Een AI-register geeft een organisatie overzicht van de AI-systemen, losse tools, ingebouwde functies, automatiseringen en agents die in de praktijk worden gebruikt. Een goed register legt niet alleen vast welke technologie aanwezig is, maar vooral waarvoor deze wordt ingezet, wie verantwoordelijk is, welke gegevens worden verwerkt en welke risico’s aandacht vragen.
Een AI-register is daarom meer dan een eenmalige lijst in Excel. Het is een praktisch onderdeel van AI governance, waarmee een organisatie AI-gebruik kan ontdekken, beoordelen, goedkeuren, volgen en opnieuw beoordelen.
Deze pagina is onderdeel van de AI Organisaties hub op De Wereld van AI. Hier lees je hoe een levend AI-register past binnen AI governance, verantwoord AI-gebruik, AI-adoptie en risicobeheersing.
Wat is een AI-register?
Een AI-register is een centrale inventarisatie van AI die binnen een organisatie wordt ontwikkeld, ingekocht, ingebouwd of gebruikt. Het kan gaan om grote bedrijfssystemen, maar ook om een losse chatbot, een AI-functie in bestaande software of een zelfgemaakte agent.
Het doel is niet om zoveel mogelijk technische details te verzamelen. Het register moet de organisatie vooral helpen om praktische vragen te beantwoorden:
- Welke AI wordt binnen de organisatie gebruikt?
- Voor welke werkzaamheden en processen wordt deze AI ingezet?
- Wie is eigenaar van de toepassing?
- Welke gegevens worden ingevoerd, verwerkt of gegenereerd?
- Welke gevolgen kunnen fouten hebben?
- Welke menselijke controle is nodig?
- Is het gebruik toegestaan, beperkt, experimenteel of gestopt?
- Wanneer moet de toepassing opnieuw worden beoordeeld?
Het belangrijkste uitgangspunt
Registreer niet alleen de naam van een AI-tool, maar ook iedere relevante gebruikssituatie. De risico’s van ChatGPT voor algemene brainstorms zijn bijvoorbeeld anders dan de risico’s van dezelfde tool bij het samenvatten van klantdossiers.
Waarom een lijst met AI-tools niet voldoende is
Een eenvoudige inventarisatie met namen als ChatGPT, Gemini, Copilot en Claude geeft maar beperkt inzicht. Dezelfde tool kan namelijk op verschillende afdelingen voor totaal andere doelen worden gebruikt.
De AI-tool
De technische dienst of leverancier, bijvoorbeeld ChatGPT, een AI-notulist of een functie binnen een CRM-systeem.
De AI-toepassing
De concrete manier waarop de tool wordt gebruikt, bijvoorbeeld marketingteksten maken, gesprekken samenvatten of sollicitanten beoordelen.
Juist de toepassing bepaalt welke gegevens worden verwerkt, hoeveel menselijke controle nodig is en wat de mogelijke gevolgen van fouten zijn. Daarom kan één AI-tool meerdere keren in het register voorkomen, telkens gekoppeld aan een andere gebruikssituatie.
Is een AI-register wettelijk verplicht?
Er bestaat geen algemene regel in de Europese AI Act die ieder mkb-bedrijf verplicht om al het interne AI-gebruik in één universeel AI-register vast te leggen.
De formele registratie in de Europese databank is gekoppeld aan specifieke hoogrisicosystemen. Volgens artikel 49 van de AI Act gelden registratieverplichtingen onder andere voor aanbieders van bepaalde hoogrisicosystemen. Publieke autoriteiten en organisaties die namens hen optreden moeten hun gebruik van bepaalde hoogrisicosystemen eveneens registreren.
Dat betekent niet dat een intern AI-register overbodig is. Afhankelijk van de toepassing, de rol van de organisatie en de gebruikte gegevens kunnen andere verplichtingen rond documentatie, privacy, toezicht of risicobeheersing gelden. Een intern register helpt om die vragen tijdig te herkennen.
Het is daarom nauwkeuriger om een intern AI-register te omschrijven als een governance-instrument, niet als een algemene wettelijke verplichting voor iedere organisatie.
Waarom organisaties toch een intern AI-register gebruiken
AI raakt steeds vaker verspreid over verschillende teams en softwarepakketten. Daardoor kan het management denken dat slechts enkele officiële AI-tools worden gebruikt, terwijl medewerkers ondertussen tientallen ingebouwde functies, gratis accounts en automatiseringen inzetten.
- het zichtbaar maken van officieel en onofficieel AI-gebruik
- het ontdekken van shadow AI
- het vastleggen van eigenaarschap en verantwoordelijkheid
- het herkennen van privacy- en beveiligingsrisico’s
- het beoordelen van leveranciers en externe modellen
- het plannen van menselijke controle en herbeoordelingen
- het volgen van incidenten, klachten en wijzigingen
- het onderbouwen waarom een toepassing is toegestaan, beperkt of gestopt
Het NIST AI Risk Management Framework Playbook adviseert organisaties onder meer om externe AI-systemen en componenten te identificeren en te documenteren, risico’s regelmatig te volgen en systemen buiten gebruik te stellen wanneer deze de risicotolerantie overschrijden.
Welke AI hoort in het register?
Losse AI-tools
Denk aan chatbots, beeldgeneratoren, vertaaltools, schrijfassistenten, notuleerapps en analyseplatforms die medewerkers rechtstreeks gebruiken.
Ingebouwde AI-functies
AI zit steeds vaker in bestaande kantoorsoftware, CRM-systemen, HR-software, boekhoudpakketten, klantenserviceplatforms en zoekfuncties. Deze functies worden gemakkelijk gemist wanneer alleen naar losse AI-tools wordt gevraagd.
Automatiseringen en AI-agents
Registreer ook zelfgemaakte workflows, API-koppelingen en agents die informatie verzamelen, documenten maken, systemen bijwerken of zelfstandig acties voorbereiden. Hoe meer autonomie een systeem krijgt, hoe belangrijker eigenaarschap, grenzen en menselijke controle worden.
Experimenten en pilots
Een toepassing hoeft nog niet officieel te zijn ingevoerd om relevant te zijn. Experimenteel gebruik kan al persoonsgegevens, bedrijfsinformatie of besluiten beïnvloeden. Geef pilots daarom een herkenbare status en spreek af wanneer ze opnieuw worden beoordeeld.
Welke gegevens leg je vast?
Identiteit en doel
- naam van de AI-toepassing
- gebruikte tool, leverancier en eventueel model
- afdeling, proces en beoogd doel
- gebruikers en betrokken doelgroepen
Eigenaarschap en status
- verantwoordelijke eigenaar
- inhoudelijk beoordelaar
- status, bijvoorbeeld aangemeld, experiment, goedgekeurd, beperkt of gestopt
- voorwaarden waaronder de toepassing gebruikt mag worden
Gegevens en gevolgen
- soorten ingevoerde en gegenereerde gegevens
- gebruik van persoonsgegevens of vertrouwelijke informatie
- personen of groepen die door de uitkomst geraakt kunnen worden
- mogelijke gevolgen van fouten, bias of uitval
Controle en risico
- interne risicoclassificatie
- benodigde menselijke controle
- bekende beperkingen en beheersmaatregelen
- signalen dat aanvullende juridische, privacy- of beveiligingsbeoordeling nodig is
Beheer en herbeoordeling
- datum van de eerste beoordeling
- laatste en volgende herbeoordeling
- wijzigingen in toepassing, leverancier of modelversie
- incidenten, klachten en getroffen maatregelen
- reden voor voortzetting, beperking of beëindiging
Wat maakt een AI-register levend?
Een register wordt pas waardevol wanneer het onderdeel is van een terugkerend proces. Alleen een bestand aanmaken en één keer invullen zorgt snel voor verouderde informatie.
- Ontdekken: breng officieel en informeel AI-gebruik in kaart.
- Aanmelden: laat medewerkers nieuwe toepassingen, pilots en agents melden.
- Beoordelen: onderzoek doel, gegevens, impact, leverancier en menselijke controle.
- Besluiten: geef een duidelijke status en leg voorwaarden vast.
- Gebruiken en volgen: registreer wijzigingen, klachten, incidenten en nieuwe risico’s.
- Herbeoordelen: controleer periodiek en bij belangrijke veranderingen of het gebruik nog verantwoord is.
- Stoppen: leg vast wanneer en waarom een toepassing wordt beperkt of buiten gebruik wordt gesteld.
Een wijziging in het werkproces kan net zo relevant zijn als een nieuwe modelversie. Wanneer AI eerst alleen conceptteksten maakte en later rechtstreeks berichten naar klanten verstuurt, verandert de toepassing en daarmee het risico.
Voorbeeld van een eenvoudig AI-register
| AI-toepassing | Belangrijk aandachtspunt | Menselijke controle | Status |
|---|---|---|---|
| Chatbot voor concepten van algemene marketingteksten | Feitelijke fouten en merkrichtlijnen | Redacteur controleert voor publicatie | Goedgekeurd |
| AI-notulist tijdens klantgesprekken | Persoonsgegevens, toestemming en bewaartermijn | Medewerker controleert samenvatting | Beperkt |
| AI voor het rangschikken van sollicitanten | Bias, uitlegbaarheid en grote gevolgen voor personen | Uitgebreide beoordeling nodig | Gepauzeerd |
| Agent die conceptmails opstelt en klantgegevens ophaalt | Toegangsrechten, onjuiste acties en gegevensgebruik | Verzending pas na menselijke goedkeuring | Experiment |
Deze statussen zijn interne governancekeuzes. Ze vormen niet automatisch een officiële classificatie onder de AI Act.
Het verschil tussen risicoclassificatie en de AI Act
Een organisatie kan een eenvoudige interne classificatie gebruiken, bijvoorbeeld laag, middel, hoog of niet toegestaan. Daarmee wordt bepaald hoeveel controle en aandacht een toepassing intern krijgt.
Zo’n interne score is iets anders dan de juridische risicocategorieën uit de Europese AI Act. Een toepassing die intern als hoog risico wordt gezien, hoeft juridisch niet automatisch een hoogrisicosysteem volgens de AI Act te zijn. Andersom kan een juridisch relevante toepassing niet verantwoord worden beoordeeld met alleen een eenvoudige puntenscore.
Gebruik een interne classificatie daarom om prioriteiten te stellen en signalen te herkennen. Laat complexere juridische of privacyvragen beoordelen door iemand met passende expertise.
Hoe past het AI-register binnen AI governance?
- AI-beleid beschrijft wat wel en niet is toegestaan.
- Het AI-register laat zien waar en hoe AI daadwerkelijk wordt gebruikt.
- Risicobeoordelingen bepalen welke maatregelen nodig zijn.
- Menselijke controle zorgt dat verantwoordelijkheid niet ongemerkt bij een systeem terechtkomt.
- Incidentbeheer organiseert wat er gebeurt wanneer AI fouten, schade of onverwachte uitkomsten veroorzaakt.
- Herbeoordeling voorkomt dat eerder goedgekeurd gebruik onbeperkt doorgaat terwijl de technologie of toepassing verandert.
Het register vormt daarmee een verbinding tussen AI governance, verantwoord AI-gebruik, AI-adoptie en AI-besluitvorming.
Klein beginnen met een AI-register
- Waarvoor wordt de AI gebruikt?
- Wie is verantwoordelijk?
- Welke gegevens worden verwerkt?
- Wat kan er misgaan en wie controleert de uitkomst?
- Wanneer wordt het gebruik opnieuw beoordeeld?
Breid het register daarna uit op basis van echte vragen en risico’s. Een compact register dat actief wordt gebruikt is waardevoller dan een uitgebreid document dat niemand bijwerkt.
Verdieping binnen het dossier AI-register
Inventarisatie
- Welke AI hoort in een register?
- AI-tools versus gebruikssituaties
- Shadow AI ontdekken
Beoordeling en beheer
- Risico’s praktisch classificeren
- Leveranciers en modelversies beoordelen
- Herbeoordelingen en incidenten bijhouden
Verder leren over AI binnen organisaties
- AI governance voor organisaties uitgelegd
- Verantwoord AI-gebruik binnen organisaties
- Shadow AI als risico voor adoptie en governance
- Menselijke controle bij AI-beslissingen
- Europese AI Act uitgelegd
