Direct naar inhoud
Praktisch

Audit-pack: wat de toezichthouder écht wil zien

Een audit-pack is een gestructureerde set documenten die bewijst dat je AI-Act-compliant werkt. Wat hoort er minimaal in voor MKB, hoe leveren toezichthouders een audit-vraag uit, en welke valkuilen vermijd je.

Jurgen Claassens·Founder, AuditAI··7 min lezen

Een audit-pack is de praktische tegenhanger van compliance-theater. Geen 80-pagina-binder, geen procesplaten in violet, maar een gestructureerde set documenten waaruit de toezichthouder of een b2b-klant in 30 minuten kan opmaken dat je weet wat je doet en je daar verantwoordelijkheid voor neemt.

Het format dat in 2026 ingeburgerd is geraakt: een ZIP-export per AI-systeem, met een README dat wijst naar de inhoud, plus een mapje per documenttype. AuditAI levert dit out-of-the-box; je kunt het ook zelf bouwen met de checklists hieronder.

Wanneer heb je een audit-pack nodig?

  • Toezichthouder-vraag: Autoriteit Persoonsgegevens (AVG-kant), Inspectie Gezondheidszorg en Jeugd (zorg-AI), DNB/AFM (financiele AI), Inspectie van het Onderwijs, Nederlandse Arbeidsinspectie, of vanaf augustus 2026 de specifieke AI-Office-toezichthouder.
  • B2B-aanbesteding of contract-onderhandeling: opdrachtgevers vragen steeds vaker een 'AI Act compliance pack' als bijlage bij de DPA. Standaard onderdeel van inkoopvoorwaarden bij overheid en grote financiele dienstverleners.
  • Interne audit: jaarlijks of bij grote wijzigingen — een eigen DPO of compliance-functionaris heeft 'm nodig om te checken dat alle losse onderdelen kloppen.
  • Incident: bij een serious incident (art. 73 AI Act) heb je 15 dagen om te melden, met een set documenten die de inschatting onderbouwt.
  • Verzekeringsdienstverlener / boekhouder: bij due-diligence-vragen is een audit-pack de snelste manier om bewijslast te leveren.

Minimum inhoud — voor elk AI-systeem (alle risicocategorieen)

Basis-set audit-pack-documenten
DocumentDoelWetbasis
Systeem-infoBeschrijving van het AI-systeem: vendor, model, doel, data-inputs, gebruikers, autonomie-niveau.AI Act art. 26 lid 1
Classificatie-rapportWaarom dit systeem in de gekozen risicocategorie valt, met onderbouwing per factor.AI Act art. 6 + Bijlage III
AI-beleidOrganisatie-brede regels: wat mag wel/niet, wie is verantwoordelijk, hoe escalatie loopt.AI Act art. 4 + 26
Transparantie-statementWat klanten en betrokkenen mogen weten over de AI-inzet.AI Act art. 50 + AVG art. 13/14
KlachtenprocedureHoe een betrokkene een klacht over AI-besluitvorming indient.AVG art. 12 + AI Act art. 85
Verwerkersovereenkomst (DPA)Met de AI-leverancier: wie verwerkt welke data, hoe lang, met welke beveiliging.AVG art. 28
AI-register-entryLijst van alle AI-systemen + hun status, eigenaar, classificatie.AI Act art. 26 lid 5
Bewijs AI-geletterdheidTrainings-certificaten + deelnemersoverzicht per medewerker.AI Act art. 4

Bij hoog-risico erbij — Bijlage III

  1. 1.FRIA — Fundamental Rights Impact Assessment volgens art. 27. Vóór ingebruikname uitgevoerd.
  2. 2.DPIA — Gegevensbeschermingseffectbeoordeling onder AVG art. 35. Vaak in één document met FRIA combineerbaar.
  3. 3.Technische documentatie — Bijlage IV: trainingsdata-beschrijving, architectuur, performance-metrics, voorzienbare risico's.
  4. 4.Logging-policy — wat er minimaal 6 maanden bewaard wordt: invoer, uitvoer, mens-interventies. Plus afbouwprotocol.
  5. 5.Human-oversight-protocol — wie kan de AI overrulen, hoe word je gewaarschuwd, wanneer schakel je terug naar handmatig.
  6. 6.Incident-response-plan — escalatie-paden bij serious incidents, met de 15-dagen-meldingsrichtlijn aan de markttoezichtautoriteit.
  7. 7.Bias-test-rapport — periodieke testen op vertekening per beschermde groep, met methode + resultaten.

Vier valkuilen die ik in de praktijk zie

1. Documenten die elkaar tegenspreken

Een AI-beleid dat zegt 'klantdata mag nooit in publieke LLMs', een DPA met een Amerikaanse vendor zonder zero-data-retention, en een transparantie-statement dat zegt 'wij gebruiken AI van [naam vendor] met EU-data-residency'. Een toezichthouder leest alle drie en triggert op de mismatch. Houd je documenten in synchroon — wat in AuditAI automatisch gebeurt omdat ze allemaal uit dezelfde intake komen.

2. Plaatshouders die nooit zijn ingevuld

Een gegenereerde DPA met '[VUL IN: contactpersoon DPO]' — een toezichthouder ziet dat als bewijs dat het document nooit is afgemaakt. Run een lint-check op je documenten voor je ze ontvangt. AuditAI markeert plaatshouders met een rode highlight in de preview zodat je geen oningevulde plekken mist.

3. Bewijs van AI-geletterdheid ontbreekt

Veel organisaties hebben een AI-beleid maar geen lijst van wie het heeft gelezen + akkoord. Dat is de meest gevraagde bewijslast in 2026 — zonder dat lijstje is je hele audit-pack een schil. Borg het tijdens onboarding én bij wijzigingen.

4. Geen versionering

AI-beleid v1 uit 2024, geen v2 na de Digital Omnibus, geen log van wat er wanneer wijzigde. Een toezichthouder vraagt dan: 'hoe weet ik dat dit beleid actueel is?' Houd een versie-log bij — datum, wijziging, eigenaar. AuditAI doet dit automatisch (templateVersion-veld + generatedAt).

Hoe een toezichthouder typisch uitvraagt

Een AVG-onderzoek of AI-Act-onderzoek begint vrijwel altijd met een schriftelijk informatie-verzoek. Patroon dat je in 2025-2026 ziet bij AP-onderzoeken (zoals het Uber-besluit of de Deliveroo-uitspraak):

  1. 1.Brief met vragenlijst — typisch 10-30 vragen + verzoek om documenten. Termijn: 2-4 weken voor antwoord.
  2. 2.Schriftelijk verweer — jij stuurt de audit-pack + antwoorden + onderbouwing.
  3. 3.Eventueel hoorgesprek — face-to-face met een toezichthouder-jurist om door te vragen op specifieke punten.
  4. 4.Voornemen tot besluit — als ze iets willen sanctioneren, krijg je dat eerst als concept met de mogelijkheid om te reageren (zienswijze).
  5. 5.Definitief besluit — sanctie (boete, last onder dwangsom) of seponering. Tegen-beroep mogelijk binnen 6 weken bij de bestuursrechter.

Levend audit-pack — onderhouds-ritme

  • Wekelijks: AP-werkagenda + Digital-strategy-bulletin scannen. AuditAI doet dit automatisch en alert je bij relevante wijzigingen.
  • Maandelijks: AI-register screenen of er nieuwe systemen zijn aangenomen die nog niet zijn ingevoerd.
  • Per kwartaal: governance-check — eigenaar per systeem nog actief, documenten niet verlopen, training-certs nog geldig.
  • Jaarlijks: AI-beleid herzien, DPA's hernieuwen waar contractueel verlopen, technische documentatie bijwerken.
  • Bij wijziging: AI-systeem update (nieuwe vendor, andere data, andere autonomie) → herclassificeer en update alle relevante documenten in dezelfde week.

Veelgestelde vragen

Moet een audit-pack in PDF of mag DOCX?
Allebei werken. Toezichthouders accepteren beide. AuditAI levert standaard DOCX (open in Word/LibreOffice) zodat je ze nog kunt aanpassen voordat ze de deur uit gaan; veel klanten exporteren ze nadien naar PDF voor verzending.
Hoe lang moet ik een audit-pack bewaren?
Voor de logging-onderdelen geldt 6 maanden minimum onder AI Act art. 12. Voor de overige documenten zijn er geen specifieke termijnen, maar in de praktijk bewaar je ze zolang het AI-systeem in gebruik is, plus de standaard administratie-bewaartermijnen (7 jaar voor financiele administratie). Bij beeindiging van een AI-systeem: archiveer het audit-pack, niet weggooien.
Mijn AI-leverancier heeft hun eigen DPA-template — gebruik ik die of de mijne?
Vaak een combinatie: hun standaard-DPA + een AuditAI-addendum dat de specifieke AI Act-elementen toevoegt (instructies aan aanbieder onder art. 26 lid 4, transparantie over trainingsdata, sub-processor-notificatie). AuditAI's DPA-template is precies zo ontworpen: kan los of als addendum.
Als ik audit-pack genereer, ben ik dan klaar?
Nee — een gegenereerd audit-pack is een uitgangspunt, niet een eindstation. Plaatshouders invullen, juridisch toetsen vóór ondertekening, en daarna onderhouden. AuditAI's gegenereerde versies pakken de moeilijke 80% af; de laatste 20% (specifieke contactgegevens, sector-specifieke clausules) doe jij of je jurist.
Werkt een audit-pack ook voor b2b-aanbestedingen?
Ja. Veel inkoopafdelingen vragen tegenwoordig naar een 'AI Act compliance bewijs'. Een audit-pack is precies dat — geef de relevante documenten als bijlage bij je offerte. AuditAI's ZIP-export is standaard zo gestructureerd dat je 'm direct kunt uitleveren.

Verder lezen

Aan de slag

AI Act compliance-stappenplan voor Nederlands MKB (12 weken)

Een werkbaar 12-weken stappenplan voor MKB-organisaties die nog niets aan AI Act compliance hebben gedaan. Per week: wat doe je, wie heb je nodig, welk document staat aan het eind. Realistisch voor een 5-50 fte organisatie naast bestaand werk.

Praktisch

ISO 42001 vs EU AI Act: wanneer welk?

ISO/IEC 42001 is een internationale standaard voor AI-managementsystemen. EU AI Act is wetgeving. Ze vullen elkaar aan, maar zijn niet uitwisselbaar. Wanneer is ISO 42001-certificering interessant voor MKB, en wanneer is het overkill bovenop je AI Act-werk.

Wetgeving

Hoog-risico AI herkennen: Annex III in begrijpelijk Nederlands

Bijlage III van de EU AI Act somt acht categorieen AI-systemen op die als hoog-risico gelden. Per categorie: wat valt eronder, wat valt er net buiten, en welke verplichtingen worden actief.

Volgende stap

Doe een gratis risicoscan voor je eigen AI-systeem

5 minuten, geen account, anoniem. Krijg direct je AI Act-categorie + de drie eerstvolgende acties op volgorde van urgentie.

Start gratis scan