Art. 26.8 — Registratie: verifieer dat je AI in de EU-database staat

Bijgewerkt: juni 2026 — volledige herziening naar Validai-kwaliteitsstandaard

Inleiding: publieke verantwoording via de EU-database

Art. 26.8 EU AI Act verplicht bepaalde deployers om hun gebruik van hoog-risico AI-systemen te registreren in de Europese AI-database (Art. 71). Deze database is publiek toegankelijk en stelt toezichthouders, onderzoekers en het maatschappelijk middenveld in staat om te zien welke hoog-risico AI-systemen in Europa worden ingezet. Voor deployers is het een directe transparantieverplichting met een externe dimensie.

De registratieplicht voor deployers verschilt van die voor providers. Providers zijn verplicht om het systeem zelf te registreren vóór marktintroductie (Art. 49.1). Deployers hebben een aanvullende registratieplicht voor specifieke categorieën van gebruik (Art. 26.8 juncto Art. 49.2).

Wanneer geldt de deployer-registratieplicht?

Art. 26.8 koppelt de deployer-registratieplicht aan Art. 49.2, dat bepaalt dat deployers in de database moeten registreren wanneer zij hoog-risico AI-systemen inzetten in de context van:

• Biometrische identificatie en categorisering
• Kritieke infrastructuur (energie, water, vervoer, etc.)
• Toegang tot essentiële diensten (sociale uitkeringen, krediet, zorgverzekeringen)
• Rechtshandhaving
• Migratie en asiel
• Rechtsbedeling

Voor deployers in onderwijs, werkgelegenheid en veiligheidscomponenten van producten geldt de provider-registratie als afdoende — deployers in die sectoren hoeven zelf niet aanvullend te registreren tenzij nationale regelgeving dit vereist.

Wat valt er NIET onder: Hoog-risico AI-systemen die de provider al heeft geregistreerd en waarbij de deployer het systeem gebruikt conform de provider-specificaties voor hetzelfde gebruik als geregistreerd. Afwijkend gebruik of een wezenlijk gewijzigde context vraagt om aanvullende registratie.

Welke informatie moet worden geregistreerd?

Art. 49.2 vereist dat deployers registreren:

• Naam en contactgegevens van de deployer
• Een beschrijving van het gebruik (voor welk specifiek doel wordt het systeem ingezet)
• De categorie van betrokkenen (welke groepen worden door het systeem beoordeeld)
• Geografisch bereik (in welke lidstaten of regio's)
• Datum van ingebruikname
• Een samenvatting van de FRIA-bevindingen (Art. 27), als een FRIA is vereist

Hoe werkt de registratie in de praktijk?

De EU AI Act-database wordt beheerd door het Europees AI Bureau via het ECAT-portaal (EU Conformity Assessment Tool). De registratie vereist een EU Login-account. Voor Nederlandse deployers geldt:

1. Toegang via ec.europa.eu/eulogin (EU Login account)
2. Navigeer naar de AI Act-database module
3. Zoek het reeds geregistreerde systeem van uw provider (via het EU-conformiteitsnummer op de conformiteitsverklaring)
4. Voeg uw deployer-registratie toe aan het systeem-record
5. Vul de vereiste informatie in conform Art. 49.2
6. Upload een samenvatting van uw FRIA (indien van toepassing)

Na registratie ontvangt u een registratienummer dat u dient te bewaren voor uw intern compliance-dossier.

Timing van registratie

Art. 26.8 vereist registratie vóór ingebruikname van het hoog-risico AI-systeem. Dit is een voorwaarde voor rechtmatig gebruik — niet een formaliteit achteraf. De FRIA (Art. 27) moet ook vóór ingebruikname zijn uitgevoerd, zodat de samenvatting bij registratie beschikbaar is.

Deployer-specifieke implicaties

Koppeling aan FRIA: Als uw systeem een FRIA vereist (Art. 27), is de registratie en de FRIA-samenvatting onlosmakelijk verbonden. Voer de FRIA tijdig uit zodat u de resultaten bij registratie kunt meenemen.

Updates na registratie: Als uw gebruik van het systeem materieel wijzigt (nieuw doel, nieuwe doelgroep, geografische uitbreiding), moet u de registratie bijwerken. Houd uw registratie actueel.

Meerdere systemen: Bij organisaties die meerdere hoog-risico AI-systemen inzetten, is het aan te raden een intern register bij te houden van alle registraties inclusief registratienummers, ingebruiknamedatum en vervaldatum van eventuele validaties.

Handhaving en sancties

Niet-naleving van Art. 26.8 valt onder Art. 99.4: boetes tot €15.000.000 of 3% van de wereldwijde jaaromzet. Gebruik van een registratieplichtig hoog-risico AI-systeem zonder registratie is per definitie onrechtmatig.

Veelgestelde vragen

V: De provider zegt dat hij het systeem al heeft geregistreerd. Hoeven wij dan niets te doen?
A: De provider-registratie dekt het systeem zelf. Als Art. 26.8 van toepassing is op uw gebruik (zie de categorieën hierboven), moet u als deployer aanvullend registreren. Controleer in de database of uw specifieke gebruik-context al is gedekt door een bestaande registratie.

V: Onze FRIA is nog niet afgerond. Mogen we het systeem al gebruiken?
A: Nee. De FRIA moet zijn afgerond vóór ingebruikname, en de registratie — inclusief FRIA-samenvatting — moet vóór ingebruikname zijn gedaan. Gebruik het systeem niet zolang de FRIA niet is afgerond.

Checklist: Art. 26.8 compliance

1. Heeft u vastgesteld of uw hoog-risico AI-systeem onder de deployer-registratieplicht van Art. 26.8 valt?
2. Is uw registratie in de EU AI Act-database voltooid vóór ingebruikname?
3. Bevat de registratie alle vereiste informatie conform Art. 49.2?
4. Is de FRIA-samenvatting (indien vereist) opgenomen in de registratie?
5. Bewaart u het registratienummer in uw intern compliance-dossier?
6. Heeft u een procedure voor het bijwerken van de registratie bij materiële wijzigingen in het gebruik?