Direct naar inhoud

Kennisartikel · AI Act, AVG & governance

AI-register: wat en waarom

Een AI-register is het fundament van aantoonbaar AI-bestuur. Het geeft overzicht van alle AI-toepassingen in uw organisatie, ondersteunt uw AVG-verantwoording en maakt zichtbaar wie er verantwoordelijk is voor welke toepassing.

Laatst bijgewerkt 14 juni 2026 · door Arjan Woldring

Een AI-register is een gestructureerd overzicht van alle AI-toepassingen die uw organisatie gebruikt, met per toepassing het doel, de verwerkte data, het risiconiveau en de verantwoordelijke functionaris. Het maakt u aantoonbaar in control richting de AVG, de AI-geletterdheidsplicht (artikel 4 van de EU AI Act) en uw eigen bestuur.

Implementa

01 · Definitie

Wat is een AI-register?

Een AI-register is een intern document of systeem waarin uw organisatie bijhoudt welke AI-toepassingen in gebruik zijn. Het is vergelijkbaar met het verwerkingsregister dat de AVG al vereist voor persoonsgegevens, maar dan specifiek gericht op AI.

Het register beantwoordt voor elke toepassing de vragen: Wat doet het systeem? Welke data gebruikt het? Wat is het risico? En wie is er verantwoordelijk?

Een AI-register is daarmee geen luxe of bureaucratische exercitie. Het is het fundament waarop u verdere governance-stappen bouwt: een DPIA uitvoeren, AI-beleid handhaven of aantonen dat u als organisatie grip hebt op uw AI-gebruik. Toezichthouders als de Autoriteit Persoonsgegevens verwachten dat organisaties kunnen laten zien welke systemen zij inzetten en hoe zij risico's beheersen.

02 · Nut en noodzaak

Waarom helpt een AI-register? Governance, AVG en artikel 4

Een AI-register dient drie samenhangende doelen.

Governance en intern toezicht. Zonder overzicht is sturing onmogelijk. Bestuurders en toezichthouders (RvT, OR) kunnen alleen zinvolle vragen stellen over AI als zij weten wat er in gebruik is. Het register maakt de scope van uw AI-gebruik zichtbaar en bespreekbaar.

AVG-verantwoording. De AVG verplicht organisaties om te kunnen aantonen dat zij persoonsgegevens zorgvuldig verwerken (verantwoordingsplicht, artikel 5 lid 2 AVG). Veel AI-toepassingen verwerken persoonsgegevens, waaronder in de zorg regelmatig bijzondere categorieën zoals gezondheidsgegevens. Het AI-register is de schakel tussen de toepassing en uw privacy-documentatie.

Artikel 4 van de EU AI Act. De AI-geletterdheidsplicht, van kracht sinds 2 februari 2025, vereist dat uw organisatie aantoonbaar zorgt voor voldoende kennis bij medewerkers die met AI werken. Een register dat per toepassing de verantwoordelijke bijhoudt, helpt u dit aantoonbaar te maken.

03 · Inhoud

Wat leg je per toepassing vast? De velden van het register

Een goed AI-register bevat voor elke toepassing minimaal de volgende velden. Begin eenvoudig en breid uit naarmate uw governance volwassener wordt.

Naam en leverancier

Hoe heet de toepassing en wie levert of onderhoudt deze? Leg zowel de interne naam als de naam van de externe aanbieder vast.

Doel en toepassing

Waarvoor zet uw organisatie het systeem in? Beschrijf het concrete gebruik: wie gebruikt het, in welk proces en met welk doel.

Verwerkte data

Welke (persoons)gegevens verwerkt het systeem? Zijn er bijzondere categoriegegevens bij betrokken, zoals gezondheidsgegevens? Dit bepaalt welke AVG-plichten van toepassing zijn.

Risiconiveau

Welke risicocategorie kent de EU AI Act toe aan dit type systeem? En zijn er aanvullende organisatiespecifieke risicos, bijvoorbeeld in relatie tot kwetsbare doelgroepen of klinische besluitvorming?

Verantwoordelijke functionaris

Wie is intern aanspreekpunt voor deze toepassing? Leg de naam en rol vast, niet alleen de afdeling. Zo is altijd duidelijk wie vragen of incidenten oppakt.

DPIA-status en gekoppeld beleid

Is er een DPIA uitgevoerd, gepland of niet vereist? Verwijs naar de relevante beleidsafspraken, verwerkersovereenkomsten of het geldende AI-beleid van uw organisatie.

04 · Aanpak

Hoe zet je een AI-register op? Stap voor stap

Een AI-register opzetten hoeft niet ingewikkeld te zijn. Onderstaande stappen brengen u van een blanco vel naar een werkend, onderhoudbaar register.

stap 1/5

Inventariseer alle AI-toepassingen

Verzamel een volledig beeld van alle AI-tools en -systemen in gebruik, inclusief tools die medewerkers zelf hebben aangeschaft of gratis gebruiken. Bevraag afdelingshoofden en ICT en neem ook minder voor de hand liggende toepassingen mee.

stap 2/5

Leg de basisgegevens vast

Noteer voor elke toepassing de zes velden: naam, leverancier, doel, verwerkte data, risiconiveau en verantwoordelijke. Begin met een eenvoudig spreadsheet als dat het laagdrempeligst is.

stap 3/5

Beoordeel het risiconiveau

Categoriseer elke toepassing aan de hand van de EU AI Act (onaanvaardbaar, hoog, beperkt of minimaal risico). Toepassingen met hoog risico vragen om aanvullende maatregelen, zoals een DPIA en striktere monitoring.

stap 4/5

Koppel aan AI-beleid en DPIA

Verankert het register in uw bredere AI-beleid. Verwijs per toepassing naar de DPIA (uitgevoerd of gepland) en naar de relevante beleidsafspraken. Zo wordt het register een levend onderdeel van uw governance.

stap 5/5

Wijs een beheerder aan en plan herziening

Beleg eigenaarschap bij een concrete functionaris en spreek af hoe en wanneer het register wordt bijgewerkt. Koppel de periodieke herziening aan uw bestaande beleidscyclus, zodat het geen apart project wordt maar vaste praktijk.

05 · Beheer en relaties

Wie beheert het register en hoe past het in uw beleid?

Een AI-register heeft een eigenaar nodig. In de meeste organisaties is dat de functionaris voor gegevensbescherming (FG), de privacy officer, de kwaliteitsmanager of een aangewezen AI-coördinator. Wat telt is dat er één aanspreekpunt is dat het register actueel houdt en herzieningen organiseert.

Relatie met uw AI-beleid. Het register is de feitenbasis onder uw AI-beleid. Beleid beschrijft de normen en spelregels; het register laat zien in hoeverre de praktijk daaraan voldoet. Wilt u een goed werkend AI-beleid opstellen? Lees dan ook ons artikel over AI-beleid opstellen.

Relatie met de DPIA. Het register signaleert welke toepassingen een verhoogd privacy-risico vormen. Zodra dat het geval is, vormt de DPIA het vervolgdocument: een diepgaande analyse van de risico's en de maatregelen om die te beheersen. De DPIA wordt in het register gekoppeld aan de betreffende toepassing. Meer over de wisselwerking leest u in ons artikel over AVG en AI: grondslagen, DPIA.

Herziening. Plan minimaal één jaarlijkse revisie in en zorg dat elke nieuwe toepassing direct wordt opgenomen. Koppel het proces aan uw bestaande beleidscyclus zodat het geen losstaand project blijft.

Veelgestelde vragen

Vragen over het AI-register

Wat is een AI-register?

Een AI-register is een gestructureerd overzicht van alle AI-toepassingen die een organisatie gebruikt. Per toepassing legt u vast wat het doel is, welke data worden verwerkt, wie er verantwoordelijk voor is en welk risiconiveau van toepassing is.

Is een AI-register wettelijk verplicht?

De EU AI Act verplicht een AI-register niet expliciet voor alle organisaties, maar de verantwoordingsplicht uit de AVG en de aantoonbaarheidsvereiste van artikel 4 (AI-geletterdheidsplicht) maken het in de praktijk onmisbaar. Voor hoog-risico AI-systemen gelden extra registratie- en documentatieverplichtingen.

Wat leg je per AI-toepassing vast in het register?

Minimaal: naam en leverancier van de toepassing, het doel waarvoor u het inzet, de categorie persoonsgegevens die worden verwerkt, het risiconiveau conform de EU AI Act, de naam van de verantwoordelijke functionaris, en of er een DPIA is uitgevoerd of vereist is.

Wat is het verschil tussen een AI-register en een verwerkingsregister?

Een verwerkingsregister (verplicht onder de AVG) documenteert alle verwerkingen van persoonsgegevens. Een AI-register is specifieker: het richt zich op AI-toepassingen en voegt AI-specifieke informatie toe, zoals het type AI-systeem, het risiconiveau en de menselijke controlemaatregelen. Beide registers vullen elkaar aan.

Wie beheert het AI-register?

Het eigenaarschap ligt bij een concrete functionaris, vaak de privacy officer, de kwaliteitsmanager of een aangewezen AI-coordinator. Belangrijk is dat er een duidelijke verantwoordelijke is die het register actueel houdt en de herziening organiseert.

Hoe vaak moet je het AI-register bijwerken?

Bijwerken is in elk geval nodig bij het toevoegen van een nieuwe AI-toepassing, bij een wijziging in een bestaande toepassing en bij periodieke herziening, bij voorkeur minimaal eens per jaar. Koppel de herziening aan uw reguliere beleidscyclus.

Hoe verhoudt een AI-register zich tot een DPIA?

Het AI-register is het startpunt: het geeft overzicht en signaleert welke toepassingen een verhoogd risico vormen. Als uit dat risiconiveau blijkt dat een DPIA verplicht of wenselijk is, wordt de DPIA als apart document opgesteld en in het register gekoppeld aan de betreffende toepassing.

Over de auteur

Arjan Woldring

oprichter Implementa

Arjan is oprichter van Implementa en begeleidt zorg- en MKB-organisaties bij verantwoorde AI-implementatie. Hij combineert praktijkervaring met kennis van de relevante wet- en regelgeving, waaronder de EU AI Act en de AVG, en schrijft vanuit de overtuiging dat grip op AI begint met een eerlijk overzicht van wat er al in gebruik is.

Volg op LinkedIn Vakinhoudelijk gecontroleerd op Vakinhoudelijk gecontroleerd op 14 juni 2026

Lees ook

Meer over AI-governance

Het AI-register is onderdeel van een bredere aanpak. Lees verder over AI-beleid, aantoonbare geletterdheid en de AVG.

Pilaar 5

AI-beleid opstellen

Wat moet er in uw AI-beleid staan? Een praktische gids voor bestuurders en beleidsverantwoordelijken.

Lees verder

Pilaar 2

AI-geletterdheid aantoonbaar maken

Hoe laat u zien dat uw medewerkers voldoende AI-kennis hebben? Wat telt als bewijs richting de AI-geletterdheidsplicht.

Lees verder

Pilaar 5

AVG en AI: grondslagen, DPIA

De AVG-plichten bij AI-gebruik uitgelegd: welke grondslag geldt, wanneer een DPIA verplicht is en hoe u verwerkers beoordeelt.

Lees verder