EU AI-verordening compliance
AI compliance jaarlijkse review: wat het Nederlandse MKB elk jaar controleert
Een AI compliance jaarlijkse review is geen nice-to-have: de EU AI-verordening vereist dat deployers hun systemen, documentatie en training structureel bijhouden. Zo doe je het zonder een heel compliance-team.
Elk jaar zit je compliance-klok opnieuw op nul. Niet figuurlijk, maar letterlijk: de EU AI-verordening verwacht van deployers dat ze hun verplichtingen actief onderhouden, niet eenmalig afvinken en vergeten. Een AI compliance jaarlijkse review is de manier waarop je dat borgt.
Voor het Nederlandse MKB klinkt dat misschien zwaar. Het hoeft het niet te zijn. Hieronder staat wat je elk jaar moet controleren, waarom dat wettelijk noodzakelijk is, en hoe je het praktisch organiseert.
Waarom een jaarlijkse review geen keuze is
Look, Artikel 26 van de EU AI-verordening legt deployers — dus de bedrijven die AI-systemen inzetten, niet de bouwers — concrete doorlopende verplichtingen op. Denk aan monitoring van AI-prestaties in de praktijk, het melden van ernstige incidenten, en het borgen dat medewerkers voldoende kennis hebben om met het systeem te werken.
Die verplichtingen gelden niet alleen op dag één van de ingebruikname. Ze gelden continu. Een jaarlijkse review is de logische manier om te controleren of je er nog aan voldoet.
Daarbij veranderen je eigen systemen. Een HR-tool die vorig jaar je sollicitanten sorteerde, heeft misschien een nieuwe module gekregen van de leverancier. Of jullie gebruiken het systeem nu ook voor interne doorstroom, wat de risicocategorie kan wijzigen. De wereld staat niet stil, en je compliance-documentatie dus ook niet.
Stap 1: Je AI-inventarisatie updaten
Begin met de vraag: welke AI-systemen gebruiken we eigenlijk?
Klinkt simpel. Is het niet. In de praktijk sluipen er tools in via individuele medewerkers, afdelingen die zelf SaaS-contracten afsluiten, of leveranciers die een AI-module toevoegen aan software die je al had. Elk jaar moet je die inventarisatie opnieuw langs.
Concreet check je:
- Nieuwe systemen: Welke AI-tools zijn er sinds vorige review bijgekomen? Wie heeft ze goedgekeurd?
- Gewijzigde systemen: Heeft een bestaand systeem een update gehad die de werking substantieel verandert? Leveranciers zijn verplicht deployers te informeren over materiële wijzigingen, maar in de praktijk mis je dit makkelijk als je niet actief opvraagt.
- Afgestoten systemen: Zijn er tools die je niet meer gebruikt? Haal ze van de lijst, maar bewaar de documentatie. Hoe lang? Minimaal de periode die je AVG-retentiebeleid aangeeft, maar voor hoog-risico AI-systemen schrijft Artikel 27 aanvullende eisen voor rond de registratie in de EU-database.
- Gebruik buiten oorspronkelijk doel: Wordt een systeem nu anders ingezet dan waarvoor het is aangeschaft? Dat kan de risicocategorie veranderen.
Noteer per systeem: naam, leverancier, doel, betrokken medewerkers, en de risicocategorie op basis van de AI-verordening.
Stap 2: Risicoherclassificatie
Dit is de stap die de meeste bedrijven overslaan, en die het meeste uitmaakt.
De EU AI-verordening deelt AI-systemen in categorieën in: onaanvaardbaar risico (verboden), hoog risico, beperkt risico, en minimaal risico. Voor hoog-risico systemen — waaronder systemen op het gebied van werving, selectie, en beoordeling van werknemers zoals benoemd in Bijlage III — gelden de zwaarste verplichtingen.
Maar die indeling is niet statisch. Een systeem dat je vorig jaar als beperkt risico beschouwde, kan dit jaar hoog risico zijn als:
- De toepassing is uitgebreid naar besluiten die mensen direct raken (ontslag, promotie, kredietverlening)
- De leverancier de onderliggende technologie heeft aangepast
- Nieuwe Europese of nationale guidance een ruimere interpretatie geeft van Bijlage III
Dus: ga elk systeem op je inventarislijst langs en vraag je af of de classificatie nog klopt. Als je twijfelt, kies dan de voorzichtige kant. Een hoog-risico classificatie waarbij dat niet nodig was, kost je wat extra documentatiewerk. Een gemiste hoog-risico classificatie kan je een boete opleveren van tot 15 miljoen euro of 3% van de wereldwijde jaaromzet, afhankelijk van wat hoger is.
Stap 3: Documentatie verversen
Voor hoog-risico AI-systemen moet je als deployer specifieke documentatie bijhouden. Denk aan:
- Gebruiksinstructies van de leverancier (zijn deze bijgewerkt na een systeemupdate?)
- Je eigen interne gebruiksbeleid (past dit nog bij hoe het systeem daadwerkelijk wordt ingezet?)
- Logboeken van menselijke toezichtsmomenten — wanneer heeft een medewerker een AI-beslissing gecontroleerd of overruled?
- Incidentenregister — zijn er gevallen geweest waarbij het systeem onverwacht of verkeerd functioneerde?
Een veelgemaakte fout: de documentatie is opgesteld bij de aankoop van het systeem en daarna nooit aangeraakt. Dat is juridisch gezien een probleem. Documentatie moet de werkelijkheid weerspiegelen, niet de intentie van twee jaar geleden.
Controleer ook of je DPIA (gegevensbeschermingseffectbeoordeling) nog actueel is. De AVG en de AI-verordening overlappen hier: veel hoog-risico AI-systemen verwerken ook persoonsgegevens, en de Autoriteit Persoonsgegevens verwacht dat DPIA's actueel worden gehouden wanneer de verwerking substantieel wijzigt.
Stap 4: Trainingsstatus van medewerkers
Artikel 4 van de EU AI-verordening is kort maar heeft grote consequenties. Het vereist dat werkgevers zorgen voor voldoende AI-geletterdheid bij medewerkers die met AI-systemen werken.
Bij de jaarlijkse review check je:
- Welke medewerkers werken met hoog-risico AI-systemen?
- Hebben zij aantoonbaar training ontvangen over hoe het systeem werkt, wat de beperkingen zijn, en wanneer zij moeten ingrijpen?
- Zijn er nieuwe medewerkers die deze training nog niet hebben gevolgd?
- Is de training zelf nog actueel, of beschrijft die een versie van het systeem die niet meer bestaat?
Dit laatste punt wordt onderschat. Training die is gemaakt voor versie 1.0 van een HR-tool dekt mogelijk niet de nieuwe functies van versie 2.3. Zorg dat je training en systeemdocumentatie synchroon lopen.
Bewaar trainingsregistraties. Wie heeft wat gevolgd, wanneer, en met welk resultaat. Dat is je bewijs richting toezichthouders.
Stap 5: Contracten met leveranciers controleren
Als deployer ben je afhankelijk van je leverancier voor bepaalde informatie: technische documentatie, meldingen over wijzigingen, prestatie-indicatoren. Artikel 26 stelt dat deployers ervoor moeten zorgen dat ze die informatie ook daadwerkelijk krijgen.
In de praktijk staat dit soort afspraken niet altijd goed in de contracten. Zeker niet als het contract al een paar jaar oud is en voor de inwerkingtreding van de AI-verordening is gesloten.
Jaarlijkse review-moment: loop de leverancierscontracten langs voor je meest kritische AI-systemen en controleer of er afspraken zijn over:
- Notificatie bij materiële wijzigingen aan het systeem
- Beschikbaarheid van technische documentatie
- Verantwoordelijkheidsverdeling bij incidenten
- Data-retentie en logging
Ontbreekt dit? Dan is een contractaanpassing nodig, of in elk geval een schriftelijke afspraak per e-mail. Dat is minder elegant maar wel afdwingbaar.
Wat je vastlegt na de review
Een review zonder output is een gesprek. Zorg dat je na afloop minimaal hebt:
- Een bijgewerkte AI-inventarisatielijst met datum en verantwoordelijke
- Een overzicht van systemen waarbij de risicocategorie is herzien, met onderbouwing
- Een lijst van documentatie die is vervangen of aangevuld
- Trainingsstatus per medewerker die met hoog-risico AI werkt
- Actiepunten voor de komende twaalf maanden, met eigenaar en deadline
Dat laatste is het verschil tussen een papieren oefening en een werkende compliance-cyclus. Zet de volgende review al in de agenda.
Wanneer meer dan één keer per jaar
Eén keer per jaar is het minimum. Er zijn situaties waarbij je tussentijds moet controleren:
- Je leverancier kondigt een significante update aan
- Je bedrijf neemt een andere organisatie over die ook AI-systemen gebruikt
- Er verschijnt nieuwe guidance van de Europese AI Office of de AP over een systeem dat jij gebruikt
- Een medewerker meldt een onverwacht gedrag van een AI-systeem
In die gevallen doe je een tussentijdse mini-review voor het betreffende systeem. Dat hoeft niet de hele exercitie te zijn, maar wel voldoende om te beoordelen of je classificatie en documentatie nog kloppen.
Start vandaag
Een jaarlijkse AI compliance review klinkt als een groot project. In de praktijk is het voor de meeste MKB-bedrijven een dagdeel werk, mits je het gestructureerd aanpakt en de basis al op orde hebt.
Weet je niet zeker waar je staat? Via comply.khairos.ai doe je in twee minuten een eerste check van je huidige compliance-situatie. Geen formulieren, geen verkoopgesprek. Gewoon een eerlijk startpunt.
# Hulp nodig bij compliance?
De gratis 2-minuten compliance-check laat je direct zien waar je gaten zitten. Geen e-mailadres nodig om je score te zien.
Start de gratis check →