GovCompass
Kennisbank
ReferenceAccountability

Art. 19 EU AI Act: het bewaren van de automatisch gegenereerde logs

Door Michel Venniker· · Afgestemd op de geconsolideerde EU AI Act, inclusief de Omnibus-wijzigingen van 2026.

Art. 19 verplicht providers van hoog-risico AI-systemen om de logs die het systeem automatisch genereert (onder Art. 12) te bewaren zolang ze die onder controle hebben, voor een periode passend bij het beoogde doel en minimaal zes maanden, tenzij andere wetgeving een langere termijn vereist. Het is de bewaar-tegenhanger van de Art. 12-logging-capaciteit, en werkt naast de deployer-bewaarplicht in Art. 26.6.

Bijgewerkt: juni 2026

Dit is een expliciete providerproviderThe actor who develops an AI system (or has it developed) and places it on the market or into service under its own name — carrying manufacturer-style duties: design controls, documentation, conformity.Open full entry →-verplichting onder de EU AI Act. Het is de bewaarplicht van de provider voor de logs die hij beheert; de bijbehorende deployerdeployerAn organization using an AI system under its own authority in its activities — carrying operator duties: use per instructions, oversight, input relevance, monitoring, notices.Open full entry →-plicht staat in Art. 26.6.

Inleiding: de bewaar-helft van de logging-verplichting

Art. 12 vereist dat hoog-risico AI-systemen logs genereren. Art. 19 vereist dat die logs worden bewaard. De twee artikelen zijn helften van dezelfde control: een logging-capaciteit die verslagen produceert die niemand bewaart, is even nutteloos als geen logging, en een bewaarplicht voor verslagen die nooit zijn gegenereerd, is betekenisloos. Samen gelezen zorgen ze dat wanneer een incident, een klacht of een audit zich voordoet, het bewijs van wat het systeem deed nog beschikbaar is.

Art. 19 legt de bewaarplicht bij de provider, voor de logs die onder de controle van de provider staan. De parallelle plicht voor deployers staat in Art. 26.6. Welke logs onder wiens controle vallen, hangt af van de inzet: in een cloud-gehost systeem bewaart de provider mogelijk veel van de operationele logging, terwijl in een on-premise inzet de deployer die houdt. De twee plichten zijn complementair, en de praktische taak is ervoor te zorgen dat tussen provider en deployer elke relevante log door iemand wordt bewaard.

Wat Art. 19 vereist

Providers moeten de automatisch gegenereerde logs als bedoeld in Art. 12 bewaren, voor zover die logs onder hun controle staan, gedurende een periode die passend is bij het beoogde doel van het hoog-risico AI-systeem en minimaal zes maanden, tenzij anders bepaald in toepasselijke wetgeving, in het bijzonder Unierecht inzake de bescherming van persoonsgegevens.

De zinsnede "passend bij het beoogde doel" doet ertoe: zes maanden is een ondergrens, geen plafond. Een systeem waarvan de beslissingen lang na dato kunnen worden aangevochten of onderzocht, zoals een systeem voor krediet of werkgelegenheid, kan een langere bewaartermijn rechtvaardigen zodat het bewijs zo lang blijft bestaan als de beslissing kan worden betwist. De provider stelt de periode vast op basis van een beredeneerd oordeel tegen het gebruiksgeval en documenteert die.

De wisselwerking met gegevensbescherming

Art. 19 bevat zijn eigen spanning met de AVG, dezelfde spanning die door Art. 26.6 loopt. De logs bevatten vaak persoonsgegevens, en de AVG vereist dat persoonsgegevens niet langer worden bewaard dan nodig. Art. 19 lost de spanning op door de uitzondering "tenzij anders bepaald in toepasselijke wetgeving, in het bijzonder Unierecht inzake de bescherming van persoonsgegevens": de bewaarplicht overschrijft gegevensbescherming niet, ze werkt erbinnen. In de praktijk betekent dit het pseudonimiseren van de persoonsgegevens in de logs waar mogelijk, zodat de traceerbaarheid die de logs bieden behouden blijft terwijl de privacy-blootstelling wordt verminderd.

Waarom het ertoe doet

Voor de provider is Art. 19 de verplichting die de rest van het verantwoordingskader over de tijd bewijsbaar maakt. De logs zijn de bewijsbasis om aan te tonen dat het systeem presteerde zoals gedocumenteerd, om een incident te onderzoeken, en om met een toezichthouder samen te werken. Een provider die logs genereert onder Art. 12 maar nalaat ze te bewaren onder Art. 19, heeft de capaciteit zonder het bewijs, wat hetzelfde is als geen van beide hebben wanneer maanden later een vraag opkomt.

Logbewaring besturen

De control is een bewaarschema dat, voor elk hoog-risico systeem, benoemt welke logs door de provider en welke door de deployer worden bewaard, voor hoe lang, en op welke basis de periode is gekozen. Het schema verzoent de zesmaandse ondergrens met het AVG-minimalisatiebeginsel via pseudonimisering, en wordt herzien wanneer het systeem, het gebruik of de toepasselijke wetgeving verandert.

De provider en deployer bevestigen, idealiter in het contract, wie welke logs bewaart, zodat geen relevante log in een gat tussen de twee bewaarplichten valt. De bewaring zelf is beschermd tegen wijziging, omdat een bewaarde log die kan worden bewerkt zijn bewijsdoel niet dient.

Checklist

  1. Is er een bewaarschema dat de automatisch gegenereerde logs van elk hoog-risico systeem bestrijkt?
  2. Verdeelt het de bewaring tussen provider (Art. 19) en deployer (Art. 26.6) zodat geen relevante log onbewaard blijft?
  3. Is de bewaartermijn minimaal zes maanden, en langer waar het gebruiksgeval dat rechtvaardigt, met de periode gedocumenteerd?
  4. Is de bewaring verzoend met de AVG via pseudonimisering van persoonsgegevens in de logs?
  5. Zijn de bewaarde logs beschermd tegen wijziging?
  6. Is de verdeling van de bewaarplichten contractueel bevestigd tussen provider en deployer?
WetsverwijzingenArt. 19Art. 12Art. 26

Meer over Accountability

Art. 10 EU AI Act: data en datagovernance voor hoog-risico AI

Reference

Art. 10 vereist dat de trainings-, validatie- en testdata voor hoog-risico AI-systemen voldoet aan kwaliteitscriteria: relevant, voldoende representatief, en zo foutloos en volledig mogelijk voor het beoogde doel. Het vereist ook gedocumenteerde datagovernance over verzameling, voorbereiding, bias-onderzoek en het mitigeren van lacunes, en het staat de beperkte verwerking van bijzondere persoonsgegevens toe waar strikt noodzakelijk om bias te detecteren en corrigeren, onder waarborgen.

Art. 12 EU AI Act: registratie en logging voor hoog-risico AI

Reference

Art. 12 vereist dat hoog-risico AI-systemen technisch de automatische registratie van gebeurtenissen (logs) over hun levensduur mogelijk maken. De logging moet de traceerbaarheid van het functioneren van het systeem mogelijk maken op een niveau passend bij het beoogde doel, post-market monitoring ondersteunen, en helpen situaties te identificeren die tot risico of een substantiële wijziging kunnen leiden. Het is een ontwerpverplichting voor de provider die het systeem door constructie auditeerbaar maakt.

Art. 26.1, gebruik AI volgens de instructies van de aanbieder

Reference

Art. 26.1 EU AI Act verplicht deployers om hoog-risico AI-systemen uitsluitend in te zetten conform de gebruiksinstructies van de provider. De verplichting omvat drie componenten: het beschikken over de instructies (conform Art. 13.3), het actief naleven ervan, en het documenteren van dat naleven. Inzet buiten de instructies kan de aansprakelijkheid volledig naar de deployer verschuiven.

Art. 26.6, log-retentie: bewaar logs minimaal 6 maanden

Reference

Art. 26.6 verplicht deployers van hoog-risico AI om de door het systeem gegenereerde logs minimaal zes maanden te bewaren, tenzij andere wetgeving een langere termijn vereist. De logs zijn het primaire bewijs dat het systeem conform de instructies is ingezet.