Naam en leverancier
Hoe heet de toepassing en wie levert of onderhoudt deze? Leg zowel de interne naam als de naam van de externe aanbieder vast.
Kennisartikel · AI Act, AVG & governance
Een AI-register is het fundament van aantoonbaar AI-bestuur. Het geeft overzicht van alle AI-toepassingen in uw organisatie, ondersteunt uw AVG-verantwoording en maakt zichtbaar wie er verantwoordelijk is voor welke toepassing.
Laatst bijgewerkt 14 juni 2026 · door Arjan Woldring
Een AI-register is een gestructureerd overzicht van alle AI-toepassingen die uw organisatie gebruikt, met per toepassing het doel, de verwerkte data, het risiconiveau en de verantwoordelijke functionaris. Het maakt u aantoonbaar in control richting de AVG, de AI-geletterdheidsplicht (artikel 4 van de EU AI Act) en uw eigen bestuur.
Implementa
01 · Definitie
Een AI-register is een intern document of systeem waarin uw organisatie bijhoudt welke AI-toepassingen in gebruik zijn. Het is vergelijkbaar met het verwerkingsregister dat de AVG al vereist voor persoonsgegevens, maar dan specifiek gericht op AI.
Het register beantwoordt voor elke toepassing de vragen: Wat doet het systeem? Welke data gebruikt het? Wat is het risico? En wie is er verantwoordelijk?
Een AI-register is daarmee geen luxe of bureaucratische exercitie. Het is het fundament waarop u verdere governance-stappen bouwt: een DPIA uitvoeren, AI-beleid handhaven of aantonen dat u als organisatie grip hebt op uw AI-gebruik. Toezichthouders als de Autoriteit Persoonsgegevens verwachten dat organisaties kunnen laten zien welke systemen zij inzetten en hoe zij risico's beheersen.
02 · Nut en noodzaak
Een AI-register dient drie samenhangende doelen.
Governance en intern toezicht. Zonder overzicht is sturing onmogelijk. Bestuurders en toezichthouders (RvT, OR) kunnen alleen zinvolle vragen stellen over AI als zij weten wat er in gebruik is. Het register maakt de scope van uw AI-gebruik zichtbaar en bespreekbaar.
AVG-verantwoording. De AVG verplicht organisaties om te kunnen aantonen dat zij persoonsgegevens zorgvuldig verwerken (verantwoordingsplicht, artikel 5 lid 2 AVG). Veel AI-toepassingen verwerken persoonsgegevens, waaronder in de zorg regelmatig bijzondere categorieën zoals gezondheidsgegevens. Het AI-register is de schakel tussen de toepassing en uw privacy-documentatie.
Artikel 4 van de EU AI Act. De AI-geletterdheidsplicht, van kracht sinds 2 februari 2025, vereist dat uw organisatie aantoonbaar zorgt voor voldoende kennis bij medewerkers die met AI werken. Een register dat per toepassing de verantwoordelijke bijhoudt, helpt u dit aantoonbaar te maken.
03 · Inhoud
Een goed AI-register bevat voor elke toepassing minimaal de volgende velden. Begin eenvoudig en breid uit naarmate uw governance volwassener wordt.
Hoe heet de toepassing en wie levert of onderhoudt deze? Leg zowel de interne naam als de naam van de externe aanbieder vast.
Waarvoor zet uw organisatie het systeem in? Beschrijf het concrete gebruik: wie gebruikt het, in welk proces en met welk doel.
Welke (persoons)gegevens verwerkt het systeem? Zijn er bijzondere categoriegegevens bij betrokken, zoals gezondheidsgegevens? Dit bepaalt welke AVG-plichten van toepassing zijn.
Welke risicocategorie kent de EU AI Act toe aan dit type systeem? En zijn er aanvullende organisatiespecifieke risicos, bijvoorbeeld in relatie tot kwetsbare doelgroepen of klinische besluitvorming?
Wie is intern aanspreekpunt voor deze toepassing? Leg de naam en rol vast, niet alleen de afdeling. Zo is altijd duidelijk wie vragen of incidenten oppakt.
Is er een DPIA uitgevoerd, gepland of niet vereist? Verwijs naar de relevante beleidsafspraken, verwerkersovereenkomsten of het geldende AI-beleid van uw organisatie.
04 · Aanpak
Een AI-register opzetten hoeft niet ingewikkeld te zijn. Onderstaande stappen brengen u van een blanco vel naar een werkend, onderhoudbaar register.
Verzamel een volledig beeld van alle AI-tools en -systemen in gebruik, inclusief tools die medewerkers zelf hebben aangeschaft of gratis gebruiken. Bevraag afdelingshoofden en ICT en neem ook minder voor de hand liggende toepassingen mee.
Noteer voor elke toepassing de zes velden: naam, leverancier, doel, verwerkte data, risiconiveau en verantwoordelijke. Begin met een eenvoudig spreadsheet als dat het laagdrempeligst is.
Categoriseer elke toepassing aan de hand van de EU AI Act (onaanvaardbaar, hoog, beperkt of minimaal risico). Toepassingen met hoog risico vragen om aanvullende maatregelen, zoals een DPIA en striktere monitoring.
Verankert het register in uw bredere AI-beleid. Verwijs per toepassing naar de DPIA (uitgevoerd of gepland) en naar de relevante beleidsafspraken. Zo wordt het register een levend onderdeel van uw governance.
Beleg eigenaarschap bij een concrete functionaris en spreek af hoe en wanneer het register wordt bijgewerkt. Koppel de periodieke herziening aan uw bestaande beleidscyclus, zodat het geen apart project wordt maar vaste praktijk.
05 · Beheer en relaties
Een AI-register heeft een eigenaar nodig. In de meeste organisaties is dat de functionaris voor gegevensbescherming (FG), de privacy officer, de kwaliteitsmanager of een aangewezen AI-coördinator. Wat telt is dat er één aanspreekpunt is dat het register actueel houdt en herzieningen organiseert.
Relatie met uw AI-beleid. Het register is de feitenbasis onder uw AI-beleid. Beleid beschrijft de normen en spelregels; het register laat zien in hoeverre de praktijk daaraan voldoet. Wilt u een goed werkend AI-beleid opstellen? Lees dan ook ons artikel over AI-beleid opstellen.
Relatie met de DPIA. Het register signaleert welke toepassingen een verhoogd privacy-risico vormen. Zodra dat het geval is, vormt de DPIA het vervolgdocument: een diepgaande analyse van de risico's en de maatregelen om die te beheersen. De DPIA wordt in het register gekoppeld aan de betreffende toepassing. Meer over de wisselwerking leest u in ons artikel over AVG en AI: grondslagen, DPIA.
Herziening. Plan minimaal één jaarlijkse revisie in en zorg dat elke nieuwe toepassing direct wordt opgenomen. Koppel het proces aan uw bestaande beleidscyclus zodat het geen losstaand project blijft.
Veelgestelde vragen
Een AI-register is een gestructureerd overzicht van alle AI-toepassingen die een organisatie gebruikt. Per toepassing legt u vast wat het doel is, welke data worden verwerkt, wie er verantwoordelijk voor is en welk risiconiveau van toepassing is.
De EU AI Act verplicht een AI-register niet expliciet voor alle organisaties, maar de verantwoordingsplicht uit de AVG en de aantoonbaarheidsvereiste van artikel 4 (AI-geletterdheidsplicht) maken het in de praktijk onmisbaar. Voor hoog-risico AI-systemen gelden extra registratie- en documentatieverplichtingen.
Minimaal: naam en leverancier van de toepassing, het doel waarvoor u het inzet, de categorie persoonsgegevens die worden verwerkt, het risiconiveau conform de EU AI Act, de naam van de verantwoordelijke functionaris, en of er een DPIA is uitgevoerd of vereist is.
Een verwerkingsregister (verplicht onder de AVG) documenteert alle verwerkingen van persoonsgegevens. Een AI-register is specifieker: het richt zich op AI-toepassingen en voegt AI-specifieke informatie toe, zoals het type AI-systeem, het risiconiveau en de menselijke controlemaatregelen. Beide registers vullen elkaar aan.
Het eigenaarschap ligt bij een concrete functionaris, vaak de privacy officer, de kwaliteitsmanager of een aangewezen AI-coordinator. Belangrijk is dat er een duidelijke verantwoordelijke is die het register actueel houdt en de herziening organiseert.
Bijwerken is in elk geval nodig bij het toevoegen van een nieuwe AI-toepassing, bij een wijziging in een bestaande toepassing en bij periodieke herziening, bij voorkeur minimaal eens per jaar. Koppel de herziening aan uw reguliere beleidscyclus.
Het AI-register is het startpunt: het geeft overzicht en signaleert welke toepassingen een verhoogd risico vormen. Als uit dat risiconiveau blijkt dat een DPIA verplicht of wenselijk is, wordt de DPIA als apart document opgesteld en in het register gekoppeld aan de betreffende toepassing.
Over de auteur
Arjan Woldring
oprichter Implementa
Arjan is oprichter van Implementa en begeleidt zorg- en MKB-organisaties bij verantwoorde AI-implementatie. Hij combineert praktijkervaring met kennis van de relevante wet- en regelgeving, waaronder de EU AI Act en de AVG, en schrijft vanuit de overtuiging dat grip op AI begint met een eerlijk overzicht van wat er al in gebruik is.
Lees ook
Het AI-register is onderdeel van een bredere aanpak. Lees verder over AI-beleid, aantoonbare geletterdheid en de AVG.
Pilaar 5
Wat moet er in uw AI-beleid staan? Een praktische gids voor bestuurders en beleidsverantwoordelijken.
Lees verderPilaar 2
Hoe laat u zien dat uw medewerkers voldoende AI-kennis hebben? Wat telt als bewijs richting de AI-geletterdheidsplicht.
Lees verderPilaar 5
De AVG-plichten bij AI-gebruik uitgelegd: welke grondslag geldt, wanneer een DPIA verplicht is en hoe u verwerkers beoordeelt.
Lees verder