Up-to-date checklist om je kantoor klaar te maken voor de EU AI Act. Focus op risicobeheersing, documentatie, human oversight en rapportage. Inclusief deadlines.

Inleiding

Gebruik je in je kantoor AI voor analyses, rapportages, klantacceptatie of risicoscoring? Dan krijg je te maken met de EU AI Act. De wet is op 1 augustus 2024 in werking getreden. Verboden praktijken en AI-geletterdheid gelden sinds 2 februari 2025; regels voor general-purpose AI (GPAI) en governance sinds 2 augustus 2025. De meeste verplichtingen voor hoog-risico AI volgen per 2 augustus 2026, met enkele uitzonderingen die doorlopen tot 2 augustus 2027. Deze planning is leidend voor jouw compliance-roadmap. European Commission+1

Onder de AI Act beoordeel je eerst of een systeem “hoog-risico” is (o.a. volgens Annex III en Artikel 6), daarna doorloop je een conformiteitsbeoordeling. Voor veel Annex III-toepassingen mag dat via interne controle (zonder notified body). artificialintelligenceact.eu+2artificialintelligenceact.eu+2

Doel van deze blog: jou, als partner/eigenaar van een MKB-accountantskantoor, een praktische en actuele checklist bieden om concreet te voldoen aan de AI Act—met focus op efficiëntie, kwaliteit, risicobeheersing en compliance.

1. Classificeer je AI-toepassing (hoog-risico of niet)

  • Toets aan Artikel 6 en Annex III: denk aan gebruik in werving & selectie, toegang tot essentiële diensten (bijv. kredietwaardigheid), onderwijs/opleiding van personeel, of biometrie. Noteer je conclusie. artificialintelligenceact.eu+1
  • Twijfelgeval? Documenteer waarom het géén significant risico geeft. Let op: ook bij een “niet-hoog-risico” Annex III-claim geldt vaak registratieplicht (zie stap 6). ai-act-service-desk.ec.europa.eu

2. Richt een risicobeheersysteem (QMS) in

  • Vast beleid voor risico-identificatie, -beperking en -herbeoordeling per release.
  • Koppel controls aan gebruiksscenario’s: fiscale adviesteksten, rapportages, signaalanalyse (fraude/AML), HR-selectie, etc.
  • Leg eigenaarschap vast: product owner, data owner, compliance.
  • Plan post-market monitoring: prestaties en incidenten actief volgen, analyses vastleggen. artificialintelligenceact.eu+1

3. Zorg voor datakwaliteit en datagovernance

  • Beoordeel datasets op representativiteit, bias, actualiteit en herkomst.
  • Leg verwerkingsgrondslag en bewaartermijnen vast; minimaliseer persoonsgegevens.
  • Documenteer dataset-wijzigingen en validaties per versie.

4. Bouw technische documentatie op (levend dossier)

Minimaal opnemen:

  • Doel en reikwijdte, beslisimpact en constraints.
  • Modelarchitectuur of tool-keten, trainings- en evaluatiegegevens (op hoofdlijnen), performance- en bias-metingen.
  • Logging, fallback, en human oversight-punten.
  • Post-market monitoring plan en KPI’s (accuratesse, false positives, fairness). artificialintelligenceact.eu

5. Regel human oversight (menselijke controle)

  • Definieer wanneer een mens verplicht meekijkt of kan ingrijpen (bijv. bij klantacceptatie, risicoscore, aangifte-advies).
  • Documenteer besliscriteria, drempelwaarden en escalatie.
  • Train medewerkers in AI-geletterdheid (verplicht sinds 2 feb 2025). Digitale Strategie Europa

6. Registreer waar nodig in de EU-database

  • Voor het op de markt brengen of in gebruik nemen van de meeste Annex III hoog-risico systemen: provider registreert systeem in de EU-database.
  • Ook “Annex III maar niet-hoog-risico” op grond van Artikel 6(3)? Dan toch registreren met onderbouwing.
  • Voor publieke deployers gelden extra registratieregels. ai-act-service-desk.ec.europa.eu+2ai-act-service-desk.ec.europa.eu+2

7. Kies de juiste conformiteitsbeoordeling

  • Annex III punten 2–8: vaak interne conformiteitsbeoordeling volgens Annex VI (zonder notified body).
  • Zorg dat je QMS (Artikel 17) en technische documentatie klaar zijn; hou versies bij. artificialintelligenceact.eu+1

8. Transparantie naar gebruikers en cliënten

  • Informeer medewerkers en cliënten wanneer zij met AI te maken hebben, welke rol AI speelt en wat de beperkingen zijn.
  • Bied begrijpelijke uitleg van output en beslisgronden (voor zover passend bij het systeemtype).
  • Label AI-gegenereerde content in rapportages en werkprogramma’s.

9. Logging, bewaring en audittrail

  • Activeer en bewaak systeemlogs; bewaar minimaal 6 maanden (of langer als je sectorbeleid dat vraagt).
  • Leg beslismomenten, overrides, prompts en relevante context vast voor herleidbaarheid. artificialintelligenceact.eu

10. Meld “serious incidents” tijdig

  • Stel een incident-proces op (triage, eerste melding, vervolgrapport).
  • Richtlijnen: ernstige incidenten bij hoog-risico AI snel melden aan de markttoezichthouder; termijnen zijn kort (en afhankelijk van ernst), met mogelijkheid tot een voorlopige melding gevolgd door een volledig rapport. iapp.org+1

11. Roadmap & deadlines (wat doe je wanneer?)

  • Nu → 2H 2025: AI-inventaris, classificatie per use-case, beleid/controls, AI-geletterdheid, datakwaliteit, start documentatie. Digitale Strategie Europa
  • Tot 2 aug 2025: governance en GPAI-afspraken op orde; contracten met leveranciers bijwerken. Digitale Strategie Europa
  • Tot 2 aug 2026: hoog-risico eisen implementeren (QMS, documentatie, registratie, oversight, logging, monitoring). Digitale Strategie Europa
  • Tot 2 aug 2027: uitzonderingen voor hoog-risico AI ingebed in gereguleerde producten afronden; volg standaarden (CEN-CENELEC). Digitale Strategie Europa+1
Let op: er is politieke discussie over fasering en ondersteunende “tooling”. Volg altijd de officiële Commissie-updates en nationale autoriteiten voor de meest recente toepassing in Nederland. Digitale Strategie Europa

Veelgemaakte fouten (en hoe je ze voorkomt)

  • Alle AI op één hoop gooien. Classificeer per use-case; niet elk analyse-hulpmiddel is hoog-risico. artificialintelligenceact.eu
  • Geen eigenaarschap. Wijs een systeem- en data-eigenaar aan.
  • Datadocumentatie overslaan. Zonder dataset-dossier kun je bias of fouten niet onderbouwen.
  • Te laat registreren. Check registratieplicht vroegtijdig. ai-act-service-desk.ec.europa.eu
  • Incidentprocessen ontbreken. Oefen met simulaties; bereid sjablonen voor (initial/complete report). iapp.org

Voorbeeldtoepassingen in accountancy

  • Klantacceptatie & risicoscore (Annex III-context): classificeren, interne beoordeling, registratie, oversight, logging en monitoring. artificialintelligenceact.eu
  • Assistent voor notities of rapportopzet (niet-hoog-risico): transparantie, AI-geletterdheid, dataminimalisatie; vaak geen registratie.
  • HR-screening bij werving (hoog-risico): bias-tests, duidelijke rol van de mens, audits, registratie. artificialintelligenceact.eu

Samenvatting

De AI Act vraagt om een gestructureerde aanpak: classificeren, QMS inrichten, documenteren, menselijke controle, registreren (waar nodig), loggen en monitoren—met heldere incidentprocessen en deadlines. Begin met je AI-inventaris en prioriteer de hoog-risico use-cases. AI4 Accountancy helpt je dit efficiënt en beheerst te organiseren.

Plan een demo van het AI-First Platform voor accountancy.


AI Act compliance, hoog-risico AI, interne conformiteitsbeoordeling, accountancy, risicobeheersysteem, human oversight, registratie EU-database, incidentmelding