Art. 26.6 — Log-retentie: bewaar logs minimaal 6 maanden

Bijgewerkt: juni 2026 — volledige herziening naar Validai-kwaliteitsstandaard

Inleiding: logs als juridisch bewijs

Art. 26.6 EU AI Act verplicht deployers om de automatisch gegenereerde logs van hoog-risico AI-systemen te bewaren gedurende de door de provider gespecificeerde periode, met een wettelijk minimum van 6 maanden (tenzij andere regelgeving een langere termijn vereist). Logs zijn niet slechts technische artefacten — ze zijn de primaire bron van forensisch bewijs bij incidenten, audits en geschillen over AI-beslissingen.

De logverplichting raakt drie parallelle regelgevende kaders: de EU AI Act (Art. 26.6), de AVG (bewaarplicht en verwijderplicht van persoonsgegevens), en eventuele sectorspecifieke regelgeving (bijv. Wft voor financiële diensten). Deployers moeten alle drie in evenwicht houden.

Juridische context: Art. 26.6 en Art. 12

Art. 12 EU AI Act verplicht providers om hoog-risico AI-systemen te voorzien van logging-functionaliteit die automatisch relevante gebeurtenissen registreert. Art. 26.6 legt de bewaarverplichting bij de deployer. Beide zijn onlosmakelijk verbonden: als de provider geen adequate logging implementeert, kan de deployer Art. 26.6 niet naleven.

Considerans 72 stelt dat logs noodzakelijk zijn voor: (a) het nagaan of het systeem conform de instructies is ingezet, (b) het onderzoeken van incidenten, en (c) het faciliteren van toezicht door de ACM en de Europese AI Office.

Wat wordt gelogd?

Art. 12.1 vereist dat de logging-functionaliteit ten minste registreert:

• De datum en tijd van gebruik van het systeem
• De referentiedata waarop het systeem is geraadpleegd
• De inputdata (of een verwijzing daarnaar)
• De identiteit van de natuurlijke persoon die het systeem bedient
• De output van het systeem
• Gevallen waarbij de output door de toezichthouder is geverifieerd of overruled

Voor biometrische identificatiesystemen gelden aanvullende logeisen (Art. 12.2).

Bewaartermijnen: minimum vs. praktijk

Art. 26.6 stelt een minimum van 6 maanden, maar in de praktijk zijn langere termijnen de norm:

• Financiële diensten (Wft/DORA): 5-7 jaar voor beslissingslogboeken
• Gezondheidszorg (WGBO): 20 jaar voor medische dossiers, inclusief AI-beslissingen die deel uitmaken van de behandeling
• HR-beslissingen (arbeidsrecht): Minimaal de duur van de arbeidsrelatie plus de verjaringstermijn voor arbeidsrechtelijke claims (5 jaar)
• Publieke sector: Conform de Archiefwet, doorgaans 10-75 jaar afhankelijk van de beslissing

Neem de langste toepasselijke termijn. Bewaar logs dus niet 6 maanden als uw sectorwetgeving 5 jaar vereist.

Spanning met de AVG-bewaarprincipes

Hier zit de grootste praktische spanning. De AVG vereist minimale gegevensbewaring (Art. 5.1.e AVG: "opslagbeperking") — u mag persoonsgegevens niet langer bewaren dan noodzakelijk. De EU AI Act verplicht u juist om logs — die vrijwel altijd persoonsgegevens bevatten — minimaal 6 maanden te bewaren.

Oplossing: Pseudonimisering. Bewaar logs in gepseudonimiseerde vorm waarbij de koppeling met de betrokkene alleen te herstellen is via een afzonderlijk bewaard sleutelbestand. De logs blijven technisch bewaard voor AI Act-doeleinden, maar de privacyrisico's worden geminimaliseerd. Documenteer deze afweging in uw DPIA.

Technische opslagvereisten

De logs moeten zodanig worden opgeslagen dat:

• Integriteit gewaarborgd is — logs mogen niet achteraf worden gewijzigd
• Beschikbaarheid gegarandeerd is voor ACM-onderzoek
• Exporteerbaarheid mogelijk is voor externe audits
• Toegangsbeveiliging ongeautoriseerde inzage voorkomt

Audit-trail systemen waarbij INSERT-operaties de enige toegestane schrijfoperatie zijn (geen UPDATE/DELETE van historische records) zijn de best practice voor AI Act-conforme logopslag.

Deployer-specifieke implicaties

Bij cloudoplossingen: Als het AI-systeem in een cloud-omgeving draait, controleer dan of de cloudprovider de logs in de EU opslaat (AVG-vereiste) en of u als deployer de logs kunt exporteren en lokaal bewaren. U kunt de bewaarverplichting niet volledig uitbesteden — u blijft juridisch verantwoordelijk.

Bij systemen van meerdere providers: Als uw AI-toepassing gebruik maakt van meerdere sub-systemen (bijv. een GPAI-model via API), dient u de logs van elk sub-systeem afzonderlijk te bewaren. Controleer welke logs elke leverancier beschikbaar stelt.

Handhaving en sancties

Niet-naleving van Art. 26.6 valt onder Art. 99.4: boetes tot €15.000.000 of 3% van de wereldwijde jaaromzet. Bij een incident waarbij de deployer de relevante logs niet kan overleggen, is handhaving door de ACM vrijwel zeker.

Veelgestelde vragen

V: Onze AI-leverancier bewaart de logs zelf. Voldoet dat?
A: Nee, niet automatisch. Art. 26.6 legt de bewaarverplichting bij de deployer. U moet aantonen dat u zelf toegang heeft tot de logs en dat u de bewaartermijn kunt controleren. Leg dit contractueel vast: de provider moet u de logs overdragen bij beëindiging van de dienst.

V: Hoe lang precies na een incident moet ik de logs bewaren?
A: Bewaar logs in elk geval tot de verjaringstermijn voor aansprakelijkheidsclaims is verstreken (5 jaar in NL) en tot alle toezichtsprocedures zijn afgerond. Verwijder logs nooit gedurende een lopend ACM-onderzoek.

Checklist: Art. 26.6 compliance

1. Bewaart u de logs van elk hoog-risico AI-systeem minimaal 6 maanden (of langer indien sector-regelgeving dit vereist)?
2. Zijn de bewaartermijnen vastgelegd in uw retentiebeleid?
3. Zijn de logs opgeslagen in een systeem waarbij historische records niet kunnen worden gewijzigd?
4. Kunnen de logs worden geëxporteerd voor ACM-audits?
5. Zijn de logs beveiligd tegen ongeautoriseerde inzage?
6. Is de spanning tussen AI Act-bewaarplicht en AVG-opslagbeperking opgelost (bijv. via pseudonimisering)?
7. Heeft u contractueel geregeld dat u de logs kunt bewaren ook bij beëindiging van de leveranciersrelatie?