AI Incident Procedure

AIAdopt, versie 1.0

Van kracht: 21 april 2026 · Volgende herziening: Q4 2026

Waarom publiceren wij dit document?

Een AI Usage Policy zonder bijbehorende Incident Procedure is een halve governance-praktijk. Beleid beschrijft hoe we AI gebruiken, deze procedure beschrijft wat we doen als het misgaat. We publiceren beide samen, omdat ze samen één werkend geheel vormen. Dit is geen marketing-document, het is onze interne werkprocedure. Wie wil zien hoe een eenmanszaak een werkbare AI-incidentafhandeling opzet, leest hier mee.

1. Documentbeheer

•Document: AIAdopt AI Incident Procedure

•Versie: 1.0

•Status: Van kracht

•Ingangsdatum: 21 april 2026

•Volgende herziening: Q4 2026 (en jaarlijks daarna), evenals na elk getriggerd incident

•Eigenaar: Rob Ummels, oprichter (incident manager)

•Gekoppelde documenten: AIAdopt AI Usage Policy v1.0, AIAdopt AI Tool Inventory v1.0

•Wettelijke basis / referentiekader: AVG/GDPR Artikelen 33 en 34, Artikel 73 EU AI Act voor zover AIAdopt optreedt als provider van een hoog-risico AI-systeem

•Vrijwillige verbintenis: EU AI Pact Optional Commitments inzake risicobeheer

2. Doel

Deze procedure beschrijft hoe AIAdopt incidenten met AI-tools afhandelt, voor zover die door of namens de organisatie worden gebruikt. Ze bestaat om incidenten vroeg te detecteren, snel in te dammen, te rapporteren waar de wet dat verplicht, en ervan te leren. De procedure ondersteunt de risicobeheer-verbintenissen onder de EU AI Pact en de wettelijke verplichtingen onder de AVG/GDPR. Artikel 73 EU AI Act wordt meegenomen voor het geval AIAdopt in de toekomst optreedt als provider van een hoog-risico AI-systeem of anderszins onder een AI Act-meldplicht valt.

3. Wat geldt als AI-incident

Een AI-incident is elke gebeurtenis waarbij een AI-tool die door AIAdopt wordt gebruikt, een resultaat produceert, mogelijk maakt of niet voorkomt dat schadelijk, onwettig, materieel onjuist of in strijd met de AIAdopt AI Usage Policy is. Voorbeelden:

•Het invoeren van persoonsgegevens in een AI-tool op een wijze die in strijd is met de AVG/GDPR of de AIAdopt AI Usage Policy.

•Externe publicatie van AI-gegenereerde content die feitelijk onjuist, misleidend, discriminerend is, of het auteursrecht schendt.

•Gebruik van een AI-tool buiten de AI Tool Inventory voor operationeel werk.

•Onverwacht gedrag van een AI-tool dat verstoring van het AIAdopt-platform of zijn diensten veroorzaakt.

•Misbruik van het AIAdopt-trainingsplatform met AI-componenten, gemeld door een cursist of klant.

•Elke gebeurtenis die kwalificeert als ernstig incident onder Artikel 73 EU AI Act (zie sectie 5).

Deze interne definitie is bewust breder dan de wettelijke definities van een persoonsgegevenslek of van een ernstig AI-incident. Niet elk AI-incident dat onder deze procedure wordt afgehandeld, is automatisch wettelijk meldingsplichtig.

4. Ernstniveaus en minimumrespons

Elk incident wordt geclassificeerd op een schaal van vier niveaus. De classificatie bepaalt de minimumrespons. De oprichter mag een niveau altijd opschalen als de situatie dat rechtvaardigt.

Niveau 1: Klein

Voorbeelden: AI-output met een feitelijke fout die niet extern is gepubliceerd; een kleine bug in een AI-gegenereerd code-fragment, opgevangen tijdens review.

Minimumrespons: Vastleggen in incidentregister. Corrigeren. Geen externe actie vereist.

Niveau 2: Matig

Voorbeelden: Extern gepubliceerde AI-content met een feitelijke fout of misleidende uitspraak, achteraf ontdekt. Gebruik van een AI-tool buiten de inventory door een derde partij die namens AIAdopt handelt.

Minimumrespons: Vastleggen. Publicatie corrigeren binnen 48 uur. Inventory bijwerken. Interne root-cause review.

Niveau 3: Groot

Voorbeelden: Persoonsgegevens van een natuurlijke persoon zijn ingevoerd in of gedeeld met een AI-tool op een wijze die mogelijk een ongeoorloofde verstrekking, ongeoorloofde toegang of andere inbreuk op de AVG/GDPR vormt. AI-gegenereerde beslissing heeft een specifiek individu geraakt (bijvoorbeeld een geautomatiseerde afwijzing) zonder menselijke review.

Minimumrespons: Vastleggen. Onmiddellijke indamming. AVG/GDPR Artikelen 33 en 34 beoordeling binnen 24 uur. Melding aan GBA (Belgische DPA) binnen 72 uur als drempel wordt gehaald. Klant of verwerkingsverantwoordelijke zonder onnodige vertraging informeren indien klantdata of namens een klant verwerkte persoonsgegevens zijn geraakt.

Niveau 4: Ernstig

Voorbeelden: Ernstig incident onder Artikel 73 EU AI Act: een incident dat direct of indirect leidt tot overlijden, ernstige gezondheidsschade, ernstige en onomkeerbare verstoring van kritieke infrastructuur, inbreuk op verplichtingen onder Unierecht die bedoeld zijn om grondrechten te beschermen, of ernstige schade aan eigendom of milieu.

Minimumrespons: Vastleggen. Onmiddellijke indamming. Melding aan bevoegde autoriteit onder Artikel 73 binnen de toepasselijke termijn (zie sectie 5). Volledig onderzoek. Communicatie aan betrokkenen, klanten of publiek indien wettelijk vereist of noodzakelijk om schade te beperken.

5. Ernstige incidenten onder Artikel 73 EU AI Act

Artikel 73 EU AI Act definieert een ernstig incident als een incident of storing van een AI-systeem dat direct of indirect leidt tot:

•Overlijden van een persoon, of ernstige schade aan iemands gezondheid.

•Ernstige en onomkeerbare verstoring van het beheer of de werking van kritieke infrastructuur.

•Inbreuk op verplichtingen onder Unierecht die bedoeld zijn om grondrechten te beschermen.

•Ernstige schade aan eigendom of het milieu.

De standaardtermijn onder Artikel 73 is zo spoedig mogelijk en uiterlijk binnen 15 dagen nadat het causale verband, of de redelijke waarschijnlijkheid daarvan, is vastgesteld. Kortere termijnen gelden in specifieke gevallen, waaronder uiterlijk 2 dagen bij wijdverbreide inbreuken en uiterlijk 10 dagen bij overlijden. De oprichter beoordeelt elk incident tegen deze criteria en schaalt op bij twijfel. Bij onzekerheid of een geval kwalificeert, wordt zo snel mogelijk juridisch advies ingeschakeld, zonder de toepasselijke meldtermijnen onder de AVG/GDPR of de EU AI Act in gevaar te brengen.

Op basis van de actuele AI Tool Inventory zet AIAdopt op dit moment geen hoog-risico AI-systemen in. Daarom zal Artikel 73 in de gewone bedrijfsvoering waarschijnlijk niet worden getriggerd. Deze procedure neemt Niveau 4 toch op, om voorbereid te zijn als de omstandigheden veranderen.

6. Responsworkflow

De volgende stappen gelden voor elk incident, ongeacht het ernstniveau. De omvang en urgentie worden afgestemd op het niveau.

Stap 1: Detecteren en vastleggen

Zodra de oprichter zich bewust wordt van een incident (door eigen waarneming, klantmelding, melding van derden, of platform-alert), wordt het incident vastgelegd in het AIAdopt Incidentregister met: datum en tijdstip van detectie, beschrijving, betrokken AI-tool(s), betrokken data, initiële inschatting van het ernstniveau.

Stap 2: Indammen

Onmiddellijke acties om verdere schade te voorkomen: de operatie die het incident veroorzaakte stoppen, toegang tot het betrokken tool intrekken indien relevant, gepubliceerde content verwijderen of corrigeren, betrokken data isoleren, bewijsmateriaal bewaren (logs, schermafbeeldingen, prompt-historie).

Stap 3: Classificeren

Binnen 24 uur na detectie kent de oprichter het definitieve ernstniveau toe en documenteert de overweging. Bij twijfel wordt het hogere niveau gekozen, in afwachting van verder onderzoek.

Stap 4: Notificeren

Notificaties volgen de minimumrespons-matrix in sectie 4. Betrokkenen worden zonder onnodige vertraging geïnformeerd als hun persoonsgegevens zijn geraakt op een wijze die waarschijnlijk leidt tot een hoog risico voor hun rechten en vrijheden. Klanten worden geïnformeerd als hun data of dienst is geraakt.

Stap 5: Onderzoeken en documenteren

Voor Niveau 2 en hoger wordt binnen 14 dagen een root-cause-analyse gedocumenteerd, met: wat is gebeurd, waarom het is gebeurd, wat is gedaan, wat de impact was, wat verandert om herhaling te voorkomen.

Stap 6: Leren en aanpassen

Bevindingen worden waar nodig verwerkt in de AI Usage Policy, de AI Tool Inventory en deze procedure. Elke wijziging wordt gedateerd en verschijnt in de volgende versie van het betrokken document.

7. Contacten en escalatie

De volgende contacten worden onderhouden voor incidentrespons. De gegevens worden jaarlijks tijdens de Q4-review geverifieerd en onmiddellijk bijgewerkt als een contact wijzigt.

GBA (Belgische Gegevensbeschermingsautoriteit)

Waarvoor: Datalekmeldingen persoonsgegevens (AVG/GDPR Art. 33).

Hoe te bereiken: [email protected] · +32 2 274 48 00 · www.gegevensbeschermingsautoriteit.be

BIPT / bevoegde Belgische AI Act-autoriteit

Waarvoor: Ernstig-incidentmeldingen onder de AI Act.

Hoe te bereiken: Te bevestigen per type incident en nationale uitvoeringsregels. Tot bevestiging: raadpleeg de AI Act Service Desk en de actuele BIPT-informatiepagina.

Leverancier van het betrokken AI-tool

Waarvoor: Tool-specifieke incidentmeldingen, verzoeken tot data-verwijdering.

Hoe te bereiken: Volgens de toepasselijke leveranciersvoorwaarden (zie AI Tool Inventory).

Geraakte klant

Waarvoor: Directe notificatie als het incident hun data raakt.

Hoe te bereiken: Via [email protected], op basis van de klantcontact-gegevens.

Juridisch adviseur (ad hoc)

Waarvoor: Incidenten met juridische, regelgevende of reputationele gevolgen die routinebehandeling overstijgen.

Hoe te bereiken: Externe raadsman inschakelen bij Niveau 3 of 4.

8. Incidentregister

AIAdopt onderhoudt een intern register van alle incidenten, ongeacht ernst. Het register wordt opgeslagen op een afgeschermde locatie die alleen toegankelijk is voor de oprichter (en eventuele opvolger). Elke registratie bevat:

•Incident-ID (oplopend, formaat INC-2026-001).

•Datum en tijdstip van detectie, datum en tijdstip van het voorval indien anders.

•Ernstniveau en overweging.

•Betrokken AI-tool(s), betrokken dataklassen.

•Beschrijving van wat er is gebeurd.

•Genomen acties en data.

•Verzonden notificaties en aan wie.

•Uitkomst van de root-cause-analyse.

•Wijzigingen in beleid, inventory of procedure als gevolg.

Het register wordt minimaal 5 jaar bewaard vanaf de incidentdatum, tenzij een langere bewaartermijn noodzakelijk is voor juridische claims, wettelijke verplichtingen of lopende onderzoeken. Persoonsgegevens in het register worden beperkt tot wat noodzakelijk is voor incidentafhandeling, bewijsvoering en compliance.

9. Training en paraatheid

•De oprichter herziet deze procedure minimaal jaarlijks en simuleert eenmaal per jaar een Niveau 2-respons als tabletop-oefening.

•Elke toekomstige contractor of opvolger met toegang tot AI-tools die door AIAdopt worden gebruikt, wordt vóór operationeel gebruik geïnformeerd over deze procedure.

•Wijzigingen in de Belgische nationale uitvoering van de EU AI Act (verwacht in 2026) triggeren een herziening van sectie 5 en sectie 7.

10. Referenties

•AIAdopt AI Usage Policy v1.0

•AIAdopt AI Tool Inventory v1.0 (intern document)

•Verordening (EU) 2024/1689 (EU AI Act), Artikel 73 en de recitals over rapportage van ernstige incidenten

•Verordening (EU) 2016/679 (AVG/GDPR), Artikelen 33 en 34

•GBA (Belgische DPA) meldprocedure: www.gegevensbeschermingsautoriteit.be

•EU AI Act Service Desk: ai-act-service-desk.ec.europa.eu

Goedgekeurd door:

Rob Ummels, oprichter, AIAdopt

[email protected] · https://aiadopt.eu

Plaats en datum: Maaseik, België · 21 april 2026