GovCompass
EN
AI governance
ReferenceAccountability

Art. 19 EU AI Act: het bewaren van de automatisch gegenereerde logs

Door GovCompass.ai· Laatst gecontroleerd juni 2026· Afgestemd op de geconsolideerde EU AI Act, inclusief de Omnibus-wijzigingen van 2026.

Art. 19 verplicht providers van hoog-risico AI-systemen om de logs die het systeem automatisch genereert (onder Art. 12) te bewaren zolang ze die onder controle hebben, voor een periode passend bij het beoogde doel en minimaal zes maanden, tenzij andere wetgeving een langere termijn vereist. Het is de bewaar-tegenhanger van de Art. 12-logging-capaciteit, en werkt naast de deployer-bewaarplicht in Art. 26.6.

Bijgewerkt: juni 2026

Dit is een expliciete provider-verplichting onder de EU AI Act. Het is de bewaarplicht van de provider voor de logs die hij beheert; de bijbehorende deployer-plicht staat in Art. 26.6.

Inleiding: de bewaar-helft van de logging-verplichting

Art. 12 vereist dat hoog-risicorisicoIn de termen van de EU AI Act de combinatie van de waarschijnlijkheid dat een schade optreedt en de ernst ervan als dat gebeurt. De schakel tussen een principe (via de schade die het zou schenden) en een control (de maatregel die het vermindert). Het benoemen van de schade en het inschatten van het risico is op grond van Art. 9 vereist voordat een maatregel wordt gekozen. Zie schade, control, restrisico.Open full entry → AI-systemen logs genereren. Art. 19 vereist dat die logs worden bewaard. De twee artikelen zijn helften van dezelfde controlcontrolDe concrete, toetsbare maatregel die een specifiek risico vermindert en daarmee het achterliggende principe beschermt. Ook wel risicobeheersmaatregel, risicorespons of risicobehandeling genoemd. Altijd herleidbaar tot het risico dat het adresseert: onder EU AI Act Art. 9 moet elke control terug te voeren zijn op een specifiek risico, en controls die los van hun risico's worden vastgelegd vormen een erkende compliance-fout. Het werkt in een van drie typen: preventief, detectief of correctief. Zie risico, control-typen, bewijs.Open full entry →: een logging-capaciteit die verslagen produceert die niemand bewaart, is even nutteloos als geen logging, en een bewaarplicht voor verslagen die nooit zijn gegenereerd, is betekenisloos. Samen gelezen zorgen ze dat wanneer een incident, een klacht of een audit zich voordoet, het bewijsbewijsHet concrete bewijs dat een control is ontworpen, geïmplementeerd en werkt: een testrapport, een audit trail, een impactassessment, een monitoringlog. Elke schakel in de governance-keten levert een artefact op, en samen zijn ze wat een organisatie overhandigt aan haar eigen bestuur, een toezichthouder, een klant of een betrokkene om te tonen, niet te zeggen, dat een systeem bestuurd is. De afwezigheid ervan is zelf het falen: een risicoregister zonder testresultaten, of een maatregel die wordt geclaimd zonder validatie, is een governance-gat, geen papierwerk-gat. De sluitende schakel van de governance-keten. Zie control, governance.Open full entry → van wat het systeem deed nog beschikbaar is.

Art. 19 legt de bewaarplicht bij de provider, voor de logs die onder de controle van de provider staan. De parallelle plicht voor deployers staat in Art. 26.6. Welke logs onder wiens controle vallen, hangt af van de inzet: in een cloud-gehost systeem bewaart de provider mogelijk veel van de operationele logging, terwijl in een on-premise inzet de deployer die houdt. De twee plichten zijn complementair, en de praktische taak is ervoor te zorgen dat tussen provider en deployer elke relevante log door iemand wordt bewaard.

Wat Art. 19 vereist

Providers moeten de automatisch gegenereerde logs als bedoeld in Art. 12 bewaren, voor zover die logs onder hun controle staan, gedurende een periode die passend is bij het beoogde doel van het hoog-risico AI-systeemAI-systeemEen machinaal systeem dat voor expliciete of impliciete doelen uit invoer afleidt hoe het uitvoer genereert, voorspellingen, inhoud, aanbevelingen of beslissingen, die fysieke of virtuele omgevingen kunnen beïnvloeden. De OESO-achtige definitie die de EU AI Act volgt. Zie algoritme, machine learning.Open full entry → en minimaal zes maanden, tenzij anders bepaald in toepasselijke wetgeving, in het bijzonder Unierecht inzake de bescherming van persoonsgegevens.

De zinsnede "passend bij het beoogde doel" doet ertoe: zes maanden is een ondergrens, geen plafond. Een systeem waarvan de beslissingen lang na dato kunnen worden aangevochten of onderzocht, zoals een systeem voor krediet of werkgelegenheid, kan een langere bewaartermijn rechtvaardigen zodat het bewijs zo lang blijft bestaan als de beslissing kan worden betwist. De provider stelt de periode vast op basis van een beredeneerd oordeel tegen het gebruiksgeval en documenteert die.

De wisselwerking met gegevensbescherming

Art. 19 bevat zijn eigen spanning met de AVG, dezelfde spanning die door Art. 26.6 loopt. De logs bevatten vaak persoonsgegevens, en de AVG vereist dat persoonsgegevens niet langer worden bewaard dan nodig. Art. 19 lost de spanning op door de uitzondering "tenzij anders bepaald in toepasselijke wetgeving, in het bijzonder Unierecht inzake de bescherming van persoonsgegevens": de bewaarplicht overschrijft gegevensbescherming niet, ze werkt erbinnen. In de praktijk betekent dit het pseudonimiseren van de persoonsgegevens in de logs waar mogelijk, zodat de traceerbaarheid die de logs bieden behouden blijft terwijl de privacy-blootstelling wordt verminderd.

Waarom het ertoe doet

Voor de provider is Art. 19 de verplichting die de rest van het verantwoordingskader over de tijd bewijsbaar maakt. De logs zijn de bewijsbasis om aan te tonen dat het systeem presteerde zoals gedocumenteerd, om een incident te onderzoeken, en om met een toezichthouder samen te werken. Een provider die logs genereert onder Art. 12 maar nalaat ze te bewaren onder Art. 19, heeft de capaciteit zonder het bewijs, wat hetzelfde is als geen van beide hebben wanneer maanden later een vraag opkomt.

Logbewaring besturen

De control is een bewaarschema dat, voor elk hoog-risico systeem, benoemt welke logs door de provider en welke door de deployer worden bewaard, voor hoe lang, en op welke basis de periode is gekozen. Het schema verzoent de zesmaandse ondergrens met het AVG-minimalisatiebeginsel via pseudonimiseringpseudonimiseringIdentificerende velden vervangen zodat data niet aan een persoon kan worden toegeschreven zonder afzonderlijke informatie, een minimalisatie- en beveiligingstechniek die data onder de AVG persoonsgegevens houdt. Zie dataminimalisatie.Open full entry →, en wordt herzien wanneer het systeem, het gebruik of de toepasselijke wetgeving verandert.

De provider en deployer bevestigen, idealiter in het contract, wie welke logs bewaart, zodat geen relevante log in een gat tussen de twee bewaarplichten valt. De bewaring zelf is beschermd tegen wijziging, omdat een bewaarde log die kan worden bewerkt zijn bewijsdoel niet dient.

Checklist

  1. Is er een bewaarschema dat de automatisch gegenereerde logs van elk hoog-risico systeem bestrijkt?
  2. Verdeelt het de bewaring tussen provider (Art. 19) en deployer (Art. 26.6) zodat geen relevante log onbewaard blijft?
  3. Is de bewaartermijn minimaal zes maanden, en langer waar het gebruiksgeval dat rechtvaardigt, met de periode gedocumenteerd?
  4. Is de bewaring verzoend met de AVG via pseudonimisering van persoonsgegevens in de logs?
  5. Zijn de bewaarde logs beschermd tegen wijziging?
  6. Is de verdeling van de bewaarplichten contractueel bevestigd tussen provider en deployer?
WetsverwijzingenArt. 12Art. 19Art. 26
Delen Deel op LinkedIn

Meer over Accountability

Art. 10 EU AI Act: data en datagovernance voor hoog-risico AI

Reference

Art. 10 vereist dat de trainings-, validatie- en testdata voor hoog-risico AI-systemen voldoet aan kwaliteitscriteria: relevant, voldoende representatief, en zo foutloos en volledig mogelijk voor het beoogde doel. Het vereist ook gedocumenteerde datagovernance over verzameling, voorbereiding, bias-onderzoek en het mitigeren van lacunes, en het staat de beperkte verwerking van bijzondere persoonsgegevens toe waar strikt noodzakelijk om bias te detecteren en corrigeren, onder waarborgen.

Art. 12 EU AI Act: registratie en logging voor hoog-risico AI

Reference

Art. 12 vereist dat hoog-risico AI-systemen technisch de automatische registratie van gebeurtenissen (logs) over hun levensduur mogelijk maken. De logging moet de traceerbaarheid van het functioneren van het systeem mogelijk maken op een niveau passend bij het beoogde doel, post-market monitoring ondersteunen, en helpen situaties te identificeren die tot risico of een substantiële wijziging kunnen leiden. Het is een ontwerpverplichting voor de provider die het systeem door constructie auditeerbaar maakt.

Art. 26.1, gebruik AI volgens de instructies van de aanbieder

Reference

Art. 26.1 EU AI Act verplicht deployers om hoog-risico AI-systemen uitsluitend in te zetten conform de gebruiksinstructies van de provider. De verplichting omvat drie componenten: het beschikken over de instructies (conform Art. 13.3), het actief naleven ervan, en het documenteren van dat naleven. Inzet buiten de instructies kan de aansprakelijkheid volledig naar de deployer verschuiven.

Art. 26.6, log-retentie: bewaar logs minimaal 6 maanden

Reference

Art. 26.6 verplicht deployers van hoog-risico AI om de door het systeem gegenereerde logs minimaal zes maanden te bewaren, tenzij andere wetgeving een langere termijn vereist. De logs zijn het primaire bewijs dat het systeem conform de instructies is ingezet.