Art. 49, EU-database: registratie van hoog-risico AI

Bijgewerkt: juni 2026

Inleiding: publieke verantwoording als compliance-verplichting

Art. 49 EU AI Act verplicht tot registratie van hoog-risicorisicoIn de termen van de EU AI Act de combinatie van de waarschijnlijkheid dat een schade optreedt en de ernst ervan als dat gebeurt. De schakel tussen een principe (via de schade die het zou schenden) en een control (de maatregel die het vermindert). Het benoemen van de schade en het inschatten van het risico is op grond van Art. 9 vereist voordat een maatregel wordt gekozen. Zie schade, control, restrisico.Open full entry → AI-systemen in de EU AI Act-database, een publiek toegankelijk register dat toezichthouders, onderzoekers en het maatschappelijk middenveld inzicht geeft in welke hoog-risico AI-systemen in de EU worden ingezet. De registratieplicht is verdeeld over providers (verplicht vóór marktintroductie) en deployers (verplicht voor specifieke categorieën bij ingebruikname).

De database is operationeel via het EU AI Office en wordt beheerd door de Europese Commissie. Registraties zijn publiek doorzoekbaar op systeemdescriptie, risicoklasse, sector en geografisch bereik.

Juridische context: Art. 49 en Art. 71

Art. 71 regelt de technische opzet van de database. Art. 49 regelt de registratieplicht zelf. Beide zijn onlosmakelijk verbonden: Art. 49 beschrijft wat geregistreerd moet worden; Art. 71 beschrijft hoe de database is ingericht en wie er toegang toe heeft.

Overweging 114 benadrukt dat de database twee doelen dient: (1) markttoezicht, de toezichthouder en andere nationale autoriteiten kunnen snel zien welke systemen in hun jurisdictie worden ingezet, en (2) publieke verantwoordingverantwoordingHet principe dat een met naam genoemde mens of organisatie verantwoording aflegt voor de uitkomsten van een AI-systeem, via eigenaarschap, documentatie, audit trails en herstel, nooit het systeem zelf. Zie principe, bewijs.Open full entry →, burgers kunnen opzoeken of organisaties hoog-risico AI inzetten in beslissingen die hen aangaan.

Provider-registratie (Art. 49.1)

Providers zijn verplicht elk hoog-risico AI-systeemAI-systeemEen machinaal systeem dat voor expliciete of impliciete doelen uit invoer afleidt hoe het uitvoer genereert, voorspellingen, inhoud, aanbevelingen of beslissingen, die fysieke of virtuele omgevingen kunnen beïnvloeden. De OESO-achtige definitie die de EU AI Act volgt. Zie algoritme, machine learning.Open full entry → te registreren vóór het op de markt wordt gebracht of in gebruik wordt gesteld. De provider-registratie bevat:

• Naam, geregistreerd handelsmerk en contactgegevens van de provider
• Naam en versie van het AI-systeem
• Beschrijving van het beoogde doel, inclusief de doelgroep
• De risicoklasse (hoog-risico, classificatiegrondslag)
• ConformiteitsverklaringconformiteitsverklaringDe ondertekende verklaring van de aanbieder dat een hoog-risico-AI-systeem aan de eisen van de AI Act voldoet, opgesteld voordat het systeem op de markt wordt gebracht. Zie aanbieder, conformiteitsbeoordeling.Open full entry → of verwijzing daarnaar
• De gebruikte conformiteitsbeoordelingsprocedure
• Technische specificaties en samenvatting van de prestatiemetrieken
• Post-market monitoringpost-market monitoringDe plicht aan de aanbiederszijde om ervaring met systemen in gebruik systematisch te verzamelen en erop te handelen, de productregelgevingshelft van doorlopende monitoring. Zie doorlopende monitoring, aanbieder.Open full entry → plan samenvatting

Deployer-registratie (Art. 49.2 / Art. 26.8)

Deployers moeten aanvullend registreren bij ingebruikname van hoog-risico AI-systemen in de volgende categorieën (zie ook het Art. 26.8-artikel):

• Biometrische identificatie en categorisering
• Kritieke infrastructuur
• Toegang tot essentiële diensten (krediet, verzekering, sociale zekerheid)
• Rechtshandhaving
• Migratie en asiel
• Rechtsbedeling

De deployer-registratie omvat:

• Naam en contactgegevens van de deployer
• Verwijzing naar de provider-registratie van het systeem
• Beschrijving van het specifieke gebruik in de eigen context
• Geografisch bereik en duur van het gebruik
• Categorieën betrokkenenbetrokkenenDe individuen of groepen die onderworpen zijn aan of geraakt worden door de uitkomsten of beslissingen van een AI-systeem, en wier rechten het governance-regime beoogt te beschermen. Zie schade, belanghebbendenanalyse.Open full entry →
• Samenvatting van de FRIAFRIAFundamental Rights Impact Assessment, vereist van publieke organen en bepaalde private gebruiksverantwoordelijken voordat ze sommige hoog-risico-AI-systemen onder de EU AI Act gebruiken. Zie grondrechten-impactassessment, gebruiksverantwoordelijke.Open full entry →-bevindingen (indien FRIA verplicht)

Uitzonderingen op de registratieplicht

Art. 49.4 bevat een uitzondering voor hoog-risico AI-systemen in de context van nationale veiligheid, defensie of rechtshandhaving in specifieke geclassificeerde contexten. Nationale beveiligingsdiensten hoeven deze systemen niet openbaar te registreren.

Voor reguliere deployers is deze uitzondering niet van toepassing. Zelfs als uw systeem persoonsgegevens verwerkt die vertrouwelijk zijn, moet het systeem zelf worden geregistreerd (zonder de vertrouwelijke informatie).

Hoe werkt de registratie in de praktijk?

De database is toegankelijk via het EU AI Office-portaal. Het registratieproces:

1. Maak een EU Login-account aan (of gebruik een bestaand account)
2. Zoek het provider-record van het systeem dat u inzet
3. Voeg uw deployer-registratie toe aan het provider-record
4. Vul alle vereiste velden in (zie bovenstaande lijst)
5. Upload de FRIA-samenvatting (indien van toepassing)
6. Bevestig de registratie, u ontvangt een registratienummer

Bewaar het registratienummer in uw intern compliance-dossier. Het is uw bewijsbewijsHet concrete bewijs dat een control is ontworpen, geïmplementeerd en werkt: een testrapport, een audit trail, een impactassessment, een monitoringlog. Elke schakel in de governance-keten levert een artefact op, en samen zijn ze wat een organisatie overhandigt aan haar eigen bestuur, een toezichthouder, een klant of een betrokkene om te tonen, niet te zeggen, dat een systeem bestuurd is. De afwezigheid ervan is zelf het falen: een risicoregister zonder testresultaten, of een maatregel die wordt geclaimd zonder validatie, is een governance-gat, geen papierwerk-gat. De sluitende schakel van de governance-keten. Zie control, governance.Open full entry → van tijdige registratie.

Updates en archivering

Art. 49.5 verplicht providers en deployers om hun registraties bij te werken als de informatie wijzigt. Voor deployers geldt: bij uitbreiding van het gebruik, nieuwe doelgroepen, of gewijzigde FRIA-bevindingen moet de registratie worden bijgewerkt.

Na beëindiging van het gebruik van een hoog-risico AI-systeem moet de deployer dit in de database markeren als "buiten gebruik gesteld" met de einddatum.

Handhaving en sancties

Niet-registreren of onjuist registreren valt onder Art. 99.4: boetes tot €15.000.000 of 3% van de wereldwijde jaaromzet. De toezichthouder kan bij markttoezicht direct nagaan of een AI-systeem is geregistreerd.

Veelgestelde vragen

V: Wij zetten een intern ontwikkeld hoog-risico AI-systeem in. Wie registreert?
A: Als u het systeem zelf ontwikkelt én inzet, bent u zowel provider als deployer. U moet beide registraties uitvoeren: de provider-registratie vóór ingebruikname, en de deployer-registratie bij ingebruikname in uw eigen organisatie.

V: Het systeem van onze leverancier staat niet in de database. Wat nu?
A: De provider is verplicht het systeem te registreren vóór marktintroductie. Als het systeem niet is geregistreerd, is het niet conform de EU AI Act. Stel de provider in gebreke en gebruik het systeem niet totdat de registratie is voltooid.

Checklist: Art. 49 compliance

1. Is elk hoog-risico AI-systeem dat u inzet geregistreerd door de provider in de EU-database?
2. Heeft u zelf een deployer-registratie uitgevoerd voor systemen in de verplichte categorieën (Art. 26.8)?
3. Is de FRIA-samenvatting opgenomen in de deployer-registratie (indien verplicht)?
4. Bewaart u de registratienummers in uw intern compliance-dossier?
5. Is er een procedure voor het bijwerken van registraties bij materiële wijzigingen?
6. Worden registraties gemarkeerd als "buiten gebruik" bij beëindiging van het gebruik?