Dienst · Software-ontwikkeling

AI Act compliance software laten maken.

De EU AI Act (Verordening 2024/1689) verplicht organisaties die AI inzetten tot een aantoonbaar register, risico-classificatie, technische documentatie en menselijk toezicht. Wij bouwen het platform waarin u dat allemaal centraal beheert — toegesneden op uw AI-portfolio, uw governance en uw auditors.

AI-systeemregisterRisico-classificatieHuman-in-the-loopAudit-trail

Waarom een eigen AI Act-platform, niet een generieke GRC-tool.

De AI Act (Verordening 2024/1689) is sinds augustus 2024 in werking en wordt gefaseerd ingevoerd tot augustus 2027. Het is de eerste omvattende AI-regelgeving ter wereld en werkt met een risicogestuurd model: onaanvaardbaar risico is verboden (sociaal scoren door overheid, real-time biometrische identificatie in publieke ruimte, emotie-herkenning op de werkplek), hoog risico is zwaar gereguleerd, beperkt risico heeft transparantie-verplichtingen, en minimaal risico kent nauwelijks eisen. Voor hoog-risico-AI komen er stevige verplichtingen: een AI-systeemregister, een risicobeheer-systeem dat de hele levenscyclus dekt, data-governance met bias-controle, technische documentatie, logging, transparantie naar gebruikers, menselijk toezicht, cybersecurity-eisen, CE-markering en registratie in de EU-database.

Generieke GRC- en privacy-tools (OneTrust, Holistic AI, vergelijkbare suites) zijn vaak goed in de juridische laag, maar ze sluiten zelden aan op het ML-proces zelf: hoe modellen getraind worden, welke datasets erin gaan, welke metrics drift signaleren, hoe een human-in-the-loop in de productieflow zit. Wij bouwen het stuk dat tussen uw AI-engineers, uw compliance-officer en uw bestuurder past — als kern van uw AI-governance, of als gespecialiseerde laag naast bestaande tooling. Voor de bredere strategie sluit dit aan op onze aanpak voor enterprise-AI.

Drie smaken AI Act-software.

Afhankelijk van waar u staat: net begonnen met inventariseren, midden in de classificatie van uw eerste hoog-risico-systeem, of bezig met een volledig governance-platform voor het hele AI-portfolio. We adviseren welke variant past in de eerste werksessie.

Compact traject · vast sprintbudget

AI-systeemregister

Een centraal register van alle AI-systemen in uw organisatie: doel, dataset, modelversie, leverancier, eigenaar, risico-categorie en compliance-status. De startplek voor elke AI Act-implementatie en de query waar veel organisaties op zoeken — terecht, want zonder register weet u niet wat u onder de wet hebt.

Systeem-inventarisEigenaarschapVersiebeheerAudit-export
Middelgroot traject · vast sprintbudget

Compliance-dashboard met risico-flow

Bovenop het register: een werkbare risico-assessment-flow van projectstart tot decommissioning, classificatie naar onaanvaardbaar/hoog/beperkt/minimaal, en een dashboard waarop bestuur en compliance-officer in één oogopslag de status per systeem zien. Inclusief technische-file-vault en model-cards.

Risico-classificatieLifecycle-managementDocumentatie-vaultStatus-dashboard
Groter traject · vast sprintbudget

Volwaardig AI-governance-platform

Mission-critical platform met bias-monitoring, drift-detection, human-in-the-loop-workflows, incident-management, vendor-management voor third-party AI, en integraties met uw ML-stack (MLflow, SageMaker, Vertex AI, Azure ML). Geschikt voor organisaties met tientallen AI-systemen, gereguleerde sectoren of een uitgesproken board-level governance-vraag.

Bias & fairnessDrift-detectionVendor-riskML-stack-integraties

Wat u krijgt aan het einde.

Een productieklaar AI Act-platform, plus alles eromheen om uw compliance-team, uw AI-engineers en uw auditors zelfstandig te bedienen.

  • AI-systeemregister + classificatie-flowCentraal register met risico-categorisering volgens de AI Act, eigenaarschap per systeem en automatische trigger-events voor herclassificatie bij modelwijzigingen.
  • Documentatie-vaultVersie-beheerde opslag voor technische files, model-cards, data-sheets, DPIA's, FRIA's en risk-assessments — afgeleverd in het format dat toezichthouders verwachten.
  • Logging + audit-trailAantoonbare logging van model-runs, beslissingen, menselijke reviews en wijzigingen aan trainings-data, conform de AI Act-eis voor traceerbaarheid.
  • Bias- en drift-monitoringFairness-metrics per beschermde groep, drift-detection op feature- en outcome-niveau, en alerts voor uw data-science-team zodra een model uit de bandbreedte loopt.
  • Human-in-the-loop-workflowConfigureerbare review- en sign-off-flow voor beslissingen door hoog-risico-systemen, met SLA's, escalatie en volledige audit-log.
  • Incident- en vendor-managementRegistratie van serious incidents conform AI Act, leverancier-risicobeoordeling voor third-party AI, en post-market-monitoring per systeem.
  • Codebase, training en beheerVolledige source code, deploy-runbook, twee trainingssessies voor compliance- en data-science-teams, en een optioneel beheer-contract voor doorontwikkeling.

Wanneer AI Act-software de juiste investering is.

Vier situaties waarin we organisaties begeleiden — herkent u één van deze patronen, dan praten we graag verder over de aanpak.

Hoog-risico

U zet AI in op een hoog-risico-toepassing

Recruitment, kredietbeoordeling, onderwijs, kritieke infrastructuur, rechtshandhaving, biometrie, migratie of justitie. Onder de AI Act gelden hier de zwaarste verplichtingen — register, technische file, menselijk toezicht, CE-markering en EU-registratie.

Schaal

Uw AI-portfolio groeit voorbij spreadsheet-niveau

Eén of twee AI-systemen kunt u nog in een Excel beheren. Bij tien of meer wordt versiebeheer, data-governance en classificatie onbeheerbaar zonder een centraal systeem dat aansluit op uw ML-stack.

Toezicht

U valt onder een sectortoezichthouder

DNB, AFM, AP, ACM of de Inspectie Gezondheidszorg: zij gaan AI-systemen toetsen in samenhang met sectorale regels. Een aantoonbaar register en risicobeheer-systeem is dan praktisch een vereiste om aan een audit te overleven.

Bestuur

Uw RvB wil grip op AI-risico's

Bestuurders worden aansprakelijk gehouden voor AI-besluitvorming. Een dashboard met de actuele compliance-status per systeem maakt het mogelijk om die verantwoordelijkheid in te vullen zonder afhankelijk te zijn van mondelinge updates uit de data-science-afdeling.

Welke modules we typisch bouwen.

AI-systeemregister. Het hart van uw platform. Per AI-systeem leggen we doel, eigenaar, leverancier, datasets, modelversie, deploy-locatie, business-impact en risico-categorie vast. Dynamische velden afhankelijk van categorie — een hoog-risico-systeem vraagt om aanmerkelijk meer documentatie dan een minimaal-risico-chatbot. Het register is doorzoekbaar, exporteerbaar in audit-formaten en aansluitbaar op uw CMDB of MLflow-instantie.

Risico-assessment-flow. Een gestructureerde wizard die een nieuw AI-project van idee tot deployment begeleidt. Bij elke fase de juiste vragen, automatische classificatie naar onaanvaardbaar/hoog/beperkt/minimaal, en een gate-mechanisme dat voorkomt dat een systeem live gaat zonder afgeronde documentatie. Voor hoog-risico inclusief Fundamental Rights Impact Assessment (FRIA) volgens artikel 27.

Documentatie-vault. Versie-beheerde opslag voor technische files (artikel 11), data-sheets, model-cards, training-data-overzichten, evaluatie-rapporten en conformiteitsverklaringen. Templates voor de standaardformats die toezichthouders verwachten, met versie-geschiedenis en sign-off-flow per document.

Human-in-the-loop-module. Configureerbare review-workflows voor beslissingen door hoog-risico-systemen. Per use case bepaalt u welke beslissingen automatisch mogen, welke menselijk afgetekend worden en welke escaleren. Inclusief SLA-tracking, queue-management en volledige beslis-audit-log voor latere reconstructie.

Monitoring-laag. Drift-detection op input-features en output-distributies, fairness-metrics per beschermde groep, accuracy-tracking ten opzichte van benchmarks, en alerts voor uw data-science-team. We integreren met MLflow, SageMaker Model Monitor, Vertex AI Model Monitoring of een eigen pipeline — afhankelijk van uw stack.

Incident- en post-market-monitoring. Registratie van serious incidents conform de meldplicht onder de AI Act, root-cause-analyse, corrigerende maatregelen en rapportagestromen naar uw nationale toezichthouder. Voor doorlopende post-market-monitoring per systeem bouwen we het automatiseerbare deel; het juridische deel blijft bij uw compliance-team.

Vendor-management. Voor third-party AI-systemen — denk aan een gekochte recruitment-tool met AI-component, of een SaaS-leverancier die LLM's gebruikt — registreren we de leverancier, hun verklaringen, hun classificatie en de risico's voor uw organisatie. Bij contractverlenging triggert het platform een herbeoordeling.

Doelgroepen die we bedienen.

De AI Act raakt elke organisatie die AI inzet in de EU, maar de impact verschilt sterk per sector. Vier groepen waar we vaak mee werken.

Financiële sector

Banken, verzekeraars, asset managers

AI in kredietbeoordeling, fraude-detectie en levensverzekering-pricing valt vrijwel altijd onder hoog-risico. Bovendien overlapt met DORA (operationele weerbaarheid) en sectorale eisen van DNB en AFM. Wij koppelen AI Act-compliance aan uw bestaande risicomanagement zonder dubbele administratie.

HR & recruitment

Organisaties die AI inzetten in selectie

CV-screening, video-interview-analyse, skills-matching: deze toepassingen staan expliciet in bijlage III als hoog-risico. Dat geldt zowel voor uw eigen recruitment-tooling als voor de tools van uw leveranciers. Een register plus vendor-management is dan praktisch onmisbaar.

Publieke sector & healthcare

Overheid, onderwijs, zorg, kritieke infra

Vrijwel elke AI-toepassing in de publieke sector raakt aan hoog-risico-domeinen — onderwijsbeoordelingen, justitie, migratie, sociale voorzieningen, kritieke infrastructuur, en in de zorg de overlap met de MDR. Daarboven gelden vaak transparantie-eisen rond geautomatiseerde besluitvorming richting burgers.

Tech & scale-ups

Bedrijven die AI als kernproduct verkopen

Als u AI-functionaliteit aan andere bedrijven levert, bent u onder de AI Act vaak aanbieder en draagt u de zwaarste verplichtingen. Voor SaaS-bedrijven die richting enterprise-klanten verkopen wordt een aantoonbaar register en technische file inmiddels een sales-vereiste — uw klanten gaan ernaar vragen tijdens hun eigen audits.

Hoe een AI Act-traject loopt.

1

Kennismaking en AI-inventarisatie

We brengen samen in kaart welke AI-systemen u nu hebt of bouwt, welke leveranciers betrokken zijn, welke processen erop leunen, en waar de hoogste risico's zitten. Voor organisaties zonder bestaand register is dit vaak waar de echte verrassingen boven komen.

2

Workshop: scope, classificatie en governance

Een werksessie met uw compliance-officer, data-science-lead en business-owners. We mappen uw AI-systemen op de AI Act-categorieën, koppelen aan AVG-overlap, en bepalen welke modules in scope gaan voor de eerste release.

3

Bouw in sprints

Elke twee weken een werkende build. Eerst het register en de classificatie-flow, dan documentatie-vault en audit-log, daarna monitoring en human-in-the-loop. Uw team test mee, uw compliance-officer geeft feedback op de wet-conformiteit van elke module.

4

Uitrol, training en post-market-monitoring

Gefaseerd uitrollen per business-unit, training voor compliance- en engineering-teams, en doorlopend beheer voor security-patches, regelgevingsupdates en uitbreidingen. De AI Act blijft de komende jaren bewegen — uw platform moet meebewegen.

Veelgestelde vragen.

Wat organisaties meestal willen weten voor we beginnen aan een AI Act-implementatie.

Wanneer moet ons AI-systeem aan de AI Act voldoen?
De wet is sinds 1 augustus 2024 in werking. De verboden op onaanvaardbare AI gelden sinds februari 2025. GPAI-verplichtingen voor model-providers zijn vanaf augustus 2025 actief. De zware regels voor hoog-risico-AI worden gefaseerd ingevoerd tot augustus 2027. Voor de meeste organisaties betekent dat: nu beginnen met inventariseren en classificeren, niet wachten tot 2027.
Hoe weet ik of mijn AI-systeem hoog-risico is?
De AI Act somt expliciet de hoog-risico-domeinen op: kritieke infrastructuur, onderwijs en recruitment, kredietwaardigheid en levensverzekeringen, rechtshandhaving, migratie en grenscontrole, rechtspraak, en bepaalde biometrische toepassingen. Een risico-assessment in onze classificatie-flow vertaalt uw concrete use case naar de juiste categorie en bepaalt welke verplichtingen daarbij horen.
Wat is het verschil tussen GPAI-verplichtingen en hoog-risico-verplichtingen?
GPAI (General Purpose AI) verplichtingen gelden voor aanbieders van foundation models — OpenAI, Anthropic, Mistral, enzovoort. Zij moeten technische documentatie van het model leveren, copyright respecteren en energie-efficiency rapporteren; bij systemic-risk-modellen ook model-evaluation, red-teaming en serious-incident-reporting. Hoog-risico-verplichtingen gelden voor degene die zo'n model inzet in een gereguleerd domein als kritieke infrastructuur, recruitment, kredietbeoordeling of rechtshandhaving. U kunt prima tegelijk gebruiker zijn van een GPAI en aanbieder van een hoog-risico-AI-toepassing — dan stapelt u beide rollen op en moet uw platform die scheiding helder maken.
Welke verplichtingen gelden voor beperkt-risico-AI zoals chatbots?
Voor beperkt-risico-systemen — chatbots, deepfakes, AI-gegenereerde tekst en beeld — gelden vooral transparantie-eisen. Gebruikers moeten weten dat ze met een AI praten, content moet als AI-gegenereerd worden gelabeld, en deepfakes moeten worden gemarkeerd. Geen register-verplichting, geen technische file, maar wel duidelijke disclosure. In ons platform leggen we deze categorie ook vast — bijvoorbeeld voor de centrale lijst voor uw RvB — maar met minder zware documentatie-eisen dan hoog-risico-systemen.
Vervangt dit OneTrust, Holistic AI of vergelijkbare suites?
Niet noodzakelijk. Voor enterprise-organisaties met een bestaande GRC-stack bouwen we eerder een gespecialiseerde AI-laag die ernaast werkt: het ML-deel (data-governance, drift, fairness, model-versies) hoort bij ons, het juridische deel (policy-management, awareness) kan in de bestaande tool blijven. Voor organisaties zonder zware GRC-investering kan ons platform de centrale plek worden.
Hoe verhoudt de AI Act zich tot de AVG?
Veel overlap, maar geen vervanging. AVG gaat over persoonsgegevens, AI Act over AI-systemen — die kruisen elkaar als uw AI persoonsgegevens verwerkt. Praktisch betekent het dat een DPIA vaak nodig is naast een AI-risicobeoordeling, en dat een geautomatiseerd-besluit onder artikel 22 AVG vrijwel altijd ook onder de hoog-risico-regels van de AI Act valt. Ons platform koppelt beide processen.
Wat bepaalt de doorlooptijd en kosten?
Vooral: het aantal AI-systemen dat in het register moet, het volwassenheidsniveau van uw bestaande ML-stack, hoeveel data-bronnen voor monitoring aangesloten worden, en of u een gespecialiseerde laag bouwt of een volwaardig governance-platform. Een register voor één afdeling kan in een paar sprints werkend zijn; een organisatie-breed governance-platform is een traject van meerdere sprints. We geven na de inventarisatie een concrete planning.
Werken jullie samen met onze juristen en data-science-afdeling?
Vrijwel altijd. De AI Act zit op het snijvlak van jurisprudentie en techniek — we bouwen geen pagina die juristen niet snappen of techniek die de data-science-afdeling niet aansluit. Workshops bij scope-definitie, peer-reviews op de classificatie-flow, en kennisoverdracht in de laatste sprint zodat uw team het platform zelfstandig kan beheren.

Praat met ons over uw AI Act-compliance.

Een kennismaking van een half uur, vrijblijvend. We luisteren naar uw AI-portfolio, uw governance-vraag en uw deadlines, en geven richting over een platform dat aansluit. Verwante onderwerpen: DORA compliance-software, KYC/AML compliance-software en risicomanagement-software op maat. Voor automatisering rond AI-besluitvorming sluit het aan op AI-agents.

Edit Content