AI compliance audit checklist

Waarom een AI-audit?

De EU AI Act verplicht organisaties om hun AI-systemen te documenteren, te monitoren en te evalueren. Een AI compliance audit helpt u te verifiëren of uw organisatie aan deze eisen voldoet — en identificeert lacunes vóórdat de toezichthouder dat doet.

Deze checklist is gestructureerd rond de vijf pijlers van AI governance: inventarisatie, classificatie, technische compliance, organisatorische maatregelen en documentatie.

Pijler 1: AI-inventarisatie

Voordat u compliance kunt beoordelen, moet u weten welke AI-systemen u heeft.

• [ ] Register van alle AI-systemen in gebruik (intern ontwikkeld en extern ingekocht)
• [ ] Per systeem: naam, aanbieder, doel, gebruikers, datastromen
• [ ] Per systeem: rol van uw organisatie (aanbieder, gebruiker, distributeur)
• [ ] Schaduw-AI geïdentificeerd — AI-tools die medewerkers op eigen initiatief gebruiken
• [ ] Register wordt periodiek bijgewerkt (minimaal halfjaarlijks)

Veelgemiste AI-systemen

Denk ook aan:

• AI-functies in bestaande software (CRM met AI-scoring, e-mail met AI-samenvatting)
• API-integraties met AI-diensten (OpenAI, Google Cloud AI, Azure AI)
• AI in marketing tools (automatische segmentatie, predictive analytics)
• AI in HR-tools (CV-parsing, talentmatching)

Pijler 2: Risicoclassificatie

• [ ] Elk AI-systeem is geclassificeerd (onaanvaardbaar / hoog / beperkt / minimaal risico)
• [ ] Classificatie is gedocumenteerd met onderbouwing
• [ ] Geen verboden toepassingen in gebruik (social scoring, manipulatie kwetsbare groepen, etc.)
• [ ] Bij twijfel over classificatie: juridisch advies ingewonnen
• [ ] Classificatie wordt herzien bij wijzigingen in het systeem of de wetgeving

Classificatie-beslisboom

Is het systeem verboden (Artikel 5)?
├── Ja → STOP. Niet gebruiken.
└── Nee → Staat het in Bijlage III of is het veiligheidscomponent?
    ├── Ja → Hoog risico
    └── Nee → Genereert het content of interageert het met mensen?
        ├── Ja → Beperkt risico (transparantie)
        └── Nee → Minimaal risico

Pijler 3: Technische compliance

Voor hoog-risico AI-systemen

• [ ] Risicobeheersysteem — doorlopend proces van risico-identificatie en mitigatie
• [ ] Data governance — trainingsdata gedocumenteerd (herkomst, kwaliteit, representativiteit)
• [ ] Bias-toetsing — systematische controle op discriminatie en oneerlijkheid
• [ ] Nauwkeurigheid — prestatie-metrics vastgesteld en gemonitord
• [ ] Robuustheid — bestand tegen fouten, manipulatie en adversarial attacks
• [ ] Cybersecurity — bescherming tegen aanvallen die de werking beïnvloeden
• [ ] Logging — automatische registratie van werking en beslissingen
• [ ] Menselijk toezicht — mogelijkheid voor menselijke interventie en override

Voor alle AI-systemen

• [ ] Transparantie — gebruikers weten dat ze met AI interageren
• [ ] AI-gegenereerde content gelabeld — deepfakes, AI-tekst, AI-beeld herkenbaar
• [ ] AVG-compliance — DPIA uitgevoerd als persoonsgegevens worden verwerkt
• [ ] Geen onbedoeld gebruik — beperkingen op gebruik buiten beoogd doel

Pijler 4: Organisatorische maatregelen

Governance

• [ ] AI-verantwoordelijke aangewezen (kan dezelfde persoon zijn als DPO/FG)
• [ ] AI-beleid opgesteld en gecommuniceerd
• [ ] Meldprocedure voor incidenten met AI-systemen
• [ ] Escalatieprocedure wanneer AI-output twijfelachtig is

Training

• [ ] Medewerkers die AI bedienen zijn getraind in werking en beperkingen
• [ ] Training wordt periodiek herhaald (minimaal jaarlijks)
• [ ] Bewustzijn bij management over AI-risico's en verantwoordelijkheden
• [ ] Richtlijnen voor acceptabel AI-gebruik door medewerkers

Leveranciersbeheer

• [ ] Contracten met AI-aanbieders bevatten compliance-bepalingen
• [ ] SLA's dekken beschikbaarheid, prestatie en incidentrespons
• [ ] Audit-recht opgenomen in leverancierscontracten
• [ ] Exit-strategie — mogelijkheid om van aanbieder te wisselen

Pijler 5: Documentatie

Verplichte documentatie hoog-risico

• [ ] Technische documentatie — ontwerp, architectuur, prestaties, beperkingen
• [ ] Gebruikersinstructies — handleiding voor correct en veilig gebruik
• [ ] Conformiteitsverklaring — EU-verklaring van overeenstemming
• [ ] Logboeken — bewaard voor minimaal 6 maanden
• [ ] Risicobeoordelingen — actueel en volledig

Algemene documentatie

• [ ] AI-register — overzicht van alle systemen met classificatie
• [ ] AI-beleid — organisatiebreed beleid voor AI-gebruik
• [ ] Incidentlogboek — registratie van AI-gerelateerde incidenten
• [ ] Audit trail — bewijs van compliance-activiteiten
• [ ] Training records — wie is wanneer getraind

Scoringsmodel

Tel het aantal afgevinkte items per pijler:

| Pijler | Maximaal | Uw score | Gewicht | |---|---|---|---| | 1. Inventarisatie | 5 | ___ | 15% | | 2. Classificatie | 5 | ___ | 20% | | 3. Technische compliance | 12 | ___ | 30% | | 4. Organisatorische maatregelen | 10 | ___ | 20% | | 5. Documentatie | 10 | ___ | 15% |

| Score | Beoordeling | Actie | |---|---|---| | > 85% | Goed voorbereid | Monitoren en bijhouden | | 60-85% | Basis aanwezig, lacunes | Actieplan binnen 60 dagen | | 40-59% | Significante tekortkomingen | Prioritaire aandacht vereist | | < 40% | Niet compliant | Direct handelen |

Frequentie

| Audit type | Frequentie | Scope | |---|---|---| | Quick check | Kwartaal | Inventarisatie + classificatie | | Standaard audit | Halfjaarlijks | Alle 5 pijlers | | Diepte-audit | Jaarlijks | Alle pijlers + penetratietest + bias-audit | | Wijzigingsaudit | Bij significante wijziging | Geraakt systeem + afhankelijkheden |

Conclusie

AI compliance is een doorlopend proces, geen eenmalig project. Deze checklist biedt een gestructureerd startpunt, maar de specifieke eisen hangen af van uw AI-systemen en uw rol ten opzichte daarvan. Begin met de inventarisatie en bouw van daaruit op.

Scan uw website gratis met WarDek — OWASP, NIS2, AVG, AI Act compliance in één scan.