Steeds meer bedrijven horen over de EU AI Act en maken zich zorgen: komt er straks iemand langs om te controleren wat je met AI doet? Het korte antwoord is: ja, als je high-risk AI-systemen gebruikt, moet je voorbereid zijn op een audit. Toezichthouders krijgen namelijk ruime bevoegdheden om bedrijven te controleren en kunnen forse boetes uitdelen bij overtredingen. Maar hoe werkt zo’n audit precies, welke documenten moet je hebben en hoe kun je zorgen dat je niet voor verrassingen komt te staan? In dit artikel geef ik antwoord op de vragen die ik het vaakst hoor bij organisaties die zich voorbereiden op de AI Act.
Wat is een AI Act audit eigenlijk?
Een audit onder de EU AI Act is een officiële controle door een toezichthouder, zoals een nationale markttoezichthouder of een speciale AI-autoriteit. Die controleert of jouw AI-systemen voldoen aan de eisen van de wet. Dat kan gaan om technische documentatie, maar ook om procedures, risicoanalyses en bewijs dat je medewerkers getraind zijn in verantwoord gebruik van AI. De AI Act geeft toezichthouders het recht om documenten op te vragen, systemen te testen of zelfs fysieke inspecties te doen bij bedrijven die high-risk AI gebruiken. Het doel is ervoor te zorgen dat AI veilig, eerlijk en transparant wordt ingezet, vooral bij toepassingen die een grote impact hebben op mensenrechten of maatschappelijke processen.
Wie kan zo’n audit uitvoeren?
De AI Act bepaalt dat elke lidstaat een nationale toezichthouder aanwijst, bijvoorbeeld een bestaande privacy- of markttoezichthouder, of een nieuwe autoriteit die zich specifiek bezighoudt met AI. Deze toezichthouder krijgt de bevoegdheid om audits uit te voeren, maar kan ook certificeringsinstanties of andere experts inschakelen om technische controles te doen. Dat betekent dat je als bedrijf niet alleen vragen kunt krijgen van een ambtenaar, maar bijvoorbeeld ook van een onafhankelijke inspectiepartij die jouw systemen technisch doorlicht.
Moet ik altijd een audit verwachten?
Nee, zeker niet elk bedrijf krijgt direct een audit. De kans is groter als je high-risk AI-systemen ontwikkelt, verkoopt of gebruikt. Bijvoorbeeld:
-
AI die sollicitanten selecteert
-
AI die kredietscores berekent
-
AI in medische diagnoses
-
AI in kritieke infrastructuur zoals energie of vervoer Toch kan ook een organisatie met beperkte AI-toepassingen gecontroleerd worden, bijvoorbeeld als er een klacht binnenkomt, of als er signalen zijn dat je systeem risico’s oplevert voor burgers. In de praktijk geldt: hoe hoger het risico van je AI, hoe groter de kans op een audit.
→ Lees ook: Wat zijn high-risk AI-systemen volgens de EU AI Act?
Wat vraagt de toezichthouder tijdens een audit?
De belangrijkste vraag van een toezichthouder is altijd: kun je aantonen dat je jouw AI-systeem op een veilige, eerlijke en transparante manier gebruikt? Daarvoor moet je vaak deze zaken kunnen overleggen:
-
Technische documentatie van je AI-systeem, inclusief algoritmen en trainingsdata
-
Een duidelijke risicoanalyse of impact assessment
-
Bewijs dat je mitigatie-maatregelen hebt genomen tegen risico’s zoals bias of discriminatie
-
Gebruikershandleidingen of instructies voor medewerkers
-
Logging en monitoring-rapportages, zodat je kunt aantonen hoe beslissingen tot stand kwamen
-
Trainingen of interne communicatie over AI-geletterdheid binnen je organisatie Als je high-risk AI gebruikt, is documentatie niet optioneel maar verplicht. Kun je die niet tonen, dan loop je direct het risico op sancties.
→ Lees ook: Documentatie-eisen onder de EU AI Act uitgelegd
Moet ik mijn AI-systemen laten certificeren?
Voor sommige high-risk toepassingen kan certificering verplicht zijn. Dit betekent dat een onafhankelijke partij jouw systeem beoordeelt en een verklaring afgeeft dat het voldoet aan de eisen van de AI Act. Het hangt sterk af van je sector of dat nodig is. Bijvoorbeeld in de medische sector of in kritieke infrastructuur zal certificering sneller verplicht zijn dan bij HR- of marketingtoepassingen. Let op: zelfs als certificering niet verplicht is, kan het wel verstandig zijn om jezelf te beschermen tegen risico’s en toekomstige audits.
Wat zijn de gevolgen als ik niet kan voldoen aan een audit?
De gevolgen kunnen groot zijn. De AI Act noemt sancties tot €35 miljoen of 7% van je wereldwijde omzet. Maar naast financiële schade is reputatieschade misschien nog wel gevaarlijker. Een bedrijf dat negatief in het nieuws komt vanwege illegale of onveilige AI-toepassingen kan klanten, medewerkers en partners verliezen. Bovendien kun je bij een mislukte audit verplicht worden om je systeem uit de markt te halen of stil te leggen. Het is dus veel slimmer om nu alvast je zaken op orde te brengen.
Hoe bereid ik me voor op een audit?
Begin klein, maar begin wel. Breng eerst in kaart welke AI-systemen je hebt, welke daarvan beslissingen nemen over mensen, en of die onder high-risk vallen. Daarna is het cruciaal om goede documentatie aan te leggen:
-
Werk met vaste templates voor risicoanalyses en technische documentatie
-
Houd logs bij van hoe je AI werkt en hoe beslissingen tot stand komen
-
Train je mensen in AI-geletterdheid , zodat ze weten waar de risico’s zitten en hoe ze moeten handelen tijdens een audit
-
Zorg dat je alle informatie snel kunt vinden en overleggen als daar om gevraagd wordt → Bekijk onze AI-geletterdheid training voor teams.
Conclusie
Een audit klinkt spannend, maar hoeft geen drama te zijn als je goed bent voorbereid. Zie het als een kans om te laten zien dat je verantwoord met AI omgaat. De sleutel is: zorg dat je alles kunt uitleggen én aantonen. Want onder de EU AI Act geldt één simpele waarheid: geen documentatie betekent geen compliance.
→ Wil je alles weten over de AI Act? Lees onze complete gids over de EU AI Act.
Ferry Hoes
Ferry Hoes is veelgevraagd spreker en trainer op het gebied van AI-geletterdheid. Hij staat meermaals per maand op het podium voor organisaties zoals a.s.r., VodafoneZiggo en verschillende ministeries. In 2020 won hij de Anti-Discriminatie AI-Hackathon van de Nederlandse overheid.