Steeds meer beslissingen die jou raken, lopen via een AI-model. Een bank weegt mee of je een hypotheek krijgt, een verzekeraar beoordeelt een claim, een werkgever filtert sollicitaties. De vraag die daaronder ligt, krijgt zelden aandacht: als het misgaat, kan iemand dan nog bewijzen wat het model precies heeft gedaan? Vaak niet. En juist daar zet de EU AI Act de komende jaren een streep onder: risicovolle systemen moeten straks bijhouden wat ze deden.
Het probleem: een AI-antwoord is weg zodra je het ziet
De meeste systemen behandelen de uitkomst van een AI-model als een tussenstap die meteen verdampt. Het model geeft antwoord, dat antwoord gaat naar de gebruiker, misschien wordt er een regel in een database weggeschreven, en dat is het hele spoor. Stelt een klant zes maanden later een vraag over die beslissing, dan is er weinig om op terug te vallen.
Bij gewone software is dat al vervelend. Bij AI is het lastiger, want hetzelfde model kan op twee momenten een net iets ander antwoord geven, en de versie die vandaag draait is volgende maand misschien vervangen. Wie niet vastlegt welke invoer erin ging, welke modelversie draaide en wat eruit kwam, houdt achteraf alleen een uitkomst over zonder verhaal eromheen. Fouten beginnen soms al bij de tekst die een model genereert — zo zette een hallucinatie onjuiste feiten in profielen op ons platform.
Beginner-tip:“Loggen” betekent simpelweg dat een systeem gebeurtenissen wegschrijft in een soort dagboek: wat er gebeurde, wanneer, en in welke volgorde. Een audit trail is dat dagboek netjes genoeg bijgehouden dat je het achteraf kunt nalezen en kloppend kunt maken. Zonder dat dagboek is er niets om op terug te kijken.
Waarom “de computer zei het” niet genoeg is
Stel: je lening wordt afgewezen. Je belt, en de medewerker zegt dat het systeem het zo heeft bepaald. Daar kun je niets mee. Je wilt weten wélke gegevens zijn meegewogen, of ze klopten, en of een mens er nog naar heeft gekeken. Precies die vragen kun je alleen beantwoorden als er een spoor is. Het speelt net zo bij een afgewezen sollicitatie waarin software je beoordeelde — daarover lees je in kan AI je persoonlijkheid lezen?.
Datzelfde geldt aan de andere kant van de tafel. Een organisatie die een AI-systeem inzet en later een klacht of een rechtszaak krijgt, moet kunnen laten zien hoe een uitkomst tot stand kwam. Kan ze dat niet, dan staat ze zwak — ongeacht of het model gelijk had. Verantwoording afleggen lukt niet over iets waarvan je geen administratie hebt bijgehouden.
Het draait dus om twee dingen tegelijk: jouw mogelijkheid om een beslissing aan te vechten, en de mogelijkheid van een bedrijf om er een te verdedigen. Allebei vragen ze om hetzelfde fundament, namelijk een betrouwbaar spoor.
Wat de wet straks eist — en wanneer
De EU AI Act maakt dit voor risicovolle toepassingen niet langer vrijblijvend. Artikel 12 bepaalt dat high-risk AI-systemen technisch in staat moeten zijn om automatisch gebeurtenissen vast te leggen over hun hele levensduur, zodat de werking van het systeem traceerbaar is (Bron: EU AI Act, artikel 12). “Automatisch” is daarbij geen detail: een map met handmatige notities voldoet niet, het systeem moet de logs zelf genereren.
Die logs mag je niet meteen weggooien. De bewaartermijn moet passen bij het doel van het systeem, met een ondergrens van zes maanden, tenzij andere wetgeving een langere termijn voorschrijft (Bron: EU AI Act, artikel 12).
Op de datum is één belangrijke nuance. In het oorspronkelijke wetstraject zouden de meeste high-risk-verplichtingen ingaan op 2 augustus 2026. Met de Digital Omnibus — de vereenvoudigingsdeal waarover de EU-instellingen op 7 mei 2026 een voorlopig akkoord bereikten — schuiven die high-risk-eisen, inclusief de logplicht uit artikel 12, door naar 2 december 2027 (voor AI die in gereguleerde producten zit zelfs naar augustus 2028) (Bron: Raad van de EU — Digital Omnibus akkoord). Dat akkoord wordt pas definitief bij formele aanname en publicatie, verwacht vóór 2 augustus 2026. De transparantieregels — zoals dat een chatbot moet zeggen dat hij AI is — blijven wél grotendeels op 2 augustus 2026 staan. Wat we eerder uitzochten in AI Act-uitstel: de nieuwe deadlines van 2026 tot 2028 op een rij zet de hele tijdlijn op een rij.
Er hangt een prijskaartje aan negeren. Voor het schenden van dit type verplichtingen kan een boete oplopen tot 15 miljoen euro of 3 procent van de wereldwijde jaaromzet, het hoogste van de twee (Bron: EU AI Act, artikel 99). Dat is een bewuste prikkel om logging niet als bijzaak te behandelen.
Gevorderden:de logplicht uit artikel 12 ligt bij de aanbieder van het systeem, maar artikel 26 legt ook gebruikers (deployers) een bewaarplicht op voor de logs die zij in beheer hebben. In een keten waarin jij een ingekocht model gebruikt om klantbeslissingen te onderbouwen, draag je dus zelf verantwoordelijkheid — ook als je het model niet hebt gebouwd. Leg in je inkoopcontract vast wie welke logs levert en hoe lang.
Wat dit voor jou als burger betekent
Concreet verschuift de bewijslast jouw kant op. Word je geraakt door een besluit dat een risicovol AI-systeem heeft genomen of zwaar heeft beïnvloed, dan geeft artikel 86 je het recht om uitleg te vragen over de rol die dat systeem speelde (Bron: EU AI Act, artikel 86). Niet de volledige broncode, wel een begrijpelijke uitleg van wat er gebeurde en waarom. Dat recht hoort bij het high-risk-pakket dat met de Digital Omnibus naar december 2027 is verschoven.
Dat staat los van de rechten die je via de AVG al had rond geautomatiseerde besluitvorming. De optelsom is dat een organisatie die AI laat meebeslissen over mensen, straks moet kunnen uitleggen én onderbouwen wat er gebeurde. Een concreet voorbeeld van hoe AI en het rechtssysteem samenkomen: in Engeland won een AI-advocaat dit jaar voor het eerst een rechtszaak — en het model daarvoor valt precies in de hoogrisico-categorie waarover dit artikel gaat. Voor dezelfde vraag of een Amerikaans model je gegevens netjes behandelt, schreven we eerder Is Claude Europees? En wat dat betekent voor je data.
Wat dit voor een organisatie betekent
Voor een MKB-organisatie hoeft dit geen IT-project van een half jaar te zijn. Het begint bij een eenvoudige vraag: bij elke AI-beslissing die een klant of medewerker raakt, kun je achteraf laten zien wat erin ging, wat eruit kwam, welke modelversie draaide en wie het zag? Kun je dat niet, dan is dat het eerste gat om te dichten.
Wie verder wil, sluit aan bij wat de toezichthouder straks verwacht: logs die automatisch ontstaan in plaats van met de hand, een vaste bewaartermijn van minimaal zes maanden, en een afspraak met je leverancier over welke logs die aanlevert. Dit raakt direct aan de bredere governance-eisen die we uitwerkten in Wat de EU AI Act in 2026 van Nederlandse organisaties vraagt.
Beginner-tip:je hoeft dit niet zelf te bouwen. Vraag bij je AI-leverancier of -tool simpelweg na of die een logboek bijhoudt van wat het systeem doet, hoe lang dat bewaard blijft, en hoe je er bij kunt als iemand een beslissing aanvecht. Krijg je daar geen helder antwoord op, dan weet je genoeg.
