AI-inventarisatie MKB: complete registratie in 30 minuten

Artikel 26 van de EU AI-verordening stelt één ding heel duidelijk: als deployer ben jij verantwoordelijk voor wat AI-systemen in jouw organisatie doen. Niet de leverancier, niet de cloud-provider. Jij. En die verantwoordelijkheid begint met weten wat je überhaupt in huis hebt.

De meeste MKB-bedrijven denken dat ze weinig AI gebruiken. Totdat ze gaan tellen.

Een recruitmenttool die cv's rankt. Een chatbot die klantvragen filtert. Een planningssysteem dat roosters genereert op basis van historische data. Een CRM dat lead-scores berekent. Al deze systemen vallen mogelijk onder de reikwijdte van de AI-verordening. Zonder inventarisatie weet je simpelweg niet waar je staat.

# Waarom een AI-inventarisatie geen optie is

Kijk, de AI-verordening is geen papieren tijger. De boetes voor deployers die hun verplichtingen niet nakomen lopen op tot 15 miljoen euro of 3% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Dat staat in Artikel 99 van de verordening.

Maar de inventarisatie is niet alleen een stok achter de deur. Het is de basis voor alles wat daarna komt: risicobeoordelingen, personeelstraining, transparantieverplichtingen richting werknemers, en een eventuele grondrechten-impactbeoordeling (FRIA) als dat nodig is. Zonder lijst geen beleid. Zonder beleid geen naleving.

De deadline voor de meeste verplichtingen voor deployers van hoog-risico AI was 2 augustus 2026. Voor verboden praktijken gold al eerder een datum: 2 februari 2025. Wachten is dus geen strategie meer.

# Wat je nodig hebt: niet meer dan een spreadsheet

Je hebt voor een werkende AI-inventarisatie geen dure software nodig. Een gedeeld Google Sheet of een Excel-bestand in SharePoint is prima. Wat telt, is dat iedereen die AI-tools aanschaft of beheert, toegang heeft en het bijhoudt.

Hier zijn de kolommen die je minimaal nodig hebt:

1. Naam van het systeem De tool of het systeem zoals je het intern noemt. Bijvoorbeeld: "Recruitmenttool X", "Klantenservice chatbot", "Roosterplanning module".

2. Leverancier Wie levert het systeem? Dit is relevant omdat leveranciers als providers verplichtingen hebben onder Artikel 13 en Artikel 26, en jij als deployer recht hebt op bepaalde technische documentatie.

3. Doel en gebruik Wat doet het systeem concreet in jouw organisatie? Wees specifiek. "Ondersteunt HR bij de selectie van sollicitanten op basis van cv-analyse" is bruikbaarder dan "HR-tool".

4. Verwerkt het persoonsgegevens? (ja/nee) Dit is de eerste splitsing. Verwerkt het systeem gegevens van werknemers, sollicitanten, klanten, of andere natuurlijke personen? Als het antwoord ja is, activeer je automatisch ook AVG-verplichtingen naast de AI-verordening.

5. Categorie persoonsgegevens Als je ja hebt geantwoord bij kolom 4: welke gegevens precies? Naam en e-mailadres is iets anders dan gezondheidsgegevens of biometrische informatie. Dit bepaalt mede of je ook een DPIA nodig hebt.

6. Bijlage III van toepassing? (ja/nee/onderzoeken) Bijlage III van de AI-verordening beschrijft de categorieën van hoog-risico AI-systemen. HR-systemen die worden gebruikt voor werving, selectie, promotie of prestatiebeheer vallen hier expliciet onder. Zorg dat iemand met verstand van zaken per systeem aangeeft of dit van toepassing is.

7. Hoog-risico classificatie (ja/nee/nader te bepalen) Op basis van Bijlage III en de uitzonderingsgronden in Artikel 6: is het systeem daadwerkelijk hoog-risico? Dit vereist soms een korte inhoudelijke analyse. Noteer ook wie die analyse heeft gedaan en wanneer.

8. Verboden praktijk? (ja/nee) Artikel 5 van de AI-verordening verbiedt bepaalde AI-toepassingen volledig, zoals systemen voor sociale scoring of manipulatieve technieken. Voor de meeste MKB-bedrijven is het antwoord nee, maar het hoort in de inventarisatie.

9. Eigenaar intern Wie in jouw organisatie is verantwoordelijk voor dit systeem? Een naam of functie. Dit voorkomt dat compliance-vragen in het luchtledige verdwijnen.

10. Datum laatste controle AI-systemen veranderen. Leveranciers rollen updates uit. Houd bij wanneer je voor het laatste hebt gecheckt of de classificatie nog klopt.

# De 30 minuten in de praktijk

Minuten 1 tot 10: inventariseer. Stuur een korte rondvraag naar IT, HR, en de operationele afdelingen. Vraag letterlijk: "Welke tools gebruiken jullie waarbij het systeem zelfstandig beslissingen neemt, voorspellingen doet, of mensen rankt?" Je zult versteld staan van wat er bovenkomt.

Minuten 10 tot 20: vul de spreadsheet. Zet elke tool op een rij. Vul de makkelijke kolommen in: naam, leverancier, doel, en persoonsgegevens ja/nee. Laat de complexere velden (hoog-risico, Bijlage III) voorlopig op "nader te bepalen" staan. Completeness first, perfectie later.

Minuten 20 tot 30: prioriteer. Welke systemen verwerken persoonsgegevens én zijn mogelijk hoog-risico? Die pakken jullie als eerste op. Plan voor elk van die systemen een korte sessie van een uur om de classificatie te bepalen. Zet de datum vast.

Dat is het. Je hebt nu een werkende inventarisatie die voldoet als startpunt voor naleving van de AI-verordening.

# Drie valkuilen die je wil vermijden

Eerste valkuil: de inventarisatie als eenmalige exercitie behandelen. AI-tools worden wekelijks aangeschaft, soms door individuele medewerkers zonder medeweten van IT. Bouw een eenvoudig proces: wie een nieuwe AI-tool wil gebruiken, meldt dit eerst. Dan pas toegang.

Tweede valkuil: leveranciersdocumentatie niet opvragen. Als deployer van een hoog-risico systeem heb je recht op de technische documentatie van je leverancier. Artikel 27 regelt specifiek de verplichting voor providers om deployers te ondersteunen bij hun nalevingsverplichtingen. Vraag actief om die documentatie. Sla het op.

Derde valkuil: de AVG vergeten. De Autoriteit Persoonsgegevens houdt toezicht op beide: de AVG én, wanneer de nationale toezichtstructuur is vastgesteld, de AI-verordening. Een AI-systeem dat persoonsgegevens verwerkt, heeft vaak ook een verwerkingsgrondslag nodig en staat in je AVG-verwerkingsregister. Koppel die twee documenten aan elkaar. De AP heeft hierover al guidance gepubliceerd voor organisaties die algoritmes en AI inzetten.

# Consistent bijhouden zonder bureaucratie

Een inventarisatie die stofzit is waardeloos. Twee praktische gewoontes houden hem levend.

Eerste: koppel een kwartaalcheck aan een bestaand moment. Een managementoverleg, een IT-review, een HR-cyclus. Vijftien minuten per kwartaal om te controleren: zijn er nieuwe tools bijgekomen, zijn er systemen veranderd, klopt de eigenaar nog?

Tweede: maak aanschaf van AI-tools onderdeel van het inkoopproces. Voordat een nieuwe tool live gaat, vult de aanvrager een simpel formulier in met de kernvragen uit de inventarisatie. Dat formulier gaat naar de compliance officer of de persoon die de inventarisatie beheert. Zo blijft de lijst actueel zonder dat je er actief achteraan hoeft.

Een AI-inventarisatie is geen garantie dat je volledig compliant bent met de EU AI-verordening. Maar zonder inventarisatie ben je het zeker niet.

Wil je weten waar jouw organisatie nu staat? De gratis 2-minuten compliance-check op comply.khairos.ai geeft je een eerste beeld van welke verplichtingen voor jouw bedrijf relevant zijn.