GovCompass
Kennisbank
GuideHuman oversightAccountability

Oversight-logboek: hoe je menselijk toezicht documenteert

Door Michel Venniker· · Afgestemd op de geconsolideerde EU AI Act, inclusief de Omnibus-wijzigingen van 2026.

Een oversight-logboek is het gelijktijdige verslag dat menselijk toezicht op een hoog-risico AI-systeem aantoont onder Art. 26.2 van de EU AI Act. Het legt per toezichtmoment vast wie de AI-output beoordeelde, wat de beslissing was en waarom, en moet minimaal zes maanden worden bewaard onder Art. 26.6.

Bijgewerkt: juni 2026

Inleiding: het toezichtlogboek als compliance-ruggengraat

Een toezichtlogboek, de combinatie van de AI-systeemgegenereerde logs (Art. 12) en uw eigen documentatie van menselijk toezicht (Art. 26.2) en monitoring (Art. 26.5), is het primaire bewijs dat uw hoog-risico AI-systeem conform de EU AI Act wordt ingezet. Bij een audit door de toezichthouder, een incident-onderzoek of een rechtszaak is het toezichtlogboek uw eerste verdedigingslinie.

Deze gids beschrijft hoe u een effectief toezichtlogboek opbouwt dat voldoet aan de wettelijke minimumeisen en tegelijk praktisch bruikbaar is voor uw interne toezichthouders.

Benodigde voorkennis

U weet wat hoog-risico AI is en heeft of overweegt een hoog-risico AI-systeem te implementeren. U heeft de gebruiksinstructies van uw providerproviderThe actor who develops an AI system (or has it developed) and places it on the market or into service under its own name — carrying manufacturer-style duties: design controls, documentation, conformity.Open full entry → ontvangen, inclusief de beschrijving van de logging-functionaliteit die het systeem biedt (Art. 13.3).

Stap 1: begrijp de drie lagen van uw toezichtlogboek

Een volledig toezichtlogboek voor hoog-risico AI bestaat uit drie lagen die elk afzonderlijke wettelijke verplichtingen dekken:

Laag 1, Systeemlogs (Art. 12 + Art. 26.6): De automatisch door het AI-systeem gegenereerde logs. Deze registreren elk gebruik van het systeem: tijdstip, inputdata, output, gebruikersidentiteit, en gevallen van overschrijving. U bent verplicht deze logs minimaal 6 maanden te bewaren, langer bij sectorwetgeving.

Laag 2, Toezichtdocumentatie (Art. 26.2): Uw eigen registratie van het menselijk toezichtsproces. Dit omvat: welke beslissingen zijn beoordeeld, door wie, met welk resultaat (akkoord of overschrijving), en bij overschrijving: de reden. Deze laag is niet automatisch gegenereerd, u moet hem actief bijhouden.

Laag 3, Monitoringverslagen (Art. 26.5): Periodieke analyses van de prestaties van het AI-systeem. Vergelijking van prestatiemetrieken met normen, fairnessfairnessThe responsible-AI principle that systems should not create or reinforce unjust discrimination; operationalised through bias testing, representative data and per-group thresholds — with multiple, mutually incompatible mathematical definitions.Open full entry →-analyse per subgroep, signalering van drift. Frequentie: afhankelijk van het systeem, minimaal kwartaals voor hoog-volume systemen.

Stap 2: stel uw logboek-architectuur vast

Bepaal vóór implementatie hoe de drie lagen worden opgeslagen en hoe ze aan elkaar zijn gekoppeld:

Opslagvorm:

  • Gestructureerde database (aanbevolen voor hoog-volume systemen): elke beslissing is een record, doorzoekbaar en exporteerbaar
  • Spreadsheet/document (acceptabel voor laag-volume systemen): eenvoudiger maar minder schaalbaar
  • Combinatie: systeemlogs in database, toezichtdocumentatie en monitoringverslagen in document

Integriteitsborging:

  • Gebruik append-only opslag: nieuwe records worden toegevoegd, bestaande niet gewijzigd
  • Timestamp alle entries automatisch
  • Log de identiteit van de toezichthouder die een entry heeft aangemaakt
  • Bewaar een backup in een afzonderlijk systeem

Toegangsbeheer:

  • Lees-toegang: compliance officers, AI Officer, management
  • Schrijf-toegang: toezichthouders (voor hun eigen entries), systeem-administrator (voor correcties met dubbele autorisatie)
  • Geen schrijf-toegang voor de AI-systeemoperator zelf (voorkomt manipulatie)

Stap 3: definieer wat u vastlegt per beslissing

Voor elke individuele AI-beslissing die significante gevolgen heeft voor een betrokkene, legt u vast:

Minimale vastlegging per beslissing (Laag 1 + Laag 2):

  • Uniek beslissing-ID
  • Datum en tijd
  • Identiteit van de betrokkene (gepseudonimiseerd conform AVG)
  • Identiteit van de toezichthouder
  • AI-output (de score, classificatie of aanbeveling)
  • Definitieve beslissing (akkoord met AI / overschrijving)
  • Bij overschrijving: reden (vrije tekst, minimaal 1 zin)
  • Eventuele escalatie: ja/nee, naar wie

Aanvullende vastlegging bij hoog-impact beslissingen:

  • Referentie naar de inputdata die aan het systeem is aangeboden
  • Vertrouwensscore van het systeem (indien beschikbaar)
  • Aanvullende informatie die de toezichthouder bij de beoordeling heeft betrokken

Stap 4: stel een monitoringprotocol op

Naast de per-beslissing vastlegging heeft u een periodiek monitoringprotocol nodig:

Wekelijkse controle (hoog-volume systemen):

  • Overschrijvingspercentage deze week vs. vorige weken (trend)
  • Afwijkende vertrouwensscores gesignaleerd?
  • Klachten van betrokkenen ontvangen?

Maandelijkse analyse:

  • Vergelijking prestatiemetrieken met provider-normen
  • Fairness-analyse: zijn er demografische subgroepen die disproportioneel worden geraakt?
  • Review van alle overschrijvingen: zijn er patronen?

Kwartaalverslag:

  • Samenvatting van alle monitoringbevindingen
  • Geïdentificeerde risico's en getroffen maatregelen
  • Aanbevelingen voor de provider (indien relevant)
  • Goedkeuring door de AI Officer

Stap 5: voorbereiding op een audit door de toezichthouder

Een audit door de toezichthouder naar uw hoog-risico AI-gebruik zal focussen op:

  1. Bestaat het logboek? Is het volledig en integer?
  2. Zijn de bewaartermijnen nageleefd?
  3. Is menselijk toezicht meer dan formeel (overschrijvingspercentage >0%)?
  4. Zijn monitoringbevindingen gedocumenteerd en opgevolgd?
  5. Zijn incidenten tijdig gemeld (Art. 73)?

Zorg dat u bij een audit direct kunt overleggen: de systeemlogs van de afgelopen 6 maanden (exporteerbaar), het toezichtprotocol, de trainingsrecords van toezichthouders (Art. 4), en de laatste kwartaalverslagen.

Veelgestelde vragen

V: Onze toezichthouder beoordeelt 200 AI-beslissingen per dag. Moeten we alles loggen?
A: Ja, als het hoog-risico AI betreft met beslissingen die significante gevolgen hebben voor betrokkenen. Overweeg een geautomatiseerd logging-systeem dat de toezichthouder alleen acties laat registreren (akkoord/overschrijving) terwijl de rest automatisch wordt vastgelegd. 200 beslissingen per dag is ook een signaal dat de werkdruk toezichthouder-kwaliteit ondermijnt (zie Art. 26.2).

V: Hoe lang moet ik het logboek bewaren als ik het AI-systeem niet meer gebruik?
A: Bewaar het logboek minimaal tot de verjaringstermijn voor aansprakelijkheidsclaims is verstreken (5 jaar in NL) en tot eventuele toezichtsprocedures zijn afgerond. Verwijder nooit logs gedurende een lopend onderzoek door de toezichthouder.

Samenvatting

Een effectief toezichtlogboek is geen bureaucratisch last, het is het instrument dat aantoont dat u uw AI-systemen verantwoord beheert. Bouw het vanaf dag 1 van de implementatie, houd het proportioneel aan het risico van het systeem, en zorg dat de drie lagen (systeemlogs, toezichtdocumentatie, monitoringverslagen) consistent aan elkaar zijn gekoppeld.

WetsverwijzingenArt. 26.2Art. 26.6

Meer over Human oversight

Art. 14 EU AI Act: hoog-risico AI ontwerpen voor menselijk toezicht

Reference

Art. 14 vereist dat providers hoog-risico AI-systemen zo ontwerpen en bouwen dat ze tijdens gebruik effectief door mensen kunnen worden overzien. Het systeem moet een toezichthouder in staat stellen de mogelijkheden en grenzen te begrijpen, op afwijkingen te letten, automation bias te weerstaan, outputs juist te interpreteren, te besluiten het systeem niet te gebruiken, en in te grijpen of het te stoppen via een noodstop (Art. 14(4)(e)). Het is de ontwerpverplichting die de deployer-toezichtsplicht van Art. 26.2 mogelijk maakt.

Art. 26.2, menselijk toezicht: wijs competente mensen aan

Reference

Art. 26.2 EU AI Act verplicht deployers om het menselijk toezicht te implementeren dat de provider heeft voorzien (Art. 14). Het toezicht is alleen geldig als de toezichthouder voldoende AI-geletterd is (Art. 4), de bevoegdheid heeft om de AI-output te overrulen, en niet zo overbelast is dat de beoordeling louter routinematig wordt. Formeel toezicht zonder inhoudelijke beoordeling voldoet niet.

Art. 27, FRIA: Fundamental Rights Impact Assessment

Reference

Art. 27 verplicht bepaalde deployers, publieke instanties en private deployers in afgebakende sectoren zoals krediet en verzekeringen, om vóór de inzet van een hoog-risico AI-systeem een Fundamental Rights Impact Assessment (FRIA) uit te voeren, die de impact op grondrechten en de mitigerende maatregelen onderzoekt.

Art. 4, AI literacy: zorg dat je team AI begrijpt

Reference

Art. 4 verplicht organisaties sinds 2 februari 2025 om te zorgen voor een voldoende niveau van AI-geletterdheid bij medewerkers die AI-systemen bedienen of gebruiken, in verhouding tot het systeem en de rol. De verplichting geldt voor alle AI-inzet, niet alleen hoog-risico, en moet aantoonbaar zijn.

Meer over Accountability

Art. 10 EU AI Act: data en datagovernance voor hoog-risico AI

Reference

Art. 10 vereist dat de trainings-, validatie- en testdata voor hoog-risico AI-systemen voldoet aan kwaliteitscriteria: relevant, voldoende representatief, en zo foutloos en volledig mogelijk voor het beoogde doel. Het vereist ook gedocumenteerde datagovernance over verzameling, voorbereiding, bias-onderzoek en het mitigeren van lacunes, en het staat de beperkte verwerking van bijzondere persoonsgegevens toe waar strikt noodzakelijk om bias te detecteren en corrigeren, onder waarborgen.

Art. 12 EU AI Act: registratie en logging voor hoog-risico AI

Reference

Art. 12 vereist dat hoog-risico AI-systemen technisch de automatische registratie van gebeurtenissen (logs) over hun levensduur mogelijk maken. De logging moet de traceerbaarheid van het functioneren van het systeem mogelijk maken op een niveau passend bij het beoogde doel, post-market monitoring ondersteunen, en helpen situaties te identificeren die tot risico of een substantiële wijziging kunnen leiden. Het is een ontwerpverplichting voor de provider die het systeem door constructie auditeerbaar maakt.

Art. 19 EU AI Act: het bewaren van de automatisch gegenereerde logs

Reference

Art. 19 verplicht providers van hoog-risico AI-systemen om de logs die het systeem automatisch genereert (onder Art. 12) te bewaren zolang ze die onder controle hebben, voor een periode passend bij het beoogde doel en minimaal zes maanden, tenzij andere wetgeving een langere termijn vereist. Het is de bewaar-tegenhanger van de Art. 12-logging-capaciteit, en werkt naast de deployer-bewaarplicht in Art. 26.6.

Art. 26.1, gebruik AI volgens de instructies van de aanbieder

Reference

Art. 26.1 EU AI Act verplicht deployers om hoog-risico AI-systemen uitsluitend in te zetten conform de gebruiksinstructies van de provider. De verplichting omvat drie componenten: het beschikken over de instructies (conform Art. 13.3), het actief naleven ervan, en het documenteren van dat naleven. Inzet buiten de instructies kan de aansprakelijkheid volledig naar de deployer verschuiven.