Artikel 19 van Verordening (EU) 2024/1689 — Automatisch gegenereerde logs. Officiële tekst, praktische interpretatie, kernverplichtingen en nalevingsimplicaties.
Samenvatting officiële tekst
Artikel 19 van Verordening (EU) 2024/1689 vestigt een logverplichting die op twee niveaus werkt: een ontwerpverplichting voor aanbieders en een operationele verplichting voor exploitanten.
Aan de kant van de aanbieder vereist Artikel 19(1) dat hoog-risico AI-systemen technisch in staat zijn om automatisch logs van hun werking gedurende hun gehele levensduur te genereren. Aanbieders moeten deze mogelijkheid voor zover technisch haalbaar in het systeem inbouwen, zodat gebeurtenissen zonder handmatige tussenkomst kunnen worden vastgelegd. Dit sluit direct aan bij het bredere transparantie- en traceerbaarheidskader van Titel III.
Aan de kant van de exploitant vereist Artikel 19(2) dat exploitanten de door de hoog-risico AI-systemen die zij exploiteren automatisch gegenereerde logs bewaren. De minimale bewaartermijn is zes maanden, tenzij het Unierecht of het toepasselijke recht van een lidstaat een langere termijn voorschrijft. Sectorspecifieke regelgeving — bijvoorbeeld in de financiële sector, gezondheidszorg of kritieke infrastructuur — zal dit standaardminimum doorgaans overschrijden.
De logs die Artikel 19 beoogt dienen meerdere nalevingsdoeleinden: zij ondersteunen post-marktbewaking op grond van Artikel 72, faciliteren incidentrapportage op grond van Artikel 73, en bieden de evidentaire basis die nationale bevoegde autoriteiten nodig hebben bij het uitoefenen van markttoezicht op grond van Hoofdstuk VI. Het artikel schrijft zelf niet het precieze technische formaat of de granulariteit van logs voor, maar laat die details over aan geharmoniseerde normen en de technische documentatievereisten van Artikel 11 en Bijlage IV.
Wat dit in de praktijk betekent
Voor organisaties die hoog-risico AI-systemen inzetten introduceert Artikel 19 een concrete gegevensbewaarplicht die vanaf de eerste dag van de inzet in operationele processen moet worden ingebouwd.
Exploitanten moeten eerst verifiëren dat het AI-systeem dat zij gebruiken technisch in staat is logs automatisch te genereren. Als een aanbieder een systeem levert dat deze mogelijkheid mist terwijl dit technisch haalbaar is, schendt de aanbieder zijn eigen verplichtingen — maar de exploitant draagt nog steeds verantwoordelijkheid voor het uitvoeren van adequate zorgvuldigheid vóór inzet, zoals vereist door Artikel 26.
In de praktijk betekent dit dat exploitanten van aanbieders duidelijke documentatie moeten opvragen die bevestigt dat de logfunctionaliteit aanwezig is, die beschrijft welke gebeurtenissen worden vastgelegd en het logformaat specificeert. Deze documentatie dient deel uit te maken van de contractuele afspraken tussen aanbieder en exploitant.
Zodra het systeem operationeel is, moeten exploitanten een logbewaarbeleid implementeren dat ten minste zes maanden beslaat. Voor organisaties die actief zijn in gereguleerde sectoren wordt deze basislijn bijna altijd verlengd: een ziekenhuis dat een AI-ondersteund diagnostisch hulpmiddel inzet, moet de logbewaring afstemmen op de wetgeving inzake medische dossiers; een bank die een AI-kredietscoringssysteem inzet, moet rekening houden met de regels voor het bijhouden van financiële dienstverleningsgegevens, die vaak meerdere jaren bewaring vereisen.
Concrete operationele stappen zijn onder meer: de verantwoordelijkheid voor logopslag en toegangscontroles aanwijzen, ervoor zorgen dat logs fraudebestendig en veilig worden opgeslagen, processen opzetten voor het snel ophalen van logs in reactie op een regelgevingsverzoek of incidentonderzoek, en het bewaarbeleid documenteren binnen het bredere AI-governancekader van de organisatie.
Logs dienen voldoende informatie vast te leggen om de aan het systeem verstrekte invoer, de gegenereerde uitvoer, de gebruikte versie van het model en de timing van de bewerkingen te kunnen reconstrueren — zodat zinvolle beoordeling achteraf mogelijk is.
Kernverplichtingen
- Aanbieders moeten hoog-risico AI-systemen ontwerpen en bouwen zodat zij voor zover technisch haalbaar technisch in staat zijn gedurende de operationele levensduur van het systeem automatisch logs van hun werking te genereren.
- Exploitanten moeten de automatisch gegenereerde logs die worden geproduceerd door de hoog-risico AI-systemen die zij exploiteren gedurende ten minste zes maanden vanaf de datum van generatie bewaren, of langer indien vereist door toepasselijk Unie- of lidstaatrecht.
- Exploitanten moeten ervoor zorgen dat bewaarde logs toegankelijk en veilig zijn en op verzoek aan nationale bevoegde autoriteiten kunnen worden verstrekt tijdens markttoezicht of incidentonderzoeken.
- Aanbieders moeten de logfunctionaliteit van hun systeem documenteren — inclusief wat er wordt vastgelegd, het logformaat en eventuele bekende technische beperkingen — als onderdeel van de technische documentatie die vereist is op grond van Artikel 11 en Bijlage IV.
- Waar sectorspecifieke regelgeving strengere of langere bewaringsvereisten oplegt, moeten exploitanten deze vereisten toepassen naast, en in plaats van, de basislijn van zes maanden.
- Exploitanten moeten ervoor zorgen dat de loginfrastructuur gedurende de gehele gebruiksperiode van het hoog-risico AI-systeem wordt onderhouden en dat de integriteit van logs wordt beschermd tegen manipulatie of onopzettelijke verwijdering.
Relatie met andere artikelen
Artikel 19 maakt deel uit van Hoofdstuk 3 van Titel III en moet worden gelezen als onderdeel van een geïntegreerd traceerbaarheidskader in plaats van een geïsoleerde verplichting.
Het sluit direct aan bij Artikel 12 (Registratiebehoud), dat vereist dat hoog-risico AI-systemen zodanig worden ontworpen dat de registratie van hun werking mogelijk is, en bij Artikel 11 en Bijlage IV, die specificeren welke technische documentatie aanbieders moeten bijhouden, inclusief beschrijvingen van de logfunctionaliteit.
Artikel 19 heeft betrekking op Artikel 72 (Post-marktbewaking), dat vereist dat aanbieders de systeemprestaties in het veld actief bewaken — logs zijn de primaire gegevensbron voor deze bewaking. Het ondersteunt ook Artikel 73 (Melding van ernstige incidenten), waarbij logs de evidentaire basis vormen voor begrip van wat er tijdens een incident is gebeurd.
De logs die worden bewaard op grond van Artikel 19 behoren tot de records die nationale bevoegde autoriteiten kunnen opvragen bij het uitoefenen van hun markttoezichtsbevoegdheden op grond van Artikelen 74 en 75. Tot slot weerspiegelt de toewijzing van verantwoordelijkheden tussen aanbieders en exploitanten zoals uiteengezet in Artikel 19 het bredere kader dat is vastgesteld door Artikel 25 (Verantwoordelijkheden in de waardeketen) en Artikel 26 (Verplichtingen van exploitanten).
Nalevingstijdlijn
De EU AI-wet is op 1 augustus 2024 in werking getreden en heeft een gefaseerd toepassingsschema ingeleid.
Artikel 19 valt binnen Titel III, Hoofdstuk 3, dat de verplichtingen regelt voor aanbieders en exploitanten van hoog-risico AI-systemen. De algemene toepassingsdatum voor verplichtingen voor hoog-risico AI-systemen — inclusief Artikel 19 — is 2 augustus 2026 voor systemen die zijn opgenomen in Bijlage III (hoog-risicotoepassingen op gebieden zoals onderwijs, werkgelegenheid, essentiële diensten en rechtshandhaving). Voor hoog-risico AI-systemen die vallen onder Bijlage I (veiligheidscomponenten van producten die worden gereguleerd door bestaande Unie-harmonisatiewetgeving) gelden de verplichtingen vanaf 2 augustus 2027, afgestemd op de vernieuwing of eerste afgifte van relevante productconformiteitsbeoordelingen.
Eerdere toepassingsmijlpalen omvatten het verbod op AI-praktijken met onaanvaardbaar risico (Artikel 5), dat van toepassing was vanaf 2 februari 2025, en verplichtingen met betrekking tot AI-modellen voor algemeen gebruik (Titel VII), die van toepassing waren vanaf 2 augustus 2025.
Organisaties die hoog-risico AI-systemen inzetten moeten de datum van 2 augustus 2026 behandelen als de harde nalevingsdeadline voor verplichtingen op grond van Artikel 19, maar moeten ruim van tevoren beginnen met het ontwerpen van logbewaarbeleid, het beoordelen van aanbiederscontracten en het afstemmen op sectorspecifieke bewaaringswetten — de complexiteit van enterprise-datagovernance maakt last-minute naleving structureel moeilijk.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Automatisch gegenereerde logs zijn records die worden geproduceerd door hoog-risico AI-systemen en die gebeurtenissen, invoer, uitvoer en operationele gegevens vastleggen gedurende de levenscyclus van het systeem. Artikel 19 vereist dat aanbieders ervoor zorgen dat hun hoog-risico AI-systemen dergelijke logs automatisch genereren voor zover technisch haalbaar, zodat traceerbaarheid en post-marktbewaking mogelijk worden.
De primaire verplichting rust op exploitanten, die de automatisch gegenereerde logs moeten bewaren voor een minimumperiode die wordt bepaald door het toepasselijke recht of, bij ontbreken daarvan, gedurende ten minste zes maanden. Aanbieders moeten de logfunctionaliteit in het systeem zelf ontwerpen en inbouwen. Beide partijen dragen afzonderlijke maar complementaire verantwoordelijkheden.
Nee. Artikel 19 is specifiek van toepassing op hoog-risico AI-systemen zoals gedefinieerd in Artikel 6 en opgesomd in Bijlage III van de EU AI-wet. AI-systemen voor algemeen gebruik en AI-systemen die niet onder de hoog-risicoclassificatie vallen, zijn niet onderworpen aan deze specifieke logvereiste, hoewel andere verplichtingen van toepassing kunnen zijn.
Exploitanten moeten automatisch gegenereerde logs gedurende ten minste zes maanden bewaren, tenzij het Unierecht of het recht van de lidstaat dat van toepassing is op de exploitant of het gebruiksscenario een andere, doorgaans langere, bewaartermijn voorschrijft. Exploitanten dienen altijd sectorspecifieke regelgeving te raadplegen — zoals die voor gezondheidszorg, financiën of kritieke infrastructuur — omdat deze strengere vereisten kunnen opleggen.
Het niet bewaren van logs zoals vereist door Artikel 19 kan een schending van de EU AI-wet vormen en exploitanten blootstellen aan toezichtsmaatregelen en administratieve boetes. Logs zijn ook cruciaal bewijsmateriaal in geval van een incident, veiligheidsonderzoek of regelgevingsaudit, zodat hun afwezigheid de aansprakelijkheid aanzienlijk kan vergroten.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.