GovCompass
Kennisbank
ReferenceAccountability

Art. 26.6, log-retentie: bewaar logs minimaal 6 maanden

Door Michel Venniker· · Afgestemd op de geconsolideerde EU AI Act, inclusief de Omnibus-wijzigingen van 2026.

Art. 26.6 verplicht deployers van hoog-risico AI om de door het systeem gegenereerde logs minimaal zes maanden te bewaren, tenzij andere wetgeving een langere termijn vereist. De logs zijn het primaire bewijs dat het systeem conform de instructies is ingezet.

Bijgewerkt: juni 2026

Inleiding: logs als juridisch bewijs

Art. 26.6 EU AI Act verplicht deployers om de automatisch gegenereerde logs van hoog-risico AI-systemen te bewaren gedurende de door de providerproviderThe actor who develops an AI system (or has it developed) and places it on the market or into service under its own name — carrying manufacturer-style duties: design controls, documentation, conformity.Open full entry → gespecificeerde periode, met een wettelijk minimum van 6 maanden (tenzij andere regelgeving een langere termijn vereist). Logs zijn niet slechts technische artefacten, ze zijn de primaire bron van forensisch bewijs bij incidenten, audits en geschillen over AI-beslissingen.

De logverplichting raakt drie parallelle regelgevende kaders: de EU AI Act (Art. 26.6), de AVG (bewaarplicht en verwijderplicht van persoonsgegevens), en eventuele sectorspecifieke regelgeving (bijv. Wft voor financiële diensten). Deployers moeten alle drie in evenwicht houden.

Juridische context: Art. 26.6 en Art. 12

Art. 12 EU AI Act verplicht providers om hoog-risico AI-systemen te voorzien van logging-functionaliteit die automatisch relevante gebeurtenissen registreert. Art. 26.6 legt de bewaarverplichting bij de deployerdeployerAn organization using an AI system under its own authority in its activities — carrying operator duties: use per instructions, oversight, input relevance, monitoring, notices.Open full entry →. Beide zijn onlosmakelijk verbonden: als de provider geen adequate logging implementeert, kan de deployer Art. 26.6 niet naleven.

Overweging 72 stelt dat logs noodzakelijk zijn voor: (a) het nagaan of het systeem conform de instructies is ingezet, (b) het onderzoeken van incidenten, en (c) het faciliteren van toezicht door de bevoegde toezichthouder en het Europees AI Bureau.

Wat wordt gelogd?

Art. 12.1 vereist dat de logging-functionaliteit ten minste registreert:

  • De datum en tijd van gebruik van het systeem
  • De referentiedata waarop het systeem is geraadpleegd
  • De inputdata (of een verwijzing daarnaar)
  • De identiteit van de natuurlijke persoon die het systeem bedient
  • De output van het systeem
  • Gevallen waarbij de output door de toezichthouder is geverifieerd of overruled

Voor biometrische identificatiesystemen gelden aanvullende logeisen (Art. 12.2).

Bewaartermijnen: minimum vs. praktijk

Art. 26.6 stelt een minimum van 6 maanden, maar in de praktijk zijn langere termijnen de norm:

  • Financiële diensten (Wft/DORA): 5-7 jaar voor beslissingslogboeken
  • Gezondheidszorg (WGBO): 20 jaar voor medische dossiers, inclusief AI-beslissingen die deel uitmaken van de behandeling
  • HR-beslissingen (arbeidsrecht): Minimaal de duur van de arbeidsrelatie plus de verjaringstermijn voor arbeidsrechtelijke claims (5 jaar)
  • Publieke sector: Conform de Archiefwet, doorgaans 10-75 jaar afhankelijk van de beslissing

Neem de langste toepasselijke termijn. Bewaar logs dus niet 6 maanden als uw sectorwetgeving 5 jaar vereist.

Spanning met de AVG-bewaarprincipes

Hier zit de grootste praktische spanning. De AVG vereist minimale gegevensbewaring (Art. 5.1.e AVG: "opslagbeperking"), u mag persoonsgegevens niet langer bewaren dan noodzakelijk. De EU AI Act verplicht u juist om logs, die vrijwel altijd persoonsgegevens bevatten, minimaal 6 maanden te bewaren.

Oplossing: Pseudonimisering. Bewaar logs in gepseudonimiseerde vorm waarbij de koppeling met de betrokkene alleen te herstellen is via een afzonderlijk bewaard sleutelbestand. De logs blijven technisch bewaard voor AI Act-doeleinden, maar de privacyrisico's worden geminimaliseerd. Documenteer deze afweging in uw DPIADPIAData Protection Impact Assessment — required before likely-high-risk processing (systematic profiling with significant effects, large-scale special categories, public monitoring); AI development triggers it constantly.Open full entry →.

Technische opslagvereisten

De logs moeten zodanig worden opgeslagen dat:

  • Integriteit gewaarborgd is, logs mogen niet achteraf worden gewijzigd
  • Beschikbaarheid gegarandeerd is voor onderzoek door de toezichthouder
  • Exporteerbaarheid mogelijk is voor externe audits
  • Toegangsbeveiliging ongeautoriseerde inzage voorkomt

Audit-trail systemen waarbij INSERT-operaties de enige toegestane schrijfoperatie zijn (geen UPDATE/DELETE van historische records) zijn de best practice voor AI Act-conforme logopslag.

Deployer-specifieke implicaties

Bij cloudoplossingen: Als het AI-systeem in een cloud-omgeving draait, controleer dan of de cloudprovider de logs in de EU opslaat (AVG-vereiste) en of u als deployer de logs kunt exporteren en lokaal bewaren. U kunt de bewaarverplichting niet volledig uitbesteden, u blijft juridisch verantwoordelijk.

Bij systemen van meerdere providers: Als uw AI-toepassing gebruik maakt van meerdere sub-systemen (bijv. een GPAI-model via API), dient u de logs van elk sub-systeem afzonderlijk te bewaren. Controleer welke logs elke leverancier beschikbaar stelt.

Handhaving en sancties

Niet-naleving van Art. 26.6 valt onder Art. 99.4: boetes tot €15.000.000 of 3% van de wereldwijde jaaromzet. Bij een incident waarbij de deployer de relevante logs niet kan overleggen, is handhaving door de toezichthouder vrijwel zeker.

Veelgestelde vragen

V: Onze AI-leverancier bewaart de logs zelf. Voldoet dat?
A: Nee, niet automatisch. Art. 26.6 legt de bewaarverplichting bij de deployer. U moet aantonen dat u zelf toegang heeft tot de logs en dat u de bewaartermijn kunt controleren. Leg dit contractueel vast: de provider moet u de logs overdragen bij beëindiging van de dienst.

V: Hoe lang precies na een incident moet ik de logs bewaren?
A: Bewaar logs in elk geval tot de verjaringstermijn voor aansprakelijkheidsclaims is verstreken (5 jaar in NL) en tot alle toezichtsprocedures zijn afgerond. Verwijder logs nooit gedurende een lopend onderzoek door de toezichthouder.

Checklist: Art. 26.6 compliance

  1. Bewaart u de logs van elk hoog-risico AI-systeem minimaal 6 maanden (of langer indien sector-regelgeving dit vereist)?
  2. Zijn de bewaartermijnen vastgelegd in uw retentiebeleid?
  3. Zijn de logs opgeslagen in een systeem waarbij historische records niet kunnen worden gewijzigd?
  4. Kunnen de logs worden geëxporteerd voor audits door de toezichthouder?
  5. Zijn de logs beveiligd tegen ongeautoriseerde inzage?
  6. Is de spanning tussen AI Act-bewaarplicht en AVG-opslagbeperking opgelost (bijv. via pseudonimisering)?
  7. Heeft u contractueel geregeld dat u de logs kunt bewaren ook bij beëindiging van de leveranciersrelatie?
WetsverwijzingenArt. 26

Meer over Accountability

Art. 10 EU AI Act: data en datagovernance voor hoog-risico AI

Reference

Art. 10 vereist dat de trainings-, validatie- en testdata voor hoog-risico AI-systemen voldoet aan kwaliteitscriteria: relevant, voldoende representatief, en zo foutloos en volledig mogelijk voor het beoogde doel. Het vereist ook gedocumenteerde datagovernance over verzameling, voorbereiding, bias-onderzoek en het mitigeren van lacunes, en het staat de beperkte verwerking van bijzondere persoonsgegevens toe waar strikt noodzakelijk om bias te detecteren en corrigeren, onder waarborgen.

Art. 12 EU AI Act: registratie en logging voor hoog-risico AI

Reference

Art. 12 vereist dat hoog-risico AI-systemen technisch de automatische registratie van gebeurtenissen (logs) over hun levensduur mogelijk maken. De logging moet de traceerbaarheid van het functioneren van het systeem mogelijk maken op een niveau passend bij het beoogde doel, post-market monitoring ondersteunen, en helpen situaties te identificeren die tot risico of een substantiële wijziging kunnen leiden. Het is een ontwerpverplichting voor de provider die het systeem door constructie auditeerbaar maakt.

Art. 19 EU AI Act: het bewaren van de automatisch gegenereerde logs

Reference

Art. 19 verplicht providers van hoog-risico AI-systemen om de logs die het systeem automatisch genereert (onder Art. 12) te bewaren zolang ze die onder controle hebben, voor een periode passend bij het beoogde doel en minimaal zes maanden, tenzij andere wetgeving een langere termijn vereist. Het is de bewaar-tegenhanger van de Art. 12-logging-capaciteit, en werkt naast de deployer-bewaarplicht in Art. 26.6.

Art. 26.1, gebruik AI volgens de instructies van de aanbieder

Reference

Art. 26.1 EU AI Act verplicht deployers om hoog-risico AI-systemen uitsluitend in te zetten conform de gebruiksinstructies van de provider. De verplichting omvat drie componenten: het beschikken over de instructies (conform Art. 13.3), het actief naleven ervan, en het documenteren van dat naleven. Inzet buiten de instructies kan de aansprakelijkheid volledig naar de deployer verschuiven.