← Journal
FR EN NL

De AI Act: wat een kmo moet documenteren voor de uitrol van een AI-agent

Documentatie is geen papierwerk dat je er achteraf bijplakt — ze maakt deel uit van de uitrol.

AI-agents verlaten de experimenteerfase en komen terecht in het dagelijkse werk: ze beantwoorden oproepen, lezen documenten, classificeren kandidaten, bereiden acties voor. Voor een kmo is dat een echte kans — maar zodra een agent een echt proces raakt, krijgt de onderneming verantwoordelijkheden. De Europese AI-verordening (AI Act) is een risicogebaseerd kader, en ze legt verplichtingen op aan gebruiksverantwoordelijken, niet alleen aan aanbieders. Het goede nieuws: het essentiële kan vooraf worden gedocumenteerd, voor de lancering, niet na het eerste probleem. Dit is wat een kmo moet vastleggen voordat een AI-agent echte data, gebruikers of beslissingen raakt.

De AI Act is risicogebaseerd

Dezelfde technologie brengt niet dezelfde verplichtingen mee bij elke use case. Een tool die vergadernotities samenvat, is iets heel anders dan een systeem dat wordt gebruikt bij werving, HR, in een medische context of voor de veiligheid van personen. Dat is de kernlogica van de verordening: hoe hoger de impact van een systeem op een persoon, hoe sterker de verplichtingen inzake transparantie, documentatie en toezicht. De eerste stap is dus niet een tool kopen. Het is de use case documenteren — want de use case, niet de technologie, bepaalt welke verplichtingen gelden.

Documenteer de use case

Een vage use case ("we willen een AI-assistent") wordt een risicovolle use case. Ze moet duidelijk worden vastgelegd: welk probleem de agent oplost, in welke workflow hij past, wie hem gebruikt, wie geraakt wordt door zijn output, welke data hij ziet, welk resultaat hij produceert, wat menselijk blijft, en wat hij nooit mag doen. Ze moet ook bepalen hoe succes wordt gemeten. Dit document past op één pagina, maar het is wat een algemeen idee omzet in een reikwijdte die je kunt beoordelen, controleren en afbakenen.

Classificeer het risico, ook standaard

De volgende vraag is direct: kan deze use case een hoog risico inhouden? Raakt hij aan personen, werk, gezondheid, veiligheid, financiën of toegang tot diensten? Gebruik met hoge impact vraagt om sterkere controles — en dat is normaal. Maar zelfs wanneer je besluit dat een gebruik geen hoog risico inhoudt, moet die redenering worden vastgelegd. Een uitgesproken, gedateerde en onderbouwde classificatie is veel meer waard dan stilzwijgen: ze toont dat de vraag is gesteld, en ze wordt een referentiepunt als het gebruik later naar gevoeliger terrein verschuift.

Inventariseer de echte data

"Interne documenten" is geen inventaris. Lijst de echte bronnen op: welke datacategorieën, wie de eigenaar is, welke permissies gelden, welke bewaartermijn, en vooral of er persoonsgegevens of gevoelige data bij betrokken zijn. Je moet ook weten of die data de onderneming verlaat, via servers van derden passeert of wordt gebruikt om modellen te trainen. GDPR-verplichtingen verdwijnen niet omdat er AI in het spel is: doel, rechtsgrond, minimalisatie en bewaring blijven gelden. Een precieze inventaris is wat je later toelaat om exact te zeggen wat de agent heeft kunnen zien.

Engagementen van de leverancier op papier

Marketingbeloftes volstaan niet — wat telt, is het contract. Waar wordt de data gehost? Wie zijn de subverwerkers? Wordt de data gebruikt om modellen te trainen? Hoe lang wordt ze bewaard, hoe wordt ze verwijderd, en hoe kan ze worden geëxporteerd? Is er een verwerkersovereenkomst (DPA) en zijn er beveiligingsgaranties? En wat gebeurt er met de toegang tot data na het einde van het contract? Een kmo die een agent op echte data inzet, heeft schriftelijke, verifieerbare antwoorden nodig. Als een leverancier zich daar niet contractueel toe kan verbinden, is dat al informatie.

Toezicht, toegangscontrole en transparantie

Drie waarborgen worden voor de lancering beslist. Eerst het menselijk toezicht: wie beoordeelt de output van de agent, en welke output vereist goedkeuring voor gebruik? Vervolgens de toegangscontrole: de agent mag alleen antwoorden op basis van data die de gebruiker mag inzien, zodat een medewerker niet onrechtstreeks verkrijgt wat hij zelf niet zou kunnen openen. Ten slotte de transparantie: mensen die met een AI-systeem interageren, moeten daarvan op de hoogte zijn. Deze regels vertragen de agent niet — ze maken hem bruikbaar binnen een echt kader.

Logging, opvolging en incidenten

Een agent die in het dagelijkse werk terechtkomt, moet een spoor nalaten. Bewaar gepaste logs, bepaal wie de kwaliteit van de antwoorden controleert, hoe fouten worden behandeld, hoe een ernstig incident wordt geëscaleerd, en wanneer het systeem wordt gepauzeerd. Zonder die opvolging ontdekt een kmo problemen pas wanneer ze van buitenaf zichtbaar zijn geworden. Mét die opvolging kan de onderneming uitleggen wat de agent heeft gedaan, corrigeren wat gecorrigeerd moet worden, en aantonen dat ze de controle behoudt.

Waar BeLogic past

Bij BeLogic helpen we kmo's om AI-agents uit te rollen met praktische governance van bij de start: een duidelijke use case, goedgekeurde databronnen, een vastgelegde menselijke controle, toegangscontrole, zicht op de bronnen, plus logging en opvolging. We leveren ook een eenvoudig documentatiepakket dat het project situeert ten opzichte van de GDPR en de AI Act, en we helpen klanten om toegang te krijgen tot regionale AI-subsidies. Het doel is eenvoudig: een AI-agent moet in het dagelijkse werk terechtkomen als een gecontroleerd proces, niet als een experiment zonder enig spoor.