tijdens een Quickscan.

Voorbeeld 1: LinkedIn Recruiter bij een rekruteringskantoor

Tool: LinkedIn Recruiter Lite. Provider: Microsoft Ireland. Doel: kandidaat-sourcing voor open vacatures bij klanten. Afdeling: alle recruiters. Verantwoordelijke: HR-manager. Risicocategorie: hoog-risico (Annex III punt 4a). Leveranciersverklaring: opgevraagd bij Microsoft op 15 maart 2026, ontvangen op 28 maart. Maatregelen: recruiter-training op AI-bias gegeven, gebruiksbeleid getekend door alle recruiters, menselijk toezicht verplicht voor elke contactname, FRIA opgemaakt op 5 april. Status: compliant.

Voorbeeld 2: ChatGPT bij een marketing-bureau

Tool: ChatGPT Team. Provider: OpenAI Ireland. Doel: ondersteuning bij copywriting, idee-generatie en herformulering voor klantcampagnes. Afdeling: content-team. Verantwoordelijke: content lead. Risicocategorie: beperkt risico met transparantie-verplichting wanneer publieke content wordt gepubliceerd. Leveranciersverklaring: DPA en EU Terms of Use ondertekend op 12 januari 2026. Maatregelen: intern gebruiksbeleid met witte lijst van toegestane data, geen persoonsgegevens van klanten ingeladen, transparantie-vermelding op AI-geassisteerde blog-content, kwartaal-review van outputs op bias. Status: compliant.

Voorbeeld 3: AI-module in een boekhoudpakket bij een KMO

Tool: Yuki Smart Recognition. Provider: Yuki Belgium. Doel: automatische categorisering van inkomende facturen en boekingen. Afdeling: finance. Verantwoordelijke: bedrijfsleider. Risicocategorie: minimaal risico (geen impact op personen, interne efficientie-tool). Leveranciersverklaring: standaard SLA, classificatie schriftelijk bevestigd op 22 februari 2026. Maatregelen: maandelijkse steekproef-controle op output, accountant beoordeelt jaarafsluiting zoals voorheen, geen FRIA vereist. Status: compliant.

Wie houdt het register up-to-date

Een AI-register dat na opmaak in een lade verdwijnt, is binnen zes maanden waardeloos. De praktische aanpak die werkt voor KMO bestaat uit drie elementen.

• Een eigenaar. Wijs een verantwoordelijke aan die het centrale register beheert. In KMO is dat vaak de zaakvoerder zelf of een operations-verantwoordelijke. Niet de IT-afdeling alleen, omdat zij de bedrijfscontext onvoldoende kennen.
• Een instaprite. Elke nieuwe tool die wordt uitgeprobeerd of aangekocht moet in het register komen voor hij in productie gaat. Voeg deze stap toe aan uw procurement-flow.
• Een kwartaalreview. Vier keer per jaar loopt de eigenaar de lijst door met de afdelingen, controleert of er nieuwe AI-toepassingen zijn opgedoken en of bestaande entries nog accuraat zijn. Een uur per kwartaal volstaat voor een typische KMO.

Hoe bouwt u het register concreet op

Begin met een interne inventaris. Stuur een korte vraag naar alle afdelingshoofden: welke tools gebruiken jullie waar AI inzit of waar we vermoeden dat AI inzit. Ondersteun met een lijst van veelgebruikte tools die mogelijk AI bevatten zoals ChatGPT, LinkedIn-functies, meeting-recorders, AI-features in CRM en marketing-platforms.

Vul vervolgens per tool de twaalf kolommen in. Voor risicocategorie gebruikt u onze checklist op basis van Annex III. Verstuur leveranciersbrieven naar de providers van uw belangrijkste tools om hun verklaring op te vragen.

In een Compliance Sprint leveren wij u dit register volledig ingevuld op, met de leveranciersbrieven verstuurd en de antwoorden gearchiveerd. In Klaar en Klaar Blijven houden wij het up-to-date bij elke nieuwe AI-tool die u inzet.

Externe bronnen

Voor de letterlijke tekst van de relevante verplichtingen verwijzen wij naar Verordening (EU) 2024/1689, in het bijzonder de Artikelen 16 (providers), 26 (deployers) en Bijlage IV (technische documentatie). Het Europees AI Office heeft een beleidsoverzicht gepubliceerd dat de praktische uitwerking ondersteunt.