AI Regulatory Intelligence — by YRproject

feitelijke duiding · herleidbaar naar primaire bronnen

Compliance-platform Samenwerken LinkedIn NL·EN·DE
Wegwijzer

Logging en registratie: wat eist artikel 12 van de AI Act?

Vastgesteld 2026-06-22 · ≈ 2 min lezen · Dirk Baaijen

Artikel 12 verplicht hoogrisico-AI-systemen om automatisch gebeurtenissen vast te leggen (logs) gedurende hun levensduur. Logging maakt risicobewaking, traceerbaarheid en onderzoek achteraf mogelijk. Dit artikel legt uit wat er minimaal in de logs moet en hoe lang je ze bewaart.

Kort antwoord: Artikel 12 van de AI Act verplicht aanbieders om hoogrisico-AI-systemen technisch zo te bouwen dat ze gedurende hun levensduur automatisch gebeurtenissen vastleggen (logs). Die logs moeten het mogelijk maken om risicovolle situaties te identificeren, het systeem na de markttoetreding te bewaken en de werking achteraf te reconstrueren. Logging is geen optionele audit-feature, maar een ontwerpverplichting.

Waarom logging verplicht is

Een hoogrisico-systeem kan in de praktijk anders presteren dan in de test. Logs leveren het objectieve spoor om dat te zien: ze maken het mogelijk om situaties te detecteren die tot een risico of een substantiële wijziging kunnen leiden, om het systeem te monitoren (nazorg na de markt) en om bij een incident te onderzoeken wat er precies gebeurde. Zonder logs is menselijk toezicht achteraf blind.

Wat de logs minimaal moeten bevatten

De logregistratiemogelijkheden moeten passen bij het beoogde doel van het systeem. Voor bepaalde systemen — zoals biometrische identificatie op afstand — noemt artikel 12 specifiek:

  • de periode van elk gebruik (begin- en eindtijd, datum);
  • de referentiedatabank waartegen invoergegevens zijn gecontroleerd;
  • de invoergegevens waarvoor de zoekopdracht een match opleverde;
  • de identificatie van de personen die bij de verificatie van de resultaten betrokken waren (zie het vier-ogen-principe in artikel 14).

Voor andere hoogrisico-systemen geldt de algemene norm: leg vast wat nodig is om risico's, monitoring en traceerbaarheid te ondersteunen.

Bewaren, beschermen en gebruiken

De aanbieder bouwt de logfunctie in; de gebruiksverantwoordelijke bewaart de gegenereerde logs vervolgens, voor zover die onder zijn controle staan. De AI Act noemt een richttermijn van minstens zes maanden, tenzij andere regels (bijvoorbeeld gegevensbescherming) iets anders voorschrijven. Let op: logs kunnen persoonsgegevens bevatten, dus de AVG geldt onverkort — beperk wat je vastlegt, beveilig de opslag en regel toegang.

Wat te doen

  • Bepaal welke gebeurtenissen je logt op basis van het beoogde doel en de risico's van het systeem.
  • Leg tijdstempels, invoer en relevante beslismomenten vast zodat een gebruik reconstrueerbaar is.
  • Stel een bewaartermijn vast (minimaal zes maanden, of langer waar de wet dat eist) en automatiseer schoning daarna.
  • Beveilig de logs tegen wijziging en ongeoorloofde toegang; behandel ze als gevoelige data.
  • Beschrijf de logfunctie in de gebruiksaanwijzing zodat de gebruiksverantwoordelijke weet wat hij moet bewaren.
  • Verwerk logging in je AI-governance-raamwerk en houd de tijdlijn van verplichtingen aan.

Logging is een vaste eis uit het overzicht van hoogrisico-verplichtingen en wordt getoetst bij de conformiteitsbeoordeling en CE-markering. Wat je niet vastlegt, kun je later niet aantonen.

Bronnen

  1. https://eur-lex.europa.eu/eli/reg/2024/1689/oj
    Verordening (EU) 2024/1689 (AI Act), artikel 12: registratie (automatische logging) door hoogrisico-AI-systemen.
  2. https://artificialintelligenceact.eu/article/12/
    Geconsolideerde tekst en toelichting bij artikel 12 (registratie).

Deel op LinkedIn

Lees ook

U

Recht op uitleg van een AI-besluit: wat artikel 86 AI Act je geeft

Word je geraakt door een besluit dat (mede) op een hoogrisico-AI-systeem berust, dan geeft artikel 86 AI Act je recht op een duidelijke uitleg van de rol van het AI-systeem en de hoofdelementen van het besluit — te vragen aan de gebruiksverantwoordelijke, naast je AVG-rechten.

A

AI-fraudedetectie door de overheid: de lessen na SyRI

Na de SyRI-uitspraak (Rechtbank Den Haag, 2020) en de toeslagenaffaire is overheidsfraudedetectie met AI hoogrisico onder bijlage III. De lessen: geen ondoorzichtige risicoscores, geen proxy-discriminatie, wél proportionaliteit, uitlegbaarheid en grondrechtentoets.

W

De EU-conformiteitsverklaring onder de AI Act (artikel 47)

De EU-conformiteitsverklaring is de schriftelijke verklaring waarmee de aanbieder zelf bevestigt dat een hoogrisico-AI-systeem aan de AI Act voldoet. Artikel 47 schrijft inhoud, taal en bewaring voor; de aanbieder draagt er de volledige verantwoordelijkheid voor.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.