Trusq

feitelijke duiding · herleidbaar naar primaire bronnen

Onderwerpen Kansen Doe de check Samenwerken LinkedIn NL·EN
Wegwijzer

Je voorbereiden op een AI-toezichtaudit: welke documentatie je paraat hebt

Vastgesteld 2026-06-22 · ≈ 2 min lezen · Dirk Baaijen

Een toezichthouder vraagt bij een audit als eerste je documentatie op. Wie technische documentatie, risicobeheer, logging, conformiteitsverklaring en governance op orde heeft, doorstaat de toets. Deze wegwijzer vat samen wat je paraat moet hebben.

Kort antwoord: Bij een toezichtaudit wordt niet zozeer je systeem getest als wel je dossier. De toezichthouder vraagt als eerste je technische documentatie, je risicobeheer, je logbestanden, je conformiteitsverklaring en je governance op. Wie die stukken paraat en actueel heeft, doorstaat de toets; wie ze achteraf moet reconstrueren, loopt vast. Bereid het dossier dus vóór de audit voor, niet erna.

Wat een toezichthouder als eerste opvraagt

Voor hoogrisico-systemen schrijft de AI Act precies voor welke documentatie beschikbaar moet zijn. In de praktijk vraagt een toezichthouder doorgaans naar:

  • Technische documentatie (Bijlage IV): doel, ontwerp, dataspecificaties, getest gedrag en bekende beperkingen van het systeem.
  • Risicobeheersysteem: hoe je risico's identificeert, beoordeelt en beperkt over de hele levenscyclus.
  • Datagovernance: herkomst, kwaliteit en representativiteit van trainings- en testdata.
  • Logbestanden: automatische registratie van gebeurtenissen om herleidbaarheid te waarborgen.
  • EU-conformiteitsverklaring en CE-markering waar van toepassing.
  • Menselijk toezicht en gebruiksinstructies voor de inzetter.

Documentatie is een doorlopend proces

De fout die organisaties maken, is documentatie als eenmalig project zien. De AI Act vereist dat documentatie actueel blijft: bij elke wezenlijke wijziging van het systeem moet het dossier mee. Een audit kan jaren na ingebruikname plaatsvinden, dus versiebeheer en een aantoonbare bijwerkroutine zijn cruciaal. Een dossier dat niet matcht met het systeem in productie is een rode vlag.

Verdeel de rollen aanbieder versus inzetter

Niet alle documentatie ligt bij dezelfde partij. De aanbieder maakt de technische documentatie en conformiteitsverklaring; de inzetter moet kunnen aantonen dat hij het systeem volgens de gebruiksinstructies inzet, menselijk toezicht regelt en zo nodig logs bewaart. Bij een audit wordt dit onderscheid scherp; leg in contracten vast wie welk stuk levert. Verankering hiervan hoort thuis in je governance-raamwerk.

Oefen de audit zelf

De beste voorbereiding is een interne proefaudit: laat iemand die het systeem niet bouwde, het dossier opvragen alsof hij de toezichthouder is. Ontbrekende stukken, verouderde versies en onnavolgbare keuzes komen dan aan het licht voordat het echt telt. Wat het handhavingsproces precies inhoudt, lees je apart.

Wat te doen

  • Stel een dossierindex op met alle verplichte stukken en de eigenaar per stuk.
  • Borg versiebeheer: documentatie volgt elke systeemwijziging.
  • Controleer je logging: registreer je voldoende om besluiten te herleiden?
  • Leg rollen vast met leveranciers: wie levert welk document?
  • Doe een proefaudit voordat de toezichthouder belt — zie ook nationale toezichthouders.

Bronnen

  1. https://eur-lex.europa.eu/eli/reg/2024/1689/oj
    Verordening (EU) 2024/1689 (AI Act); art. 11, 12, 17-19 en Bijlage IV over technische documentatie, logging en kwaliteitsbeheer.
  2. https://digital-strategy.ec.europa.eu/en/policies/ai-office
    Europese Commissie; het AI Office en nationale toezichthouders kunnen documentatie rechtstreeks opvragen.

Deel op LinkedIn

Lees ook

W

De EU-conformiteitsverklaring onder de AI Act (artikel 47)

De EU-conformiteitsverklaring is de schriftelijke verklaring waarmee de aanbieder zelf bevestigt dat een hoogrisico-AI-systeem aan de AI Act voldoet. Artikel 47 schrijft inhoud, taal en bewaring voor; de aanbieder draagt er de volledige verantwoordelijkheid voor.

W

De AI Act voor de developer: provider-plichten en documentatie

Bouw of fine-tune je AI, dan ben je vaak aanbieder onder de AI Act — de rol met de zwaarste verplichtingen. Dit overzicht vertaalt de wettekst naar wat een developer en productteam concreet moeten regelen: technische documentatie, datakwaliteit, logging en menselijk toezicht by design.

W

De gemachtigde voor aanbieders buiten de EU (artikel 22)

Een aanbieder van buiten de EU moet vóór het op de markt brengen van een hoogrisico-AI-systeem schriftelijk een gemachtigde in de Unie aanwijzen. Artikel 22 maakt die persoon het Europese aanspreekpunt voor toezichthouders, met eigen plichten en stopbevoegdheid.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.