Art. 49, EU-database: registratie van hoog-risico AI

Bijgewerkt: juni 2026

Inleiding: publieke verantwoording als compliance-verplichting

Art. 49 EU AI Act verplicht tot registratie van hoog-risico AI-systemen in de EU AI Act-database, een publiek toegankelijk register dat toezichthouders, onderzoekers en het maatschappelijk middenveld inzicht geeft in welke hoog-risico AI-systemen in de EU worden ingezet. De registratieplicht is verdeeld over providers (verplicht vóór marktintroductie) en deployers (verplicht voor specifieke categorieën bij ingebruikname).

De database is operationeel via het EU AI Office en wordt beheerd door de Europese Commissie. Registraties zijn publiek doorzoekbaar op systeemdescriptie, risicoklasse, sector en geografisch bereik.

Juridische context: Art. 49 en Art. 71

Art. 71 regelt de technische opzet van de database. Art. 49 regelt de registratieplicht zelf. Beide zijn onlosmakelijk verbonden: Art. 49 beschrijft wat geregistreerd moet worden; Art. 71 beschrijft hoe de database is ingericht en wie er toegang toe heeft.

Overweging 114 benadrukt dat de database twee doelen dient: (1) markttoezicht, de toezichthouder en andere nationale autoriteiten kunnen snel zien welke systemen in hun jurisdictie worden ingezet, en (2) publieke verantwoording, burgers kunnen opzoeken of organisaties hoog-risico AI inzetten in beslissingen die hen aangaan.

Provider-registratie (Art. 49.1)

Providers zijn verplicht elk hoog-risico AI-systeem te registreren vóór het op de markt wordt gebracht of in gebruik wordt gesteld. De providerproviderThe actor who develops an AI system (or has it developed) and places it on the market or into service under its own name — carrying manufacturer-style duties: design controls, documentation, conformity.Open full entry →-registratie bevat:

• Naam, geregistreerd handelsmerk en contactgegevens van de provider
• Naam en versie van het AI-systeem
• Beschrijving van het beoogde doel, inclusief de doelgroep
• De risicoklasse (hoog-risico, classificatiegrondslag)
• Conformiteitsverklaring of verwijzing daarnaar
• De gebruikte conformiteitsbeoordelingsprocedure
• Technische specificaties en samenvatting van de prestatiemetrieken
• Post-market monitoringpost-market monitoringProvider-side duty to systematically collect and act on experience from systems in use — the product-regulation half of continuous monitoring.Open full entry → plan samenvatting

Deployer-registratie (Art. 49.2 / Art. 26.8)

Deployers moeten aanvullend registreren bij ingebruikname van hoog-risico AI-systemen in de volgende categorieën (zie ook het Art. 26.8-artikel):

• Biometrische identificatie en categorisering
• Kritieke infrastructuur
• Toegang tot essentiële diensten (krediet, verzekering, sociale zekerheid)
• Rechtshandhaving
• Migratie en asiel
• Rechtsbedeling

De deployerdeployerAn organization using an AI system under its own authority in its activities — carrying operator duties: use per instructions, oversight, input relevance, monitoring, notices.Open full entry →-registratie omvat:

• Naam en contactgegevens van de deployer
• Verwijzing naar de provider-registratie van het systeem
• Beschrijving van het specifieke gebruik in de eigen context
• Geografisch bereik en duur van het gebruik
• Categorieën betrokkenen
• Samenvatting van de FRIAFRIAFundamental Rights Impact Assessment — required of public bodies and certain private deployers before using some high-risk AI systems under the EU AI Act.Open full entry →-bevindingen (indien FRIA verplicht)

Uitzonderingen op de registratieplicht

Art. 49.4 bevat een uitzondering voor hoog-risico AI-systemen in de context van nationale veiligheid, defensie of rechtshandhaving in specifieke geclassificeerde contexten. Nationale beveiligingsdiensten hoeven deze systemen niet openbaar te registreren.

Voor reguliere deployers is deze uitzondering niet van toepassing. Zelfs als uw systeem persoonsgegevens verwerkt die vertrouwelijk zijn, moet het systeem zelf worden geregistreerd (zonder de vertrouwelijke informatie).

Hoe werkt de registratie in de praktijk?

De database is toegankelijk via het EU AI Office-portaal. Het registratieproces:

1. Maak een EU Login-account aan (of gebruik een bestaand account)
2. Zoek het provider-record van het systeem dat u inzet
3. Voeg uw deployer-registratie toe aan het provider-record
4. Vul alle vereiste velden in (zie bovenstaande lijst)
5. Upload de FRIA-samenvatting (indien van toepassing)
6. Bevestig de registratie, u ontvangt een registratienummer

Bewaar het registratienummer in uw intern compliance-dossier. Het is uw bewijs van tijdige registratie.

Updates en archivering

Art. 49.5 verplicht providers en deployers om hun registraties bij te werken als de informatie wijzigt. Voor deployers geldt: bij uitbreiding van het gebruik, nieuwe doelgroepen, of gewijzigde FRIA-bevindingen moet de registratie worden bijgewerkt.

Na beëindiging van het gebruik van een hoog-risico AI-systeem moet de deployer dit in de database markeren als "buiten gebruik gesteld" met de einddatum.

Handhaving en sancties

Niet-registreren of onjuist registreren valt onder Art. 99.4: boetes tot €15.000.000 of 3% van de wereldwijde jaaromzet. De toezichthouder kan bij markttoezicht direct nagaan of een AI-systeem is geregistreerd.

Veelgestelde vragen

V: Wij zetten een intern ontwikkeld hoog-risico AI-systeem in. Wie registreert?
A: Als u het systeem zelf ontwikkelt én inzet, bent u zowel provider als deployer. U moet beide registraties uitvoeren: de provider-registratie vóór ingebruikname, en de deployer-registratie bij ingebruikname in uw eigen organisatie.

V: Het systeem van onze leverancier staat niet in de database. Wat nu?
A: De provider is verplicht het systeem te registreren vóór marktintroductie. Als het systeem niet is geregistreerd, is het niet conform de EU AI Act. Stel de provider in gebreke en gebruik het systeem niet totdat de registratie is voltooid.

Checklist: Art. 49 compliance

1. Is elk hoog-risico AI-systeem dat u inzet geregistreerd door de provider in de EU-database?
2. Heeft u zelf een deployer-registratie uitgevoerd voor systemen in de verplichte categorieën (Art. 26.8)?
3. Is de FRIA-samenvatting opgenomen in de deployer-registratie (indien verplicht)?
4. Bewaart u de registratienummers in uw intern compliance-dossier?
5. Is er een procedure voor het bijwerken van registraties bij materiële wijzigingen?
6. Worden registraties gemarkeerd als "buiten gebruik" bij beëindiging van het gebruik?