De eerste stap naar compliance met de EU AI Act is weten welke AI-systemen uw organisatie gebruikt. Dat klinkt eenvoudig, maar de praktijk leert dat de meeste bedrijven het aantal AI-toepassingen fors onderschatten. In dit artikel leert u hoe u een complete AI-inventaris maakt en waarom dit de basis vormt voor al uw verdere compliance-activiteiten.
Waarom onderschatten bedrijven hun AI-gebruik?
Veel organisaties denken bij AI aan ChatGPT of een zelfgebouwde machine learning-toepassing. Maar AI zit tegenwoordig verwerkt in vrijwel elke categorie bedrijfssoftware. Uw boekhoudsoftware categoriseert automatisch facturen met behulp van AI. Uw CRM-systeem voorspelt welke leads het meest kansrijk zijn. Uw e-mailprogramma filtert spam, stelt antwoorden voor en sorteert uw inbox slim. Uw marketingtools optimaliseren automatisch campagnes en doelgroepen.
Uit onderzoek blijkt dat bedrijven gemiddeld drie tot vijf keer zoveel AI-toepassingen gebruiken als ze denken. Deze verborgen AI — ingebouwd in bestaande software — vormt een blinde vlek die bij een inspectie tot problemen kan leiden. U kunt immers niet voldoen aan de AI Act als u niet eens weet welke AI-systemen u in huis heeft.
Verborgen AI in bestaande software
Om u een beeld te geven van waar AI zich verschuilt in veelgebruikte bedrijfssoftware, hier een overzicht per categorie.
Kantoorsuites en productiviteit: Microsoft 365 Copilot, Google Workspace AI-functies, Notion AI, Grammarly. Deze tools gebruiken AI voor tekstsuggesties, samenvattingen, vertaling en dataverwerking.
Financieel en administratief: AI in boekhoudsoftware voor automatische categorisatie, fraudedetectie in betaalsystemen, voorspellende budgettering. Tools als Exact Online, Twinfield en Yuki integreren steeds meer AI-functionaliteit.
Klantcontact en support: chatbots op uw website, AI-gestuurde routering van klantvragen, sentimentanalyse van klantfeedback, automatische transcriptie van telefoongesprekken.
HR en werving: AI-screening van cv's, geautomatiseerde matching van kandidaten, verzuimvoorspelling, gepersonaliseerde leertrajecten voor medewerkers.
Marketing en sales: AI voor leadscoring, gepersonaliseerde content, advertentieoptimalisatie, voorspellingen van klantgedrag, dynamische prijsstelling.
IT en beveiliging: AI-gestuurde detectie van cyberdreigingen, anomaliedetectie in netwerkverkeer, geautomatiseerde kwetsbaarheidsscans.
Stap 1: Identificeer alle AI-systemen
De inventarisatie begint met het systematisch doorlopen van alle software en tools die uw organisatie gebruikt. Betrek hierbij elke afdeling, want AI-tools worden vaak op afdelingsniveau aangeschaft zonder centraal overzicht.
Ga als volgt te werk. Vraag elke afdelingsmanager om een lijst op te stellen van alle software die op de afdeling wordt gebruikt. Controleer per software of er AI-functionaliteit aanwezig is. Raadpleeg hiervoor de productdocumentatie van de leverancier of neem rechtstreeks contact op. Vergeet niet de tools die individuele medewerkers zelfstandig gebruiken: browser-extensies, AI-schrijfassistenten, vertaaltools en chatbots.
Maak een overzicht met per systeem de volgende basisgegevens: de naam van het systeem, de leverancier, de afdeling die het gebruikt, een korte beschrijving van wat het doet, en of het AI-functionaliteit bevat.
Stap 2: Classificeer elk AI-systeem
Voor elk geidentificeerd AI-systeem bepaalt u de risicocategorie volgens de AI Act: onaanvaardbaar, hoog, beperkt of minimaal risico. De classificatie hangt af van het toepassingsgebied en de impact op personen.
Stel uzelf per systeem deze vragen. Neemt het systeem autonome beslissingen die individuen raken? Verwerkt het bijzondere persoonsgegevens? Wordt het gebruikt in een domein dat de AI Act als hoog risico aanmerkt? Kan een fout in het systeem significante schade veroorzaken?
Bij twijfel is het verstandig om het systeem in een hogere risicocategorie in te delen en later eventueel te herzien. Beter te voorzichtig dan te laat.
Stap 3: Documenteer per systeem
Voor elk AI-systeem in uw inventaris legt u gedetailleerde informatie vast. Dit vormt de kern van uw AI-register. Documenteer per systeem het volgende.
Algemene informatie: naam, versie, leverancier, contractgegevens, aanschafdatum. Doel en gebruik: waarvoor wordt het systeem ingezet, wie gebruikt het, in welk proces is het opgenomen? Data: welke gegevens gaan er in, welke komen er uit, worden er persoonsgegevens verwerkt? Risicocategorie: de classificatie met onderbouwing. Maatregelen: welke stappen heeft u genomen om risico's te beperken? Verantwoordelijkheid: wie is de interne eigenaar van dit systeem? Menselijk toezicht: hoe is het toezicht geregeld, wie controleert de output?
Stap 4: Houd de inventaris actueel
Een AI-inventaris is een levend document. De technologie ontwikkelt zich snel en uw softwarelandschap verandert continu. Richt daarom een proces in om de inventaris actueel te houden.
Integreer een AI-check in uw inkoopproces: bij elke nieuwe softwareaanschaf wordt gecontroleerd of er AI-functionaliteit aanwezig is. Plan een kwartaalreview waarin u de inventaris doorloopt en controleert op volledigheid. Stel een meldprocedure in: medewerkers die nieuwe AI-tools gaan gebruiken melden dit bij de AI-verantwoordelijke. Houd bij welke leveranciers AI-functionaliteit toevoegen aan bestaande software via updates.
Veelgemaakte fouten bij AI-inventarisatie
Bij het maken van een AI-inventaris zien we in de praktijk een aantal terugkerende fouten. Alleen de voor de hand liggende tools meenemen — ook ingebouwde AI telt. De IT-afdeling het alleen laten doen — elke afdeling moet worden betrokken. Eenmalig inventariseren en het daarna laten liggen — regelmatige updates zijn essentieel. Geen verantwoordelijke aanwijzen — wijs per systeem een interne eigenaar aan. Shadow AI negeren — tools die medewerkers zelf installeren vallen ook onder de AI Act.
Hoe AIComplianceHub uw inventaris automatiseert
Het handmatig bijhouden van een AI-inventaris kost tijd en is foutgevoelig. Het AI-register van AIComplianceHub is ontworpen om dit proces te vereenvoudigen. Met het platform voert u uw AI-systemen eenvoudig in via een gestructureerd formulier. De risicocategorie wordt automatisch bepaald op basis van uw antwoorden. De vereiste documentatie wordt automatisch gegenereerd. U ontvangt herinneringen voor periodieke reviews. En u heeft altijd een actueel en compleet overzicht dat u aan een toezichthouder kunt tonen.
Begin met een eerste scan van uw AI-gebruik via de gratis AI Risicoscanner. In vijf minuten weet u hoeveel AI-systemen u waarschijnlijk in huis heeft en welke stappen u moet nemen om uw inventaris compleet te maken. Van daaruit kunt u direct doorwerken in het AIComplianceHub-platform om uw volledige AI-register op te bouwen.