Een AI Act-gap-analyse is geen tickbox-exercise. Het is een gestructureerde meting per systeem tegen de gehele set verplichtingen uit hoofdstuk III en bijlage IV.
Per-systeem controlelijst
Risk management (art. 9), data governance (art. 10), technical documentation (art. 11 + bijlage IV), record-keeping (art. 12), transparency (art. 13), human oversight (art. 14), accuracy/robustness/cybersecurity (art. 15), quality management (art. 17), conformity assessment (art. 43), post-market monitoring (art. 72). Plus de bijlage III-specifieke eisen.
Bewijsmateriaal verzamelen
Niet "wij doen aan risicomanagement" maar "hier is ons risk-management-document, gedateerd, geapproved door X, met gerichte controles op Y". De auditor wil bewijs, niet beweringen. Wij verzamelen dat per item.
Severity en prioritering
Niet elke gap is gelijk. Een ontbrekend audit-trail is high-severity, een ontbrekende derde paragraaf in user-instructions laag. Wij kwalificeren elk gap zodat remediatie-prioriteit klopt.
Roadmap en kosten-raming
Per gap: actie, eigenaar, doorlooptijd, kosten. Totaal per systeem en organisatie. Voor stuurgroep een verifieerbare basis voor budget-aanvraag en tijdspad.
Verwant: Freelance AI consultant inhuren, AI Act stappenplan.