GovCompass
EN
AI governance
GuideAccountabilityHuman oversight

Oversight-logboek: hoe je menselijk toezicht documenteert

Door GovCompass.ai· Laatst gecontroleerd juni 2026· Afgestemd op de geconsolideerde EU AI Act, inclusief de Omnibus-wijzigingen van 2026.

Een oversight-logboek is het gelijktijdige verslag dat menselijk toezicht op een hoog-risico AI-systeem aantoont onder Art. 26.2 van de EU AI Act. Het legt per toezichtmoment vast wie de AI-output beoordeelde, wat de beslissing was en waarom, en moet minimaal zes maanden worden bewaard onder Art. 26.6.

Bijgewerkt: juni 2026

Inleiding: het toezichtlogboek als compliance-ruggengraat

Een toezichtlogboek, de combinatie van de AI-systeemgegenereerde logs (Art. 12) en uw eigen documentatie van menselijk toezichtmenselijk toezichtHet ingebouwde vermogen van een mens om een AI-systeem te monitoren, erin in te grijpen, het te overrulen of stil te leggen, alleen betekenisvol wanneer de mens de bevoegdheid, de informatie en de tijd heeft om te handelen. Zie principe, human-in-the-loop, human-on-the-loop.Open full entry → (Art. 26.2) en monitoring (Art. 26.5), is het primaire bewijsbewijsHet concrete bewijs dat een control is ontworpen, geïmplementeerd en werkt: een testrapport, een audit trail, een impactassessment, een monitoringlog. Elke schakel in de governance-keten levert een artefact op, en samen zijn ze wat een organisatie overhandigt aan haar eigen bestuur, een toezichthouder, een klant of een betrokkene om te tonen, niet te zeggen, dat een systeem bestuurd is. De afwezigheid ervan is zelf het falen: een risicoregister zonder testresultaten, of een maatregel die wordt geclaimd zonder validatie, is een governance-gat, geen papierwerk-gat. De sluitende schakel van de governance-keten. Zie control, governance.Open full entry → dat uw hoog-risicorisicoIn de termen van de EU AI Act de combinatie van de waarschijnlijkheid dat een schade optreedt en de ernst ervan als dat gebeurt. De schakel tussen een principe (via de schade die het zou schenden) en een control (de maatregel die het vermindert). Het benoemen van de schade en het inschatten van het risico is op grond van Art. 9 vereist voordat een maatregel wordt gekozen. Zie schade, control, restrisico.Open full entry → AI-systeemAI-systeemEen machinaal systeem dat voor expliciete of impliciete doelen uit invoer afleidt hoe het uitvoer genereert, voorspellingen, inhoud, aanbevelingen of beslissingen, die fysieke of virtuele omgevingen kunnen beïnvloeden. De OESO-achtige definitie die de EU AI Act volgt. Zie algoritme, machine learning.Open full entry → conform de EU AI Act wordt ingezet. Bij een audit door de toezichthouder, een incident-onderzoek of een rechtszaak is het toezichtlogboek uw eerste verdedigingslinie.

Deze gids beschrijft hoe u een effectief toezichtlogboek opbouwt dat voldoet aan de wettelijke minimumeisen en tegelijk praktisch bruikbaar is voor uw interne toezichthouders.

Benodigde voorkennis

U weet wat hoog-risico AI is en heeft of overweegt een hoog-risico AI-systeem te implementeren. U heeft de gebruiksinstructies van uw provider ontvangen, inclusief de beschrijving van de logging-functionaliteit die het systeem biedt (Art. 13.3).

Stap 1: begrijp de drie lagen van uw toezichtlogboek

Een volledig toezichtlogboek voor hoog-risico AI bestaat uit drie lagen die elk afzonderlijke wettelijke verplichtingen dekken:

Laag 1, Systeemlogs (Art. 12 + Art. 26.6): De automatisch door het AI-systeem gegenereerde logs. Deze registreren elk gebruik van het systeem: tijdstip, inputdata, output, gebruikersidentiteit, en gevallen van overschrijving. U bent verplicht deze logs minimaal 6 maanden te bewaren, langer bij sectorwetgeving.

Laag 2, Toezichtdocumentatie (Art. 26.2): Uw eigen registratie van het menselijk toezichtsproces. Dit omvat: welke beslissingen zijn beoordeeld, door wie, met welk resultaat (akkoord of overschrijving), en bij overschrijving: de reden. Deze laag is niet automatisch gegenereerd, u moet hem actief bijhouden.

Laag 3, Monitoringverslagen (Art. 26.5): Periodieke analyses van de prestaties van het AI-systeem. Vergelijking van prestatiemetrieken met normen, fairness-analyse per subgroep, signalering van drift. Frequentie: afhankelijk van het systeem, minimaal kwartaals voor hoog-volume systemen.

Stap 2: stel uw logboek-architectuur vast

Bepaal vóór implementatie hoe de drie lagen worden opgeslagen en hoe ze aan elkaar zijn gekoppeld:

Opslagvorm:

  • Gestructureerde database (aanbevolen voor hoog-volume systemen): elke beslissing is een record, doorzoekbaar en exporteerbaar
  • Spreadsheet/document (acceptabel voor laag-volume systemen): eenvoudiger maar minder schaalbaar
  • Combinatie: systeemlogs in database, toezichtdocumentatie en monitoringverslagen in document

Integriteitsborging:

  • Gebruik append-only opslag: nieuwe records worden toegevoegd, bestaande niet gewijzigd
  • Timestamp alle entries automatisch
  • Log de identiteit van de toezichthouder die een entry heeft aangemaakt
  • Bewaar een backup in een afzonderlijk systeem

Toegangsbeheer:

  • Lees-toegang: compliance officers, AI Officer, management
  • Schrijf-toegang: toezichthouders (voor hun eigen entries), systeem-administrator (voor correcties met dubbele autorisatie)
  • Geen schrijf-toegang voor de AI-systeemoperator zelf (voorkomt manipulatie)

Stap 3: definieer wat u vastlegt per beslissing

Voor elke individuele AI-beslissing die significante gevolgen heeft voor een betrokkene, legt u vast:

Minimale vastlegging per beslissing (Laag 1 + Laag 2):

  • Uniek beslissing-ID
  • Datum en tijd
  • Identiteit van de betrokkene (gepseudonimiseerd conform AVG)
  • Identiteit van de toezichthouder
  • AI-output (de score, classificatie of aanbeveling)
  • Definitieve beslissing (akkoord met AI / overschrijving)
  • Bij overschrijving: reden (vrije tekst, minimaal 1 zin)
  • Eventuele escalatie: ja/nee, naar wie

Aanvullende vastlegging bij hoog-impact beslissingen:

  • Referentie naar de inputdata die aan het systeem is aangeboden
  • Vertrouwensscore van het systeem (indien beschikbaar)
  • Aanvullende informatie die de toezichthouder bij de beoordeling heeft betrokken

Stap 4: stel een monitoringprotocol op

Naast de per-beslissing vastlegging heeft u een periodiek monitoringprotocol nodig:

Wekelijkse controle (hoog-volume systemen):

  • Overschrijvingspercentage deze week vs. vorige weken (trend)
  • Afwijkende vertrouwensscores gesignaleerd?
  • Klachten van betrokkenenbetrokkenenDe individuen of groepen die onderworpen zijn aan of geraakt worden door de uitkomsten of beslissingen van een AI-systeem, en wier rechten het governance-regime beoogt te beschermen. Zie schade, belanghebbendenanalyse.Open full entry → ontvangen?

Maandelijkse analyse:

  • Vergelijking prestatiemetrieken met provider-normen
  • Fairness-analyse: zijn er demografische subgroepen die disproportioneel worden geraakt?
  • Review van alle overschrijvingen: zijn er patronen?

Kwartaalverslag:

  • Samenvatting van alle monitoringbevindingen
  • Geïdentificeerde risico's en getroffen maatregelen
  • Aanbevelingen voor de provider (indien relevant)
  • Goedkeuring door de AI Officer

Stap 5: voorbereiding op een audit door de toezichthouder

Een audit door de toezichthouder naar uw hoog-risico AI-gebruik zal focussen op:

  1. Bestaat het logboek? Is het volledig en integer?
  2. Zijn de bewaartermijnen nageleefd?
  3. Is menselijk toezicht meer dan formeel (overschrijvingspercentage >0%)?
  4. Zijn monitoringbevindingen gedocumenteerd en opgevolgd?
  5. Zijn incidenten tijdig gemeld (Art. 73)?

Zorg dat u bij een audit direct kunt overleggen: de systeemlogs van de afgelopen 6 maanden (exporteerbaar), het toezichtprotocol, de trainingsrecords van toezichthouders (Art. 4), en de laatste kwartaalverslagen.

Veelgestelde vragen

V: Onze toezichthouder beoordeelt 200 AI-beslissingen per dag. Moeten we alles loggen?
A: Ja, als het hoog-risico AI betreft met beslissingen die significante gevolgen hebben voor betrokkenen. Overweeg een geautomatiseerd logging-systeem dat de toezichthouder alleen acties laat registreren (akkoord/overschrijving) terwijl de rest automatisch wordt vastgelegd. 200 beslissingen per dag is ook een signaal dat de werkdruk toezichthouder-kwaliteit ondermijnt (zie Art. 26.2).

V: Hoe lang moet ik het logboek bewaren als ik het AI-systeem niet meer gebruik?
A: Bewaar het logboek minimaal tot de verjaringstermijn voor aansprakelijkheidsclaims is verstreken (5 jaar in NL) en tot eventuele toezichtsprocedures zijn afgerond. Verwijder nooit logs gedurende een lopend onderzoek door de toezichthouder.

Samenvatting

Een effectief toezichtlogboek is geen bureaucratisch last, het is het instrument dat aantoont dat u uw AI-systemen verantwoord beheert. Bouw het vanaf dag 1 van de implementatie, houd het proportioneel aan het risico van het systeem, en zorg dat de drie lagen (systeemlogs, toezichtdocumentatie, monitoringverslagen) consistent aan elkaar zijn gekoppeld.

WetsverwijzingenArt. 26.2Art. 26.6
Delen Deel op LinkedIn

Meer over Accountability

Art. 10 EU AI Act: data en datagovernance voor hoog-risico AI

Reference

Art. 10 vereist dat de trainings-, validatie- en testdata voor hoog-risico AI-systemen voldoet aan kwaliteitscriteria: relevant, voldoende representatief, en zo foutloos en volledig mogelijk voor het beoogde doel. Het vereist ook gedocumenteerde datagovernance over verzameling, voorbereiding, bias-onderzoek en het mitigeren van lacunes, en het staat de beperkte verwerking van bijzondere persoonsgegevens toe waar strikt noodzakelijk om bias te detecteren en corrigeren, onder waarborgen.

Art. 12 EU AI Act: registratie en logging voor hoog-risico AI

Reference

Art. 12 vereist dat hoog-risico AI-systemen technisch de automatische registratie van gebeurtenissen (logs) over hun levensduur mogelijk maken. De logging moet de traceerbaarheid van het functioneren van het systeem mogelijk maken op een niveau passend bij het beoogde doel, post-market monitoring ondersteunen, en helpen situaties te identificeren die tot risico of een substantiële wijziging kunnen leiden. Het is een ontwerpverplichting voor de provider die het systeem door constructie auditeerbaar maakt.

Art. 19 EU AI Act: het bewaren van de automatisch gegenereerde logs

Reference

Art. 19 verplicht providers van hoog-risico AI-systemen om de logs die het systeem automatisch genereert (onder Art. 12) te bewaren zolang ze die onder controle hebben, voor een periode passend bij het beoogde doel en minimaal zes maanden, tenzij andere wetgeving een langere termijn vereist. Het is de bewaar-tegenhanger van de Art. 12-logging-capaciteit, en werkt naast de deployer-bewaarplicht in Art. 26.6.

Art. 26.1, gebruik AI volgens de instructies van de aanbieder

Reference

Art. 26.1 EU AI Act verplicht deployers om hoog-risico AI-systemen uitsluitend in te zetten conform de gebruiksinstructies van de provider. De verplichting omvat drie componenten: het beschikken over de instructies (conform Art. 13.3), het actief naleven ervan, en het documenteren van dat naleven. Inzet buiten de instructies kan de aansprakelijkheid volledig naar de deployer verschuiven.

Meer over Human oversight

Art. 14 EU AI Act: hoog-risico AI ontwerpen voor menselijk toezicht

Reference

Art. 14 vereist dat providers hoog-risico AI-systemen zo ontwerpen en bouwen dat ze tijdens gebruik effectief door mensen kunnen worden overzien. Het systeem moet een toezichthouder in staat stellen de mogelijkheden en grenzen te begrijpen, op afwijkingen te letten, automation bias te weerstaan, outputs juist te interpreteren, te besluiten het systeem niet te gebruiken, en in te grijpen of het te stoppen via een noodstop (Art. 14(4)(e)). Het is de ontwerpverplichting die de deployer-toezichtsplicht van Art. 26.2 mogelijk maakt.

Art. 26.2, menselijk toezicht: wijs competente mensen aan

Reference

Art. 26.2 EU AI Act verplicht deployers om het menselijk toezicht te implementeren dat de provider heeft voorzien (Art. 14). Het toezicht is alleen geldig als de toezichthouder voldoende AI-geletterd is (Art. 4), de bevoegdheid heeft om de AI-output te overrulen, en niet zo overbelast is dat de beoordeling louter routinematig wordt. Formeel toezicht zonder inhoudelijke beoordeling voldoet niet.

Art. 27, FRIA: Fundamental Rights Impact Assessment

Reference

Art. 27 verplicht bepaalde deployers, publieke instanties en private deployers in afgebakende sectoren zoals krediet en verzekeringen, om vóór de inzet van een hoog-risico AI-systeem een Fundamental Rights Impact Assessment (FRIA) uit te voeren, die de impact op grondrechten en de mitigerende maatregelen onderzoekt.

Art. 4, AI literacy: zorg dat je team AI begrijpt

Reference

Art. 4 verplicht organisaties sinds 2 februari 2025 om te zorgen voor een voldoende niveau van AI-geletterdheid bij medewerkers die AI-systemen bedienen of gebruiken, in verhouding tot het systeem en de rol. De verplichting geldt voor alle AI-inzet, niet alleen hoog-risico, en moet aantoonbaar zijn.