Hoe werkt een AI-register in de praktijk?

Door /
AI-register voor bedrijven en gemeenten: zo werkt het (2026)

AI-register voor bedrijven en gemeenten: zo werkt het in de praktijk

Kort antwoord: Een AI-register is een gestructureerd overzicht waarin een organisatie vastlegt welke AI-systemen zij gebruikt of aanbiedt, met welk doel, op basis van welke data en met welke waarborgen. Bedrijven gebruiken het intern om de AI Act na te leven en risico’s te beheersen. Overheden gebruiken het ook als openbaar transparantie-instrument, in Nederland via het landelijke Algoritmeregister. Je zet er een op door eerst alle AI-toepassingen in kaart te brengen, daarna per systeem een vaste set gegevens vast te leggen en dit vervolgens te beheren en bij te werken.

Steeds meer bedrijven en gemeenten zetten AI in voor klantcontact, besluitvorming en interne processen. Daarmee groeit het belang van overzicht, risicobeheersing en verantwoording. Een AI-register maakt dat gebruik inzichtelijk en helpt om te voldoen aan de AI Act en de AVG. In dit artikel lees je wat een AI-register is, wat erin moet staan en hoe je er stap voor stap een opzet, eerst voor bedrijven en daarna voor gemeenten, met de actuele regels van 2026.

Wat is een AI-register?

Een AI-register is een gestructureerd overzicht waarin een organisatie alle gebruikte of aangeboden AI-systemen vastlegt. Per systeem staat erin met welk doel het wordt ingezet, welke data het gebruikt, hoe het werkt, welke risico’s eraan verbonden zijn en welke maatregelen die risico’s beperken. Het register heeft twee functies: het geeft de organisatie zelf overzicht en controle, en het maakt verantwoording naar buiten mogelijk.

Voor bedrijven is een register vooral een intern beheers- en compliance-instrument. Voor overheden is het daarnaast een openbaar transparantie-instrument. In beide gevallen geldt hetzelfde principe: zonder register weet een organisatie niet welke AI zij in huis heeft en kan zij niet aantonen dat zij de regels naleeft.

Een AI-register voor bedrijven

Kort antwoord: Voor bedrijven is een AI-register het centrale instrument om de AI Act na te leven. Het bevat per AI-systeem de rol van het bedrijf (aanbieder of gebruiker), de risicoclassificatie, de gebruikte data, de werking, de uitgevoerde impactanalyses en de risicomaatregelen. Het register is geen losse wettelijke verplichting, maar het bewijs waarmee je aantoont dat je de wel verplichte classificatie, documentatie en risicobeheersing op orde hebt.

De AI Act maakt geen onderscheid tussen profit en non-profit: elk bedrijf dat AI-systemen ontwikkelt of professioneel gebruikt, valt eronder. Dat geldt ook voor bedrijven buiten de EU, zodra hun AI-systeem of de uitkomst ervan in de EU wordt gebruikt.

Aanbieder of gebruiker: ken je rol

De AI Act onderscheidt twee hoofdrollen, en de rol bepaalt welke verplichtingen gelden. Veel bedrijven zijn allebei tegelijk, afhankelijk van het systeem.

  • Aanbieder (provider): je ontwikkelt een AI-systeem of laat het ontwikkelen en brengt het op de markt onder je eigen naam of merk. Aanbieders van hoogrisico-systemen hebben de zwaarste verplichtingen, waaronder een conformiteitsbeoordeling vooraf.
  • Gebruiker (deployer): je zet een AI-systeem in onder eigen verantwoordelijkheid voor professioneel gebruik, bijvoorbeeld ingekochte software. Gebruikers van hoogrisico-systemen moeten onder andere zorgen voor menselijk toezicht en het systeem volgens de instructies inzetten.

Pas je een ingekocht AI-systeem wezenlijk aan of zet je het in onder je eigen merk, dan kun je juridisch aanbieder worden, ook al heb je het systeem niet zelf gebouwd. Leg daarom per systeem vast welke rol je organisatie heeft.

Wat de AI Act van bedrijven vraagt

De AI Act werkt met vier risiconiveaus. Het niveau bepaalt hoe zwaar de verplichtingen zijn. De tabel hieronder geeft het overzicht.

Risiconiveau Voorbeelden Wat er moet gebeuren
Onaanvaardbaar risico Social scoring, bepaalde vormen van emotieherkenning op de werkplek. Verboden. Deze systemen mogen niet worden gebruikt.
Hoog risico AI voor werving en selectie, kredietbeoordeling, toegang tot onderwijs. Risicobeheer, documentatie, menselijk toezicht en, voor aanbieders, een conformiteitsbeoordeling.
Beperkt risico Chatbots, AI die afbeeldingen of teksten genereert. Transparantieplicht: gebruikers moeten weten dat ze met AI of AI-content te maken hebben.
Minimaal risico Spamfilters, AI in games. Geen specifieke verplichtingen, vrijwillige gedragscodes worden aangemoedigd.

Voor de meeste bedrijven zijn vooral de hoogrisico- en de beperkt-risico-categorie relevant. Zet je AI in voor beslissingen over mensen, bijvoorbeeld bij sollicitaties, dan is de kans groot dat het om hoogrisico-AI gaat. Gebruik je AI om hoogrisico-systemen in te zetten, dan moet je daarnaast een grondrechtentoets uitvoeren, in de AI Act de Fundamental Rights Impact Assessment (FRIA) genoemd.

Belangrijke wijziging in 2026: op 7 mei 2026 bereikten het Europees Parlement en de Raad een politiek akkoord over het zogeheten AI Act Omnibus. Daarmee zijn de meeste verplichtingen voor hoogrisico-systemen verschoven van 2 augustus 2026 naar 2 december 2027, en voor hoogrisico-AI in gereguleerde producten naar 2 augustus 2028. De Raad van de EU meldt dat de transparantieverplichtingen wel grotendeels op de oorspronkelijke datum blijven staan. De verboden AI-praktijken golden al sinds 2 februari 2025 en de regels voor algemene AI-modellen sinds 2 augustus 2025. De handhaving is in 2026 begonnen, dus uitstel is geen reden om te wachten.

De boetes zijn fors en gelaagd. Voor verboden AI-praktijken geldt een boete tot 35 miljoen euro of 7 procent van de wereldwijde jaaromzet. Voor het schenden van andere verplichtingen, waaronder die voor hoogrisico-systemen, geldt tot 15 miljoen euro of 3 procent. Voor onjuiste informatie aan toezichthouders geldt tot 7,5 miljoen euro of 1,5 procent. Steeds geldt het hoogste van de twee bedragen.

Stappenplan voor bedrijven

Een AI-register opzetten binnen een bedrijf is goed te doen in zes stappen. Reken op enkele maanden, vooral voor de inventarisatie.

  1. Inventariseer alle AI-systemen. Breng zowel zelf ontwikkelde AI als ingekochte software met AI-functies in kaart. Vergeet AI-functies in standaardsoftware niet.
  2. Bepaal per systeem de rol en de risicoklasse. Leg vast of je aanbieder of gebruiker bent en onder welk risiconiveau het systeem valt.
  3. Verzamel de documentatie. Werk samen met IT, juridische zaken, de privacy officer en de business om doel, data, werking, impactanalyses en maatregelen vast te leggen.
  4. Voer de vereiste analyses uit. Voor hoogrisico-systemen horen daar een DPIA en meestal een FRIA bij. Koppel de uitkomsten aan het register.
  5. Wijs eigenaarschap toe. Benoem een verantwoordelijke voor het register en voor elk systeem, zodat het beheer geborgd is.
  6. Richt een updateproces in. Werk een registratie bij zodra een systeem wezenlijk verandert en houd een vast controlemoment aan, bijvoorbeeld elk kwartaal.

Tip: behandel het register niet als een eenmalig compliance-document, maar als een levend overzicht. Een actueel register helpt niet alleen bij de AI Act, maar ook bij inkoop, informatiebeveiliging en het beantwoorden van vragen van klanten en accountants over je AI-gebruik.

Een AI-register voor gemeenten

Kort antwoord: Voor gemeenten is een AI-register een openbaar toegankelijk overzicht van de gebruikte AI-systemen en impactvolle algoritmes. Het maakt voor burgers zichtbaar hoe de gemeente AI inzet en welke waarborgen er gelden. Nederlandse overheden gebruiken hiervoor het landelijke Algoritmeregister. Publiceren is nu nog niet wettelijk verplicht, maar die verplichting is aangekondigd.

Gemeenten zetten AI in om dienstverlening te verbeteren en maatschappelijke opgaven aan te pakken. Omdat de overheid besluiten neemt die direct ingrijpen in het leven van burgers, telt transparantie hier extra zwaar. Een AI-register maakt dat gebruik controleerbaar.

In Nederland gebeurt dit centraal via het Algoritmeregister van de overheid. Dat register richt zich op impactvolle algoritmes, waaronder hoogrisico-AI-systemen. Volgens het ministerie van Binnenlandse Zaken bevatte het register begin 2025 ongeveer 675 algoritmes en groeide dat in de loop van 2025 naar ruim 1.000 registraties.

De regels voor gemeenten in 2026

Voor gemeenten lopen er twee sporen naast elkaar. Het eerste is nationaal: het kabinet heeft aangekondigd dat registratie van impactvolle algoritmes uiteindelijk wettelijk verplicht wordt. Tot die wet er is, worden overheidsorganisaties aangemoedigd om hun algoritmes uit eigen beweging te publiceren.

Het tweede spoor is Europees. De AI Act verplicht ook overheden tot classificatie, documentatie en risicobeheersing van hun AI-systemen. Daarnaast moeten hoogrisico-AI-systemen die door publieke instanties worden gebruikt, worden geregistreerd in een Europese databank. Juist voor de publieke sector geldt die databank-verplichting, waar ze voor private gebruikers beperkter is.

Let op: de deadlines voor hoogrisico-systemen zijn door het AI Act Omnibus-akkoord van 7 mei 2026 verschoven naar 2 december 2027 en 2 augustus 2028. Het uitstel is geen reden om te wachten: een register opbouwen kost maanden en de aangekondigde nationale verplichting komt los van het Europese spoor.

Praktijkvoorbeelden: Amsterdam en Helsinki

Amsterdam. De gemeente Amsterdam publiceert haar AI-register online. Burgers vinden daar per algoritme een beschrijving van de werking, de gebruikte gegevens en links naar relevante impactanalyses. Amsterdam was samen met Helsinki een van de eerste steden ter wereld met zo’n openbaar register.

Helsinki. Via het AI-register van de regio Helsinki kunnen inwoners opzoeken welke AI-systemen de stad gebruikt, voor welk doel en met welke data. Het register legt elk systeem in begrijpelijke taal uit en biedt een vast contactpunt voor vragen.

Beide steden laten zien dat een register pas waarde krijgt als de informatie begrijpelijk is en burgers er echt vragen over kunnen stellen. Een register dat alleen technische documenten ontsluit, vergroot de transparantie niet.

Stappenplan voor gemeenten

Een AI-register opzetten binnen een gemeente verloopt in zes stappen. De aanpak lijkt op die van bedrijven, met een extra accent op openbaarheid en begrijpelijkheid.

  1. Breng alle AI-systemen in kaart. Maak een overzicht van bestaande en geplande toepassingen, ook eenvoudige beslisregels en ingekochte software met AI-functies.
  2. Gebruik de landelijke publicatiestandaard. Sluit aan op het format van het Algoritmeregister, zodat elk systeem op dezelfde manier wordt beschreven.
  3. Verzamel de informatie met de juiste mensen. Werk samen met privacy officers, IT, juridische zaken en communicatie om doel, data, werking en risico’s vast te leggen.
  4. Publiceer het register openbaar. Plaats de registraties online en zorg dat ze voor burgers makkelijk vindbaar zijn, bij voorkeur via het landelijke Algoritmeregister.
  5. Richt een updateproces in. Werk een systeem bij zodra het wezenlijk verandert en houd een vast controlemoment aan, bijvoorbeeld elk kwartaal.
  6. Informeer medewerkers en burgers. Organiseer korte sessies over nut en werking van het register, zodat het intern wordt gedragen en extern wordt gebruikt.

Wat moet er in een AI-register staan?

Of je nu een bedrijf of een gemeente bent, een bruikbaar register legt per systeem een vaste set gegevens vast:

  • Naam en beschrijving: elk AI-systeem met een heldere omschrijving van doel, gebruik en werking, in begrijpelijke taal.
  • Rol en risicoklasse: of de organisatie aanbieder of gebruiker is en onder welk risiconiveau van de AI Act het systeem valt.
  • Data en privacy: welke data worden gebruikt, of er persoonsgegevens worden verwerkt en hoe de privacy is geborgd.
  • Impactanalyse: een samenvatting van uitgevoerde analyses, zoals een DPIA, een FRIA of, bij overheden, een Impact Assessment Mensenrechten en Algoritmes (IAMA).
  • Menselijk toezicht: hoe een medewerker uitkomsten controleert of kan corrigeren.
  • Beheer en updates: wie verantwoordelijk is voor onderhoud en het bijwerken van de registratie.
  • Contact en feedback: contactgegevens voor vragen, opmerkingen of bezwaar.

Veelgemaakte fouten

  • Het register eenmalig vullen. Zonder vast updateproces raakt de informatie binnen een jaar achterhaald en verliest het zijn waarde als bewijs van compliance.
  • Ingekochte software vergeten. Ook AI-functies in standaardsoftware van leveranciers horen in het overzicht.
  • De rol verkeerd inschatten. Wie een ingekocht systeem aanpast of onder eigen merk inzet, kan juridisch aanbieder worden, met zwaardere verplichtingen.
  • Wachten op de deadline. Een register opbouwen kost maanden. Wie nu begint, is op tijd klaar voor de verplichtingen die in 2027 en 2028 ingaan.
  • Alleen technische documenten ontsluiten (overheden). Een register vol jargon vergroot de transparantie niet. De uitleg moet leesbaar zijn voor inwoners.
  • Geen eigenaar aanwijzen. Zonder verantwoordelijke afdeling blijft het register liggen zodra de eerste registratie klaar is.

Veelgestelde vragen

Is een AI-register verplicht voor bedrijven?

Een intern AI-register is niet als zelfstandige verplichting in de AI Act opgenomen, maar in de praktijk vrijwel onmisbaar. De AI Act verplicht bedrijven om hun AI-systemen te classificeren, te documenteren en risico’s te beheersen. Een register is het instrument waarmee je dat overzicht houdt en compliance kunt aantonen. Registratie in de Europese databank geldt vooral voor aanbieders van hoogrisico-AI en voor publieke instanties die zulke systemen gebruiken.

Wat is het verschil tussen een aanbieder en een gebruiker onder de AI Act?

Een aanbieder (provider) ontwikkelt een AI-systeem of laat het ontwikkelen en brengt het op de markt onder eigen naam. Een gebruiker (deployer) zet een AI-systeem in onder eigen verantwoordelijkheid voor professioneel gebruik. Veel bedrijven zijn allebei tegelijk. De rol bepaalt welke verplichtingen gelden, dus leg per systeem vast welke rol je organisatie heeft.

Welke informatie moet er minimaal in een AI-register staan?

Minimaal de naam en het doel van het systeem, de rol van de organisatie (aanbieder of gebruiker), de risicoclassificatie onder de AI Act, de gebruikte gegevens, de werking van het algoritme, een samenvatting van impactanalyses zoals een DPIA of FRIA, de risicomaatregelen, de verantwoordelijke afdeling en een contactpersoon.

Wat zijn de boetes onder de AI Act?

De boetes zijn gelaagd. Voor verboden AI-praktijken geldt een boete tot 35 miljoen euro of 7 procent van de wereldwijde jaaromzet. Voor het schenden van andere verplichtingen, waaronder die voor hoogrisico-systemen, geldt tot 15 miljoen euro of 3 procent. Voor onjuiste informatie aan toezichthouders geldt tot 7,5 miljoen euro of 1,5 procent. Steeds geldt het hoogste van de twee bedragen.

Hoeveel algoritmes staan er in het Nederlandse Algoritmeregister?

Het register bevatte begin 2025 ongeveer 675 algoritmes en groeide in de loop van 2025 naar ruim 1.000 registraties. Het register is voor overheidsorganisaties en is nog niet compleet.

Hoe vaak moet een AI-register worden bijgewerkt?

Werk het register bij zodra een AI-systeem wezenlijk verandert en houd daarnaast een vast controlemoment aan, bijvoorbeeld elk kwartaal. Zo blijft de informatie actueel en bruikbaar als bewijs van compliance.

Aan de slag met een AI-register?

VerantwoordAI helpt bedrijven en gemeenten bij het opzetten en onderhouden van een AI-register dat aansluit op de AI Act en, voor overheden, op het Algoritmeregister. Download de gratis whitepaper of plan een vrijblijvend intakegesprek via verantwoordai.nl/contact.

Dit artikel is voor het laatst gecontroleerd en bijgewerkt op 26 mei 2026.

Gerelateerde berichten:

  1. Wat betekent de AI Act concreet voor gemeenten?
  2. Download: DPIA-template specifiek voor AI-toepassingen
  3. Waarom een AI-register niet ingewikkeld hoeft te zijn
  4. Case: van onoverzicht naar grip op AI in 3 weken
  5. Transparantie begint bij interne organisatie – niet bij de tech
  6. Whitepaper: hoe organiseer je governance voor AI?
  7. Praktijkvoorbeeld: hoe een gemeente AI-beleid implementeerde
  8. Stapsgewijze handleiding: integratie van AI-assistenten met gemeentelijke systemen
Scroll naar boven