AI Registration
The AI Act includes specific registration requirements for high-risk AI systems and their providers. This topic is not adequately covered by existing topics and requires dedicated coverage of registration procedures, databases, timelines, and obligations specific to AI systems under the AI Act.
registration AI registration system registration registration procedure registration requirements registration database registration obligations registration process
Overview
Legal Framework
Article 49 of the AI Act establishes the mandatory registration requirement for providers of high-risk AI systems. Specifically, providers must enter information into the EU database for high-risk AI systems before placing such systems on the market or putting them into service. This obligation applies to high-risk AI systems not covered by existing Union harmonisation legislation (e.g., machinery, medical devices) and to providers who consider a system listed in Annex III to present a high risk.
Practical Application
The registration obligation, detailed in Recitals 66 and 131, serves a dual purpose of facilitating market surveillance for authorities and enhancing public transparency. The primary legal text indicates that registration is a prerequisite for market entry, creating a clear compliance checkpoint. While the provided T&C commentary pertains to data protection law, its underlying principle—that specific procedural obligations are mandatory and cannot be circumvented by general provisions—is instructive. In the context of AI registration, this underscores that the requirement is not discretionary. The database entry must contain accurate information as specified by the AI Act and implementing acts, including details on the provider and the high-risk AI system itself. Failure to register properly could prevent lawful market placement and constitute a breach of the regulation.
Key Considerations
- Timing is Critical: Registration in the EU database is a pre-market requirement. Providers cannot legally place a high-risk AI system on the EU market or put it into service until the registration is complete.
- Scope Verification: Providers must carefully assess whether their AI system is classified as high-risk under Annex I or Annex III of the AI Act, as this triggers the registration duty. Systems already falling under other harmonised product legislation follow different conformity assessment procedures.
- Accuracy of Submission: The information submitted to the database must be complete, truthful, and kept up-to-date, as it forms a key tool for post-market monitoring and enforcement by national authorities.
Laws (11)
Case Law (8)
Hoge Raad - grondslag - 21/00241
Hoge Raad - Civiel recht
Prejudiciële vragen (art. 392 Rv). Algemene verordening gegevensbescherming (AVG). Rechtsgrond voor de verwerking van persoonsgegevens in het kredietregistratiestelsel van het BKR; art. 6 lid 1, onder c, AVG (wettelijke grondslag) of art. 6 lid 1, onder f, AVG (ter behartiging van gerechtvaardigde belangen van de verwerker)? Recht op gegevenswissing (art. 17 AVG); recht van bezwaar (art. 21 AVG)?
Raad van State - grondslag - 202004638/1/A3
Raad van State - Bestuursrecht
Bij besluit van 31 oktober 2018 heeft de minister van Landbouw, Natuur en Voedselkwaliteit het verzoek van de maatschap om haar gegevens niet door te geven aan de Brancheorganisatie Akkerbouw afgewezen. De minister heeft de maatschap gemeld dat haar naam, adresgegevens en zogenoemde KvK-nummer zullen worden doorgegeven aan de Brancheorganisatie Akkerbouw en dat de maatschap daartegen bezwaar kan maken op grond van de Algemene Verordening Gegevensverwerking. De minister wil deze gegevens van de m
Rechtbank Den Haag - recht op schadevergoeding en aansprakelijkheid - C/09/608204 / HA RK 21-96
Rechtbank Den Haag - Civiel recht
Verzoek tot ongedaanmaking registratie in incidentenregister en EVR. Staat in voldoende mate vast dat verzoeker tegenover de verzekeraar opzettelijk onjuist heeft verklaard over de omvang van de schade?Verzoeken tot vergoeding van immateriële schade en overgaan tot uitkering zijn niet-ontvankelijk. Dit zijn vorderingen, en de procedure van art. 35 UAVG is beperkt tot het toe- of afwijzen van verzoeken o.g.v. art. 15 t/m 22 AVG.
Gerechtshof Arnhem-Leeuwarden - grondslag - 200.278.124/01
Gerechtshof Arnhem-Leeuwarden - Civiel recht
AVG. Verzoek om verwijdering gegevens uit BKR-register afgewezen. Ook artikel 6 lid 1 onder c AVG vormt grondslag voor BKR-registratie. Het risico op een proceskostenveroordeling staat niet in de weg aan het door artikel 79 AVG gewaarborgde recht op een doeltreffende voorziening in rechte.
BUNDESVERBAND DER VERBRAUCHERZENTRALEN UND VERBRAUCHERVERBANDE —BERBRAUCHERZENTRALE BUNDESVERBAND V. PLANET49 GmbH (“PLANET49”)
Planet49
Cookie data is personal data where the cookies likely to be placed on the terminal equipment of a user participating in the promotional lottery contained a number assigned to the registration data of that user (who must enter his/her name+address in the registration form.) By linking that number with that data, a connection between a person and the data stored by the cookies arises. Therefore, the data is not anonymous data. (¶45)
Rechtbank Midden-Nederland - persoonsgegevens - C/16/440836 / KG ZA 17-439
Rechtbank Midden-Nederland - Civiel recht
Twee belangenorganisaties in de geestelijke gezondheidszorg en twee zorgcliënten spanden een kort geding aan omdat zij willen dat de Stichting Benchmark GGZ stopt met de huidige vorm van gegevensregistratie. Die stichting registreert gegevens van zorgtrajecten om de kwaliteit in de branche te verhogen. De eisende partijen vinden dat niet wordt voldaan aan de Wet Bescherming Persoonsgegevens. Stichting Benchmark GGZ vindt dat de gegevens die zij verwerkt (waar geen namen in staan) niet onder die
SMARANDA BARA ET AL. V. PRESEDINTELE CASEI NATIONALE DE ASIGURARI DE SANATATE (CNAS) ET AL., 1.10.2015 (“BARA”)
Bara
Right to be informed: National law that does not require the specific transfer involved in the case cannot constitute “prior information” under Article 10 of Directive 95/46 (information requirement where data is collected from the data subject), enabling the controller to dispense with his obligation to inform the data subject of the recipients of the data. (¶¶ 34–38). Article 11 (information requirement where data is not collected from data subject) requires that specified information be provi
Rechtbank Amsterdam - vrijheid van meningsuiting - C/13/567206 / KG ZA 14-771
Rechtbank Amsterdam - Verbintenissenrecht
Wet bescherming persoonsgegevens (wbp). De registratie van de handelsnaam en het kvk-nummer van de vennootschap onder firma van eiser in een door gedaagde in het leven geroepen en op haar website aangehouden 'nationaal wanbetalersregister' wordt onrechtmatig jegens eiser bevonden, nu het register een 'zwarte lijst' betreft en mede gelet op de onder andere in artikel 7, 8 en 11 van de Wbp neergelegde eisen van proportionaliteit en subsidiariteit voorshands moet worden aangenomen dat een zwarte li
Guidance (19)
Guidelines 01/2021
Guidelines on Examples regarding Personal Data Breach Notification
Richtsnoeren 1/2019 voor gedragscodes en toezichthoudende organen in de zin van Verordening 2016/679
guidelines gedragscodes en toezichthoudende organen
Richtsnoeren 05/2022 voor het gebruik van gezichtsherkenningstechnologie in het kader van rechtshandhaving
guidelines gebruik gezichtsherkenning bij rechtshandhaving
Steeds meer rechtshandhavingsinstanties passen gezichtsherkenningstechnologie toe of zijn voornemens deze toe te passen. De technologie kan worden gebruikt om een persoon te authenticeren of te identificeren en kan voor video's (bijv. CCTV) of foto's worden ingezet, maar ook voor andere doeleinden, waaronder het opzoeken van personen op signaleringslijsten van de politie of het volgen van de bewegingen van een persoon in de openbare ruimte. Gezichtsherkenningstechnologie is gebaseer...
Richtsnoeren van 1/2018 voor certificering en het vaststellen van certificeringscriteria overeenkomstig de artikelen 42 en 43 van de verordening
guidelines certificering
Richtsnoeren 3/2019 inzake de verwerking van persoonsgegevens door middel van videoapparatuur
guidelines cameratoezicht
VERSIEGESCHIEDENIS
binding corporate rules voor verwerkingsverantwoordelijken
ARTICLE 29 DATA PROTECTION WORKING PARTY
Guidelines on transparency
Guidelines 8/2020 on the targeting of social media users
Guidelines on the targeting of social media users
Guidelines 03/2022 on Deceptive design patterns in social media platform interfaces: how to recognise and avoid them
Guidelines on deceptive design patterns in social media platform interfaces: how to recognise and avoid them
These Guidelines offer practical recommendations to social media providers as controllers of social media, designers and users of social media platforms on how to assess and avoid so-called 'deceptive design patterns' in social media interfaces that infringe on GDPR requirements. To this end, the EDPB recommends that controllers make use of interdisciplinary teams, consisting, among others, of designers, data protection officers and decision-makers. It is important to note ...
Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679
Guidelines on codes of conduct and monitoring bodies
Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation
Guidelines on certification and identifying certification criteria
Versiegeschiedenis
guidelines meldplicht datalekken
Richtsnoeren 3/2022 betreffende het herkennen en vermijden van misleidende ontwerppatronen in de interfaces van socialemediaplatforms
guidelines misleidende ontwerppatronen
Deze richtsnoeren bieden praktische aanbevelingen aan aanbieders van sociale media als verwerkingsverantwoordelijken van sociale media, ontwerpers en gebruikers van socialemediaplatforms, over het beoordelen en vermijden van zogenaamde 'misleidende ontwerp patronen' in de interfaces van sociale media die inbreuk maken op de vereisten van de AVG. Daartoe beveelt de EDPB aan dat verwerkingsverantwoordelijken gebruikmaken van interdisciplinaire teams, bestaande uit onder meer ontwerpers, func...
Richtsnoeren 07/2020 over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG
guidelines over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG
De begrippen 'verwerkingsverantwoordelijke', 'gezamenlijke verwerkingsverantwoordelijke' en 'verwerker' spelen een cruciale rol bij de toepassing van de algemene verordening gegevensbescherming (AVG, Verordening (EU) 2016/679), aangezien ermee wordt bepaald wie verantwoordelijk is voor de naleving van verschillende gegevensbeschermingsregels en op welke wijze betrokkenen hun rechten in de praktijk kunnen uitoefenen. De precieze betekenis van deze begrippen en de criteria voor de jui...
Richtsnoeren 02/2021 inzake virtuele spraakassistenten
guidelines over virtuele spraakassistenten
Een virtuele spraakassistent ( virtual voice assistant , of VVA) betreft een dienst die spraakgestuurde opdrachten begrijpt en uitvoert, of indien nodig als tussenschakel optreedt naar andere IT-systemen. Tegenwoordig is een VVA als optie beschikbaar op de meeste smartphones, tablets en reguliere computers en sinds enkele jaren zelfs op losse apparaten zoals smartspeakers. Een VVA functioneert als schakel tussen de gebruiker en zijn apparaat of een online dienst zoals een zoekmachine...
Richtsnoeren 01/2022 over de rechten van betrokkenen Recht van inzage
guidelines recht op inzage
Het recht van inzage van betrokkenen is vastgelegd in artikel 8 van het Handvest van de grondrechten van de Europese Unie. Het maakt al sinds het begin deel uit van het Europese wettelijke kader voor gegevensbescherming en wordt nu verder ontwikkeld met specifiekere, preciezere regels in artikel 15 AVG.
GROEP GEGEVENSBESCHERMING ARTIKEL 29
guidelines transparantie
Richtsnoeren 05/2020 inzake toestemming overeenkomstig Verordening 2016/679
guidelines toestemming
Richtsnoeren 8/2020 betreffende de targeting van gebruikers van sociale media
guidelines targeting gebruikers sociale media
News (11)
Register now for our conference on cross-regulatory cooperation in the EU (17 March)
The European Data Protection Board (EDPB) invites you to register for its conference, “Cross-regulatory interplay and cooperation in the EU: a data protection perspective”, taking place on 17 March 2026 in Brussels. This event will offer a high-level overview of the EDPB’s work in the EU’s cross-regulatory landscape, focusing in particular on how regulatory frameworks interact and how cooperation between authorities is ensured. Registration is open until 26 February 2026 and can be completed by
Strengthening Schengen security and preventing irregular migration: EU Entry Exit System enters into operation
Brussels, 10 October - On the occasion of the upcoming entry into operation of the EU Entry Exit System (EES) on 12 October 2025, the Coordinated Supervision Committee (CSC) will include the EES system under its scope. This system registers non-Schengen nationals travelling with a short stay visa or travellers who are visa exempt. The EES is a large scale IT systems developed by the EU to prevent irregular migration and enhance security in the Schengen area. How it works The EES gradually replac
"Court denies removal of BKR registration due to lack of evidence"
Interlocutory appeal. Removal of BKR registration rejected. Five-year term only just started (November 2022). For lack of substantiation, cannot establish that debts were actually paid in full.
Paper vs. practice: How legal and ethical frameworks influence public sector data professionals in the Netherlands
There is a wide gap between legal and ethical governance rules and the everyday practices of public sector data professionals. Frameworks are integrated implicitly, subtly influencing decision making. According to this article, mainstreaming literacy, rather than specialization, is a necessary consequence.
AEPD publishes GDPR Risk Assessment
> GDPR RISK ASSESSMENT is intended to assist controllers and processors to identify the risk factors for the rights and freedoms of data subjects whose data are present in the processing, to make an initial assessment of the intrinsic risk, including the need to perform a DPIA, and to estimate the residual risk if measures and safeguards are used to mitigate the specific risk factors.
Self-Sovereignty for Refugees? The Contested Horizons of Digital Identity
Self-sovereign identity is an embryonic technology with uncertain benefits for refugees. It may help to empower them, but it also risks reinforcing the power of states and corporations over them, according to this article.
Dirkzwager: ABRvS geeft uitleg aan het AVG-begrip "de instelling, uitoefening of onderbouwing van een rechtsvordering"
> Privacybescherming is niet absoluut. Dat staat zelfs letterlijk zo in de privacywetgeving. De AVG bevat daarom ook allerlei uitzonderingen. Een van de uitzonderingen die enkele keren terugkomt in de AVG ziet op de verwerking van persoonsgegevens in het kader van "de instelling, uitoefening of onderbouwing van een rechtsvordering". Tot op heden was echter niet heel erg duidelijk wat die woorden nu precies betekenen. Een recente uitspraak van de Afdeling bestuursrechtspraak van de Raad van State
Civil Rights Organisations Criticise automated data exchange for police cooperation (Prüm II Proposal)
The European Digital Rights (EDRi) network published a position paper on the proposed Regulation on automated data exchange for police cooperation, known as “Prüm II”. This currently primarily consists of a data-sharing network (interlinking national DNA, fingerprint and vehicle registration databases). It foresees the expansion of the data-sharing network to the interconnection of facial images and, on a voluntary basis, “police records”. The position paper raises several critical issues of t
Europol told to hand over personal data to Dutch activist
The European Data Protection Supervisor ordered Europol to hand over personal data to Dutch activist Frank van der Linde. The decision is the result of a two-year investigation into Europol's possession and storage of van der Linde's personal data.
WODC: Rapport Bescherming gegeven Evaluatie UAVG meldplicht datalekken en de boetebevoegdheid
> Het onderzoek laat zien dat de duidelijkheid en toegankelijkheid van de UAVG kritisch wordt beoordeeld. Mede de ‘beleidsneutrale’ invulling van de wet en de korte tijd waarin deze tot stand moest komen hebben daartoe geleid. Wanneer wordt bezien hoe AP en de jurisprudentie nader invulling hebben gegeven aan de normen in de wet is de conclusie dat dit deels is gebeurd, maar voor een ander deel ook nog verder dient te worden uitgewerkt. In het onderzoeksrapport worden daarvan op verschillende pl
EU-wetgeving inzake datagovernance definitief vastgesteld
The new data governance regulation sets out the conditions for the reuse of certain government data. In addition, the regulation provides a notification and oversight framework for the provision of data mediation services. Furthermore, the regulation contains a framework for the voluntary registration of entities that collect and process data made available for altruistic purposes. The rules will apply from September 2023.