Artikel 12 van Verordening (EU) 2024/1689 — Registratieplicht. Officiële tekst, praktische interpretatie, belangrijkste verplichtingen en nalevingsimplicaties.
Samenvatting van de officiële tekst
Artikel 12 van Verordening (EU) 2024/1689 stelt verplichte registratievereisten vast voor hoog-risico AI-systemen. Het artikel bevindt zich in Titel III, Hoofdstuk 2, dat de technische en governancevereisten uiteenzet waaraan hoog-risico AI-systemen moeten voldoen voordat zij op de EU-markt worden gebracht of in gebruik worden genomen.
De kernverplichting is dat hoog-risico AI-systemen moeten worden ontworpen en ontwikkeld met logboekfunctionaliteiten die automatische registratie van gebeurtenissen mogelijk maken — ook wel logs genoemd — gedurende de operationele levensduur van het systeem. Deze logs dienen een dubbel doel: ondersteuning van post-marktmonitoring door de aanbieder onder Artikel 72, en het in staat stellen van nationale bevoegde autoriteiten om hun toezichthoudende en onderzoeksfuncties uit te oefenen.
Artikel 12(2) specificeert dat logboekfunctionaliteiten minimaal moeten registreren: de periode van elk gebruik van het systeem (begin- en einddatum en -tijd), de referentiedatabank waartegen invoergegevens zijn gecontroleerd waar van toepassing, invoergegevens die tot een bepaalde uitvoer of resultaat hebben geleid, en — waar biometrische identificatiesystemen betrokken zijn — de identiteit van de betrokken natuurlijke personen bij de verificatie van de resultaten.
Het artikel legt de ontwerpverplichting uitdrukkelijk bij aanbieders. Logging moet by construction in het systeem zijn ingebouwd, niet achteraf worden toegevoegd. Dit weerspiegelt de bredere by-design filosofie van de Verordening. Beheerders die deze systemen inzetten, dragen complementaire verplichtingen onder Artikel 26 om de tijdens hun gebruik van het systeem gegenereerde logs te bewaren, voor zover dergelijke logs onder hun controle staan.
Wat dit in de praktijk betekent
Voor aanbieders die hoog-risico AI-systemen ontwikkelen of op de EU-markt brengen, vereist Artikel 12 dat technische beslissingen worden genomen tijdens de ontwerpfase, niet na de inzet. Logging moet een architecturaal kenmerk van het product zijn.
Betrokken partijen. Elke organisatie die een hoog-risico AI-systeem zoals gedefinieerd onder Artikel 6 en Bijlage III ontwikkelt, op de markt brengt of in gebruik neemt, is onderworpen aan Artikel 12. Dit omvat systemen die worden gebruikt bij arbeidsscreening, kredietscoring, biometrische identificatie, beheer van kritieke infrastructuur, onderwijsbeoordeling, rechtshandhaving, grenscontrole en rechtsbedeling, onder andere. Beheerders — organisaties die een hoog-risico AI-systeem van een aanbieder in hun eigen context inzetten — hebben secundaire verplichtingen om de logs die zij controleren bij te houden.
Concrete vereiste acties. Een aanbieder moet geautomatiseerde logging implementeren die de vereiste gegevenspunten vastlegt zonder handmatige tussenkomst. Een aanbieder van een AI-ondersteund CV-screeningsinstrument moet er bijvoorbeeld voor zorgen dat het systeem elke wervingssessie registreert, de datasetversie die is gebruikt om het model te trainen of te kalibreren, en de invoer (sollicitantenprofielen) die elke uitvoer (rangschikking of aanbeveling) heeft gegenereerd. Een beheerder die dat instrument inzet, moet die logs bewaren en deze op verzoek beschikbaar stellen aan de autoriteiten.
Onderzoeksnut. Logs bestaan primair om retrospectieve analyse mogelijk te maken. Als een systeem een discriminerend resultaat produceert of schade veroorzaakt, moeten regelgevers kunnen reconstrueren wat er is gebeurd. Logs die onvolledig, overschreven of ontoegankelijk zijn, dwarsbomen dit doel en stellen zowel aanbieder als beheerder bloot aan handhavingsrisico.
Evenredigheid. De specifieke reikwijdte van wat moet worden geregistreerd, is afgestemd op het type systeem. Biometrische systemen worden geconfronteerd met de meest gedetailleerde vereisten. Aanbieders dienen hun loggingontwerpbeslissingen te documenteren in de technische documentatie zoals vereist door Artikel 11.
Belangrijkste verplichtingen
- Logging by design. Hoog-risico AI-systemen moeten worden ontworpen en ontwikkeld met automatische gebeurtenisloggingfunctionaliteiten die in de systeemarchitectuur zijn ingebouwd vóór marktplaatsing of inzet.
- Minimale loginhoud. Logs moeten minimaal vastleggen: de operationele periode van elke gebruikssessie, de referentiedatabank die wordt gebruikt voor invoerverificatie waar van toepassing, de invoergegevens die elke uitvoer of beslissing hebben geproduceerd, en — voor biometrische identificatiesystemen — de identiteiten van de natuurlijke personen die resultaten hebben geverifieerd.
- Logbewaring door beheerders. Beheerders moeten de logs die tijdens hun gebruik van een hoog-risico AI-systeem worden gegenereerd, bewaren gedurende de periode die vereist is door het toepasselijke recht en minimaal voor de duur die nodig is om post-marktmonitoring en regulatoire onderzoeken te ondersteunen.
- Toegankelijkheid voor autoriteiten. Logs moeten op verzoek beschikbaar zijn voor nationale bevoegde autoriteiten om toezichthoudend toezicht, incidentenonderzoek en markttoezichtactiviteiten te vergemakkelijken.
- Traceerbaarheid van uitvoer. Het logboeksysteem moet de reconstructie van een causale keten van een specifieke invoer naar een specifieke uitvoer mogelijk maken, ter ondersteuning van verantwoordingsplicht en het recht op uitleg waar dit van toepassing is.
- Afstemming met technische documentatie. De loggingarchitectuur en de reikwijdte ervan moeten worden beschreven in de technische documentatie die wordt bijgehouden onder Artikel 11, waarmee consistentie wordt gewaarborgd tussen het systeem zoals ontworpen en het systeem zoals gemonitord.
Relatie met andere artikelen
Artikel 12 kan niet geïsoleerd worden gelezen. Het functioneert als onderdeel van een netwerk van onderling verbonden vereisten in Titel III, Hoofdstuk 2.
Artikel 9 (Risicobeheersysteem) stelt het overkoepelende kader vast waarbinnen logging invoer levert — logs genereren de operationele gegevens die nodig zijn om risico's in reële inzetomgevingen te identificeren en te beoordelen.
Artikel 11 (Technische documentatie) vereist dat aanbieders de loggingarchitectuur en -mogelijkheden documenteren als onderdeel van het bredere technische dossier dat wordt ingediend bij aangemelde instanties of wordt bewaard voor regulatoire inspectie.
Artikel 17 (Kwaliteitsbeheersysteem) vereist dat aanbieders een kwaliteitsbeheersysteem handhaven dat logging integreert in bredere operationele controles en corrigerende actieprocedures.
Artikel 26 (Verplichtingen van gebruikers) wijst aan beheerders de verplichting toe om de logs die zij controleren, te bewaren en samen te werken met aanbieders en autoriteiten, waardoor Artikel 12 een gedeelde verantwoordelijkheid wordt in de hele toeleveringsketen.
Artikel 72 (Post-marktmonitoring) is de downstream-afnemer van Artikel 12-logs — het monitoringsysteem vertrouwt op operationele logs om prestatiedegradatie, onverwachte uitvoer en opkomende risico's na inzet te detecteren.
Artikel 73 (Melding van ernstige incidenten) gebruikt loggegevens als primair bewijs wanneer aanbieders verplicht zijn ernstige storingen of incidenten te melden bij markttoezichtautoriteiten.
Nalevingstijdlijn
De EU AI-wet (Verordening 2024/1689) is op 1 augustus 2024 in werking getreden, twintig dagen na publicatie in het Publicatieblad van de Europese Unie.
De toepassing van de Verordening is gefaseerd:
- 2 februari 2025 — Verboden op AI-praktijken met onaanvaardbaar risico (Titel II, Artikel 5) werden van toepassing.
- 2 augustus 2025 — Regels voor AI-modellen voor algemene doeleinden (Titel VIII) en governanceverplichtingen (Titel III, Hoofdstuk 4 over aangemelde instanties; Titel VI over governance) werden van toepassing.
- 2 augustus 2026 — Verplichtingen voor hoog-risico AI-systemen vermeld in Bijlage III beginnen voor de meeste categorieën van toepassing te zijn. Artikel 12 valt binnen deze fase. Aanbieders en beheerders van hoog-risico AI-systemen moeten tegen deze datum over conforme logboekfunctionaliteiten beschikken.
- 2 augustus 2027 — Verlengde deadline voor hoog-risico AI-systemen die vallen onder bestaande sectorale Uniale harmonisatiewetgeving vermeld in Bijlage I (bijv. machines, medische hulpmiddelen), zodat die sectoren extra tijd hebben om bestaande conformiteitsbeoordelingsframeworks aan te passen.
Organisaties die hoog-risico AI-systemen ontwikkelen, moeten 2 augustus 2026 beschouwen als de harde nalevingsdeadline voor de registratievereisten van Artikel 12, waarbij het ontwerp en testen van de logboekinfrastructuur ruim van tevoren moet zijn afgerond om conformiteitsbeoordelingsprocedures onder Artikel 43 mogelijk te maken.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Artikel 12 vereist dat hoog-risico AI-systemen worden ontworpen en gebouwd met mogelijkheden die automatische registratie van gebeurtenissen — logboeken — mogelijk maken gedurende hun operationele levensduur. Deze logboeken moeten post-marktmonitoring mogelijk maken en het onderzoek van incidenten of ernstige storingen vergemakkelijken.
De primaire verplichting rust op aanbieders van hoog-risico AI-systemen. Aanbieders moeten ervoor zorgen dat de logboekfunctionaliteit by design in het systeem is ingebouwd, voordat het systeem op de markt wordt gebracht of in gebruik wordt genomen.
Logboeken moeten minimaal gebeurtenissen vastleggen die relevant zijn voor het identificeren van risico's voor de gezondheid, veiligheid of grondrechten tijdens het gebruik van het systeem. Dit omvat de periode van elk gebruik, de referentiedatabank waartegen invoergegevens zijn gecontroleerd, invoergegevens die tot een bepaalde uitvoer hebben geleid, en de identiteit van de betrokken natuurlijke personen bij de verificatie van resultaten.
De Verordening specificeert geen enkele universele bewaarperiode in Artikel 12 zelf, maar logboeken moeten worden bewaard gedurende de periode die nodig is om de verplichtingen onder de Verordening na te komen, inclusief post-marktmonitoring onder Artikel 72. Sectorspecifieke regels kunnen aanvullende bewaaringsvereisten opleggen.
Nee. Artikel 12 is specifiek van toepassing op hoog-risico AI-systemen zoals gedefinieerd in Artikel 6 en vermeld in Bijlage III van Verordening (EU) 2024/1689. Algemene AI-systemen en systemen met een lager risico zijn niet onderworpen aan dit artikel, tenzij zij ook als hoog-risico kwalificeren.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.