In veel organisaties verschillen oplossingen op basis van kunstmatige intelligentie (AI) tegenwoordig fundamenteel van traditionele IT-middelen. Waar een conventioneel IT-middel bijvoorbeeld een server, een applicatie of gelicentieerde software kan zijn, bestaat een AI-oplossing vaak uit talrijke onderling samenwerkende subsystemen, datapijplijnen, systemen voor het trainen en implementeren van modellen, API’s, gebruikersinterfaces, monitoring, feedbackloops, diensten van leveranciers, enzovoort. Volgens nieuwe wettelijke richtlijnen moeten organisaties het gebruik van AI, het type use case en het onderliggende LLM bijhouden. Meer specifiek: het potentiële risico dat de AI-use case voor de samenleving kan inhouden. Net als in de financiële sector, waar transacties dynamisch en aan verandering onderhevig zijn, zijn realtime monitoring en controle van cruciaal belang. Vanwege deze complexiteit en dynamiek hebben organisaties een speciaal AI-beheersysteem nodig, in plaats van AI te behandelen als “gewoon weer een statische applicatie”. Enkele van de belangrijkste drijfveren voor deze behoefte zijn:

• Zichtbaarheid en risicobeheer: Zonder te weten welke AI-systemen er bestaan, hoe ze worden gebruikt en wie de eigenaar ervan is, opereert u in feite blind. In een artikel staat dat “zonder een duidelijk AI-inventarisbeheer risico's ongecontroleerd blijven.”[1]
• Paraatheid op het gebied van regelgeving en governance: Naarmate regelgeving zoals de EU AI-wet van kracht wordt, zullen organisaties moeten aantonen dat ze zorgen voor governance, verantwoording en transparantie van AI-systemen. Een inventaris vormt daar een fundamenteel onderdeel van.[2]
• Operationele controle en levenscyclusbeheer: AI-systemen evolueren — modellen worden opnieuw getraind, gegevensbronnen veranderen, zakelijke use-cases verschuiven. Een statische lijst met activa volstaat niet; je hebt een systeem nodig dat levenscyclus- en veranderingsbeheer ondersteunt. [3]
• Innovatie en schaalbaarheid: Om AI veilig op te schalen, moeten organisaties een evenwicht vinden tussen innovatie en governance. Een beheersysteem helpt bij het standaardiseren van de manier waarop nieuwe AI-systemen worden geïntroduceerd, beoordeeld en gevolgd.[4]

Kortom, AI behandelen als traditionele IT is onvoldoende. U hebt specifieke infrastructuur, processen en toezicht nodig. En een van de eerste onderdelen van die infrastructuur is de AI-inventaris.

Wat is een AI-inventaris?

Binnen het bredere AI-beheersysteem is de AI-inventaris (ook wel AI-register genoemd) een van de fundamentele componenten. Laten we verduidelijken wat het is, waarom het belangrijk is en hoe het verschilt van een traditionele IT-inventaris. Een AI-inventaris is een opslagplaats of catalogus waarin gedetailleerde informatie over elke AI-tool, elk AI-model, elk AI-systeem of elke use-case binnen de organisatie wordt vastgelegd en bijgehouden. Deze omvat:

• Systeemnaam, versie, implementatiestatus
• Doel van het systeem
• Gegevensinvoer en -uitvoer
• Eigendom (businessunit, verantwoordelijke organisatie)
• Gegevens van leverancier/derde partij, indien van toepassing
• Risicoclassificatie, gebruiksfrequentie
• Technische metadata (modeltype, licentie, API's, enz.)

Een richtlijn definieert een AI-inventaris bijvoorbeeld als “een gedetailleerde lijst van de AI-systemen die binnen uw organisatie zijn ontwikkeld en worden gebruikt, inclusief de specifieke use-cases voor die systemen.” Het opstellen van een AI-inventaris is de essentiële eerste stap bij het opzetten van AI-governance. Regelgevingskaders zoals de EU AI-wet, ISO 42001 en het NIST AI Risk Management Framework (AI RMF) maken dit nu tot een fundamentele vereiste. Het is niet langer alleen een best practice – het wordt een verwachting op het gebied van compliance.

Waarom het belangrijk is

• Zichtbaarheid: Zonder een inventaris bent u zich mogelijk niet bewust van veel AI-systemen die in gebruik zijn (inclusief “schaduw-AI”, waarbij bedrijfsonderdelen tools gebruiken zonder formeel toezicht).
• Governance en risicobeheersing: Met de inventaris kunt u beoordelen welke systemen een hoog risico vormen (gevoelige gegevens, geautomatiseerde besluitvorming, black-box van leveranciers) en uw governance daarop afstemmen.
• Compliance-gereedheid: Het beschikken over nauwkeurige, actuele inventarisgegevens helpt bij het voldoen aan audit-, regelgevings- en interne toezichtseisen.
• Operationele verantwoordelijkheid: Het maakt duidelijk wie wat bezit, wat het doel van het systeem is, hoe vaak het wordt gebruikt en met welke gegevens het in aanraking komt — waardoor levenscyclusbeheer mogelijk wordt.
• Innovatie faciliteren: In plaats van innovatie te belemmeren, helpt een goede inventarisstructuur deze te sturen door transparant te maken hoe nieuwe use-cases binnenkomen, worden beoordeeld en worden gevolgd.

Hoe het verschilt van traditionele IT-inventarisatie

Hoewel IT-inventarissen (hardware, software, servers, licenties) belangrijke details vastleggen, moet een AI-inventaris op verschillende manieren verder gaan:

• AI-systemen omvatten vaak meerdere componenten (modellen, pijplijnen, data, gebruikersinterfaces) en evolueren in de loop van de tijd; traditionele assets zijn statischer.
• AI vereist metadata over databronnen, modelversies, trainings-/serviceringomgevingen, drift/monitoring — iets wat grotendeels ontbreekt in klassieke IT-asset-tracking.
• AI-toepassingen kunnen in bedrijfsprocessen worden ingebed met een grotere verscheidenheid (bijv. HR-screening, klantenservicebots, voorspellende analyses) en verschillende risicoprofielen. Traditionele assets vertonen vaak een meer homogeen risico binnen een bepaalde assetklasse.
• Er is een hogere incidentie van schaduwadoptie, snelle experimenten en gedecentraliseerd eigendom bij AI, wat ontdekking en governance bemoeilijkt.

Daarom moet de inventaris worden ontworpen met het unieke karakter van AI in gedachten.

Doelstelling en procedure van de inventaris

Een organisatie kan de doelstelling en procedure voor het opzetten en onderhouden van een AI-inventaris benaderen door deze af te stemmen op bestaande praktijken voor IT-activainventarisatie, maar dan aangepast voor AI.

Doelstelling

• Het vastleggen van alle AI-systemen/tools die binnen de onderneming in gebruik zijn (inclusief interne, van leveranciers, voor ontwikkeling/testen en proefprojecten).
• Het bieden van één betrouwbare bron voor AI-middelen: wat is er, waar, hoe wordt het gebruikt, door wie, met welke gegevens en met welk risico.
• Governance mogelijk maken: toezicht, risicoclassificatie, levenscyclusbeheer (implementatie, buitengebruikstelling, herconfiguratie).
• Communicatie met belanghebbenden ondersteunen (bedrijfsverantwoordelijken, compliance, audit, juridische afdeling en leidinggevenden).
• Medewerkers en bedrijfsonderdelen geruststellen en betrekken (zie volgende paragraaf), zodat het gebruik transparant, veilig en ondersteund is.
• Integreren met bestaande structuren voor assetmanagement en IT-governance, in plaats van alles opnieuw uit te vinden.

Procedure

De procedure voor het opstellen van een roadmap op hoog niveau kan als volgt zijn:

1. Discovery/audit – Begin met het identificeren van bedrijfsonderdelen, teams en functies waar AI mogelijk wordt gebruikt (inclusief pilot- of informele tools).
2. Definieer het metadataschema – Bepaal welke velden uw inventaris zal bevatten (bijvoorbeeld: systeemnaam, versie, licentie, kosten, implementatietype [webinterface/geïnstalleerd/API], doel, gebruiksfrequentie, belanghebbenden, verantwoordelijke organisatie, gegevens van leverancier/derde partij) — zoals in de door u verstrekte sjabloon.
3. Maak gebruik van het bestaande inventarisatieproces voor IT-middelen – Als u al een IT-middelenregister bijhoudt, maak dan gebruik van die infrastructuur (bijv. door te koppelen aan ServiceNow, Jira of andere CMDB's). De richtlijn beveelt aan om de AI-inventaris te modelleren naar bestaande IT-middeleninventarissen en vergelijkbare processen te volgen.
4. Gegevensverzameling – Gebruik meerdere methoden om de initiële inventaris te vullen en deze vervolgens bij te houden (zie volgende paragraaf).
5. Risicoclassificatie/prioritering – Wijs aan elke vermelding een risiconiveau toe (laag/gemiddeld/hoog) op basis van criteria zoals de gevoeligheid van de gegevens, de impact van geautomatiseerde beslissingen en blootstelling aan regelgeving.
6. Integratie in het governance-raamwerk – Koppel inventarisvermeldingen aan governanceprocessen: wie controleert, hoe vaak, wat leidt tot updates en welke monitoring plaatsvindt.
7. Onderhoud / levenscyclusbeheer – Omdat AI dynamisch is, moet u zorgen voor geplande beoordelingen (bijv. per kwartaal) of triggers (modelupdate, wijziging in implementatie, leverancierswisseling) om de inventaris actueel te houden.
8. Rapportage & dashboards – Bied dashboards/overzichten aan voor leidinggevenden, compliance- en risicoteams, zodat zij in één oogopslag kunnen zien: het aantal AI-systemen, de risicospreiding, het eigendom en de status.
9. Communicatie & verandermanagement – Zorg ervoor dat medewerkers en bedrijfsonderdelen op de hoogte zijn van de inventaris, hun rol in de rapportage begrijpen en zich veilig voelen bij het melden van AI-gebruik.

Communicatie, geruststelling van medewerkers & cultuur

Een sterk AI-beheersysteem is niet puur technisch – cultuur en communicatie zijn essentieel.

Het belang van communicatie

• Het management moet duidelijk communiceren waarom de AI-inventaris bestaat: niet alleen voor compliance, maar ook voor zakelijk vertrouwen, operationele controle en risicobeperking.
• Bedrijfsonderdelen moeten worden geïnformeerd over hoe AI-systemen worden bijgehouden, welke gegevens worden verzameld en hoe eigendom en verantwoordelijkheden zijn gedefinieerd.
• Transparantie helpt ervoor te zorgen dat medewerkers en onderdelen weten: dit gaat niet om het betrappen van mensen, maar om het mogelijk maken van veilig, afgestemd AI-gebruik.

Geruststelling van medewerkers

• Het is essentieel om ervoor te zorgen dat medewerkers begrijpen dat niemand zal worden berispt alleen omdat ze melden dat ze een AI-tool gebruiken of ermee experimenteren. Dit stimuleert openheid en vermindert schaduw-AI.
• Organisaties moeten duidelijke richtlijnen geven over wat aanvaardbaar AI-gebruik is, hoe dit moet worden geregistreerd of gemeld, en over de vertrouwelijkheid en bescherming van meldingen door medewerkers.
• Benadruk de steun van het management voor transparante meldingen: dit versterkt de boodschap dat het melden van AI-gebruik bijdraagt aan het algemene risicobeheer en de governance-inspanningen van de onderneming.
• Wanneer medewerkers zich veilig en gesteund voelen, zullen er nauwkeurigere en completere inventarisgegevens worden gerapporteerd — waardoor verborgen risico's worden verminderd en het beheer wordt verbeterd.

Inventarisatie- en gegevensverzamelingsmethoden

Het opstellen en onderhouden van de AI-inventaris vereist een combinatie van technische tools en mensgerichte processen. Hieronder staan aanbevolen methoden, samen met opmerkingen over hoe deze aansluiten bij de door u vermelde velden en sjablonen.

Tools voor systeem- en netwerkdetectie

• Gebruik detectietools om het netwerk of de assetinventaris te scannen op bekende AI-gerelateerde software, API's, leveranciersmodules en machine learning-platforms.
• Data-flowdiagrammen (DFD's) en metadatamapping helpen bij het identificeren van hoe data zich verplaatst in AI-systemen (welke databronnen, welke modellen, welke outputs).
• Gebruik Active Directory of andere systemen voor gebruikerstoegangsbeheer om te identificeren wie toegang heeft tot modeltraining- of inferentiesystemen, wat helpt bij het traceren van eigendom en risico.
• Verzamel metadata (versienummers, licenties, implementatietype, leveranciersgegevens) uit systeemlogboeken of toolregisters.
• Deze tools helpen bij het opsporen van zowel officieel goedgekeurde systemen als ‘schaduw-AI’ (ongeautoriseerde of onbeheerde AI-tools). Een auteur merkt op: “Begin met zichtbaarheid: identificeer elk AI-systeem ... documenteer wat elk systeem doet, met welke gegevens het in aanraking komt en wie de eigenaar is.”

Enquêtes

• Voer gestructureerde enquêtes uit binnen alle bedrijfsonderdelen waarin wordt gevraagd naar het gebruik van AI-tools: bijvoorbeeld: “Welke AI-tools of -diensten (van leveranciers of intern) gebruikt u momenteel?”, “Wat is het doel ervan?”, “Wie is de eigenaar?”, “Welke gegevens verwerken ze?”, “Type implementatie (API/web/desktop)?”
• Om eerlijke antwoorden te stimuleren, moet u waar mogelijk anonimiteit of vertrouwelijkheid garanderen, zodat de angst voor represailles wordt verminderd.
• Gebruik kwantificeerbare vragen (dropdown-menu's, selectievakjes, gestandaardiseerde opties) zodat de resultaten kunnen worden samengevoegd en geanalyseerd.
• Bijvoorbeeld: “Gebruiksfrequentie: dagelijks / wekelijks / maandelijks / ad-hoc”; “Implementatie: webinterface / geïnstalleerde app / API”.
• Enquêtes bieden een breed bereik, vooral voor tools die nog niet formeel zijn goedgekeurd of worden bijgehouden.

Interviews

• Voer interviews met belangrijke teams — met name ontwikkelings-/innovatieteams en bedrijfsonderdelen die experimenteren met nieuwe AI-toepassingen — aangezien zij tools mogelijk informeel of in proefmodus gebruiken.
• Gebruik gestandaardiseerde vragen om onvolledige of onbruikbare gegevens te voorkomen. Bijvoorbeeld: “Welke AI-tools gebruikt u?”, “Wat is het doel?”, “Welke gegevensbronnen?”, “Wie is verantwoordelijk?”, “Wat is de implementatiestatus?”, “Welke risico’s/maatregelen zijn overwogen?”
• Vermijd te open vragen die weliswaar rijke inzichten kunnen opleveren, maar moeilijk te aggregeren zijn. De gestructureerde aanpak ondersteunt aggregatie, rapportage en governance.
• Interviews zijn vooral nuttig voor het vastleggen van experimenten of schaduw-AI die mogelijk nog niet in formele trajecten voorkomen.

Documentatie en integratie

• Ongeacht de detectiemethode moeten organisaties artefacten zoals een AI-beleid, inventarisdocumentatie en activaregisters bijhouden en deze koppelen aan standaardplatforms voor activabeheer (bijv. ServiceNow, Jira).
• Documentatie moet weerspiegelen dat de inventaris een levend document is en geen eenmalig project. Een gids stelt: “Voor bedrijven die AI implementeren, is het bijhouden van een uitgebreide AI-inventaris niet langer optioneel – het is een noodzaak.”
• Ervoor zorgen dat de inventaris integreert met andere governance-tools (modelregisters, MLOps-tools) ondersteunt de automatisering van updates en risicomonitoring.

Gegevensvelden & standaardisatie

Uw lijst met gegevensvelden is nuttig en sluit goed aan bij best practices. Leg voor elk AI-systeem het volgende vast:

• Naam van het AI-systeem
• Versienummer
• Licentie (indien nodig)
• Kosten
• Implementatietype (webinterface, geïnstalleerde app, API)
• Doel van het AI-systeem
• Gebruiksfrequentie
• Belanghebbenden
• Verantwoordelijke organisatie/eigenaar
• Gegevens van derden/leveranciers (indien van toepassing)

Zorg ervoor dat elk veld waar mogelijk gestandaardiseerd is (dropdown-lijsten, standaardcategorieën) om aggregatie, rapportage en dashboards mogelijk te maken.

Vanwege de dynamiek van AI en de snelle acceptatie ervan in organisaties zijn de bovenstaande methoden mogelijk niet efficiënt voor gegevensverzameling. Geautomatiseerde tools voor het ophalen van logs, interpretatie van AI-use-cases, het inventariseren van modellen en het identificeren van mogelijke overtredingen en risico's zijn efficiënter.

Onderhoud en dynamische aard van de AI-inventaris

Een van de kenmerken die AI-systemen (en dus ook hun inventarissen) onderscheidt van traditionele IT-middelen is dynamische verandering: modellen verschuiven, datadistributies veranderen, nieuwe use-cases ontstaan, zakelijke prioriteiten evolueren, experimenten gaan in productie en sommige projecten worden teruggeschroefd. Het inventarisatieproces moet hiermee rekening houden.

• De inventaris moet levend zijn: geen statische lijst die “eenmalig” wordt opgesteld. Organisaties worden aangemoedigd om periodieke beoordelingen en triggers voor updates in te bouwen wanneer er veranderingen plaatsvinden (modelupdates, wijzigingen in de implementatie, vervanging van leveranciers, exitstrategieën).
• Eigendom en verantwoordelijkheid moeten duidelijk zijn: elke vermelding moet een business owner, een technical owner en een governance/review owner hebben.
• De inventaris moet informatie bevatten over het buiten gebruik stellen of ontmantelen van AI-systemen (net zoals u dat zou doen met IT-middelen).
• Schaduw-AI (afdelingen die AI invoeren buiten het toezicht van IT/governance) vormt een reële uitdaging: de inventarisatieaanpak moet het opsporen van deze ‘verborgen’ systemen omvatten, anders blijft het risico onbeheerd.
• Integratie met levenscyclusbeheer (modelregister, MLOps, monitoring, prestatieafwijkingen, bias-tests) helpt de inventaris te koppelen aan de operationele realiteit.
• Dashboards en rapporten moeten wijzigingen benadrukken (nieuwe systemen toegevoegd, buiten gebruik gesteld, risicostatus gewijzigd) ter ondersteuning van governance en toezicht door het management.

Samenvatting & aanbevelingen

Samenvattend:

• AI-oplossingen zijn complex, dynamisch en vaak ingebed in vele systemen en bedrijfsprocessen; ze verschillen wezenlijk van conventionele IT-middelen.
• Om ze verantwoord te beheren, hebben organisaties een AI-beheersysteem nodig: governance, inventarisatie, levenscyclusbeheer, risicotoezicht en communicatie.
• Een kernonderdeel is de AI-inventaris: een gedetailleerde, levende opslagplaats van AI-tools/systemen, hun metadata, eigendom, doel, risicoclassificatie en implementatiestatus.
• De inventaris moet worden gemodelleerd naar bestaande praktijken voor IT-middeleninventarisatie (gebruikmakend van assetmanagementplatforms en standaardprocessen), maar aangepast aan de specifieke kenmerken van AI.
• Voor het verzamelen van gegevens moet gebruik worden gemaakt van systeem-/netwerkdetectie, enquêtes, interviews en gedocumenteerde artefacten om een brede en diepgaande dekking te garanderen.
• Communicatie en cultuur zijn cruciaal: medewerkers moeten zich veilig voelen om het gebruik van AI te melden, weten dat de inventaris bedoeld is voor toezicht en niet voor bestraffing, en het management moet transparantie zichtbaar ondersteunen.
• Het onderhoud moet continu en dynamisch zijn, geïntegreerd met governance en MLOps, en het opsporen van schaduw-AI omvatten.
• Ten slotte worden de inventaris en het bredere beheersysteem strategische activa: ze stellen organisaties in staat om te innoveren met AI terwijl ze risico's beheersen, toezichthouders tevredenstellen en bedrijfswaarde leveren.

Aanbevelingen voor de volgende stappen:

• Begin met een gap-analyse: van welke AI-systemen/tools bent u al op de hoogte? Welk bestaand proces voor activa/inventarisatie is er, en is dit toereikend voor de dynamiek en snelle veranderingen in AI-gebruik?
• Definieer uw metadataschema voor de AI-inventaris (gebruik de veldlijst die u al hebt) en kies de tool/het platform (spreadsheet, asset-managementsysteem, aangepaste tool).
• Start een proefproject voor gegevensverzameling in één bedrijfsonderdeel om de eerste inventarisgegevens in te voeren en het proces te testen. Test de snelheid van het invoeren en onderhouden van het register.
• Classificeer de gegevens op risiconiveau en identificeer risicovolle systemen (en de onderliggende LLM) die onmiddellijke aandacht van het governance-team vereisen.
• Communiceer breed met bedrijfsonderdelen en medewerkers: leg uit wat u doet, waarom, hoe zij kunnen deelnemen en hoe zij worden ondersteund.
• Zet een proces op voor doorlopend onderhoud: plan beoordelingen, op triggers gebaseerde updates, dashboardrapportages en governance-beoordelingscycli.
• Koppel de inventaris aan uw bredere AI-governanceprogramma door deze te verbinden met modelregisters, compliance-beoordelingen, MLOps-pijplijnen en auditlogs.

Conclusies

Elke organisatie die AI gebruikt, heeft een speciaal AI-beheersysteem (AIMS) nodig met een centrale, continu bijgewerkte AI-inventaris als ruggengraat.

Een AI-inventaris registreert elk AI-systeem, het doel ervan, de gegevens, de onderliggende modellen, het risiconiveau en – cruciaal – de zakelijke en technische eigenaren. Dit maakt zichtbaarheid, controle over de levenscyclus en risicogebaseerd beheer mogelijk, en is nu een fundamentele verwachting binnen kaders zoals de EU AI Act, ISO 42001 en NIST AI RMF.

Het artikel maakt echter ook duidelijk dat handmatige inventarisaties en enquêtes niet voldoende zijn. Gezien de snelheid en schaal van de AI-toepassing hebben organisaties automatisering nodig: tools die AI-gebruik detecteren uit logs en systemen, de inventaris in realtime bijhouden en automatisch risico's en mogelijke overtredingen classificeren.

Voortbouwend hierop moet een compleet AIMS automatisch:

• De AI-inventaris bijhouden als een levend register.
• Elk systeem koppelen aan relevante wetten en normen (bijv. de EU AI-wet) en waarschuwen wanneer gedrag of configuratie mogelijk in strijd is met de vereisten.
• Eigenaren van activa aanwijzen en volgen die verantwoordelijk zijn voor het beheer van risico's en de implementatie van controles.

Als deze mogelijkheden worden geautomatiseerd en geïntegreerd in de normale bedrijfsvoering, kunnen organisaties die AI toepassen met veel meer vertrouwen de EU-markt betreden en daar opereren – waarbij ze op grote schaal governance, verantwoordingsplicht en naleving aantonen en tegelijkertijd snel blijven innoveren.

 

[1] Guru Sethupathy (2025) Building Oversight at Scale with Intelligent AI Inventory Management,

[2] Nicole Santiago (2024) Wat is een AI-inventaris en waarom zou u er een opzetten?

[3] Ryan Oskvarek (2024) AI-systeeminventarissen – De basis voor governance

[4] Bex Evans (2023) Wat is een AI-inventaris en waarom heeft u er een nodig?

Het opzetten van een AI-inventaris is een van de eerste en meest cruciale stappen bij het opzetten van een AI-governanceprogramma.