AI Act Gids·startbrain.ai
Gids AI Act: de complete gids voor bedrijven Artikel 4: de verplichting om al uw medewerkers op te leiden in AI Classificatie van AI-systemen: valt u onder hoog risico? Verboden AI-praktijken: wat uw bedrijf niet meer mag doen Sancties AI Act: tot 35 miljoen euro boete Tijdlijn AI Act: alle deadlines van 2024 tot 2027 Compliance-checklist AI Act per rol: DPO, HR, CIO, Directie

Classificatie van AI-systemen: valt u onder hoog risico?

De AI Act classificeert AI-systemen in 4 risiconiveaus. Werving, krediet, gezondheidszorg: ontdek of uw AI-tools als hoog risico worden beschouwd.

De kern van het systeem: een risicogebaseerde aanpak

De Europese Verordening inzake kunstmatige intelligentie (Verordening 2024/1689) berust op een fundamenteel principe: de verplichtingen zijn evenredig met het risiconiveau. Hoe meer een AI-systeem het leven, de gezondheid, de grondrechten of de veiligheid van personen kan beïnvloeden, hoe strenger de eisen.

Deze geleidelijke aanpak onderscheidt de AI Act van meer binaire regelgeving. Ze voorkomt dat innovatie bij toepassingen met een laag risico wordt afgeremd, terwijl de meest gevoelige toepassingen stevig worden ingekaderd.

Overweging 26Règlement (UE) 2024/1689

AI-systemen die een hoog risiconiveau vormen voor de gezondheid, de veiligheid of de grondrechten van natuurlijke personen, moeten aan strenge eisen worden onderworpen voordat zij op de markt van de Unie kunnen worden gebracht.

De vier risiconiveaus

1. Onaanvaardbaar risico — Verboden systemen

Bepaalde toepassingen van AI zijn simpelweg verboden (Artikel 5). Sociale scoring, subliminale manipulatie, uitbuiting van kwetsbaarheden van personen en realtime biometrische identificatie op afstand in openbare ruimten (behoudens uitzonderingen) zijn verboden sinds 1 februari 2025.

2. Hoog risico — Systemen met versterkte verplichtingen

Dit is de categorie die het grootste aantal bedrijven treft. AI-systemen met een hoog risico worden gedefinieerd in de Artikelen 6 en 7 en zijn gedetailleerd opgesomd in Bijlage III van de verordening. De bijbehorende verplichtingen zijn aanzienlijk: conformiteitsbeoordeling, technische documentatie, menselijk toezicht, risicobeheer, datagovernance.

3. Beperkt risico — Transparantieverplichtingen

Systemen zoals chatbots, contentgeneratoren (deepfakes, teksten) of emotieherkenningssystemen die niet onder het verbod vallen, zijn onderworpen aan transparantieverplichtingen. De gebruiker moet weten dat hij met een AI communiceert of dat de content door AI is gegenereerd.

4. Minimaal risico — Geen specifieke verplichtingen

De grote meerderheid van AI-systemen: spamfilters, productaanbevelingen, spellingcontrole. De AI Act legt geen specifieke beperkingen op, hoewel de naleving van Artikel 4 inzake AI-geletterdheid wel van toepassing blijft op alle gebruiksverantwoordelijken.

Bijlage III: de hoog-risicosystemen, sector per sector

Bijlage III van de verordening somt de domeinen op waarin een AI-systeem als hoog risico wordt beschouwd. Hier zijn de concrete gevallen die de meeste bedrijven treffen.

Human resources en werving

Dit is het domein dat bedrijven het meest verrast. Bijlage III, punt 4 richt zich op AI-systemen die worden gebruikt bij:

Bijlage III, punt 4Règlement (UE) 2024/1689

Werkgelegenheid, personeelsbeheer en toegang tot zelfstandige arbeid, met name voor de werving en selectie van personen, voor het nemen van beslissingen over de arbeidsvoorwaarden, bevordering en beëindiging, en voor de toewijzing van taken, monitoring of evaluatie van de prestaties en het gedrag van personen.

Concreet worden als hoog risico beschouwd:

  • Kandidaatscoring: elk algoritme dat automatisch sollicitaties rangschikt, scoort of filtert
  • Geautomatiseerde CV-analyse: tools die profielen preselecteren op basis van automatische criteria
  • Prekwalificatie-chatbots: conversatie-assistenten die kandidaten beoordelen tijdens het wervingsproces
  • Prestatie-evaluatiesystemen: AI-tools die de productiviteit of het gedrag van medewerkers analyseren
  • Matchingtools: algoritmen die profielen aan vacatures koppelen

Als uw HR-afdeling een automatisch CV-screeningtool of een wervingschatbot gebruikt, betreft het waarschijnlijk een hoog-risicosysteem in de zin van de AI Act.

📄AI voor HR: complete gids voor de transformatie van HR

Financiën en verzekeringen

Bijlage III, punt 5(b) omvat AI-systemen die worden gebruikt voor:

  • Kredietscore: modellen die de kredietwaardigheid van natuurlijke personen beoordelen (met uitzondering van fraudedetectie)
  • Risicobeoordeling bij levens- en ziektekostenverzekeringen
  • Geautomatiseerde tariefbepaling op basis van individuele profielen

Elke bank of verzekeraar die een AI-model gebruikt om te beslissen over het verlenen of weigeren van een krediet, of voor het vaststellen van een verzekeringspremie, valt eronder. In Nederland moeten grote banken als ING, ABN AMRO en Rabobank hun AI-scoringmodellen toetsen aan deze classificatie. Fraudedetectie is expliciet uitgesloten van hoog risico — maar let op: scoringsystemen die verder gaan dan eenvoudige detectie kunnen er wel onder vallen.

Gezondheidszorg

Bijlage III, punt 1 omvat AI-systemen die medische hulpmiddelen of accessoires van medische hulpmiddelen zijn in de zin van de Europese verordeningen. Dit omvat:

  • Diagnostische ondersteuning: algoritmen die medische beelden analyseren of diagnoses voorstellen
  • Geautomatiseerde triage: systemen die patiënten naar zorgtrajecten leiden
  • Monitoringsystemen: verbonden apparaten met AI-component die vitale parameters bewaken
  • Voorschrijfondersteuning: tools die behandelingen suggereren

Onderwijs en beroepsopleiding

Bijlage III, punt 3 richt zich op AI-systemen die worden gebruikt voor:

  • Toelating tot onderwijsinstellingen
  • Automatische beoordeling van examens en evaluaties
  • Niveaubepaling van het passende onderwijsniveau voor een persoon
  • Controle op verboden gedrag tijdens examens (geautomatiseerd toezicht)

Justitie en rechtshandhaving

Bijlage III, punten 6, 7 en 8 omvatten:

  • Recidiverisicobeoordeling: systemen om de waarschijnlijkheid te beoordelen dat een persoon een strafbaar feit pleegt
  • Leugendetectors en emotiedetectietools tijdens verhoren
  • Beoordeling van de betrouwbaarheid van bewijsmateriaal
  • Profilering in het kader van preventie en opsporing van strafbare feiten

Kritieke infrastructuur

Bijlage III, punt 2 omvat veiligheidscomponenten van het beheer en de exploitatie van kritieke digitale infrastructuur, wegverkeer en de voorziening van water, gas, verwarming en elektriciteit.

Migratie en grenscontrole

Bijlage III, punt 7 omvat systemen die worden gebruikt voor de beoordeling van risico’s op irreguliere migratie, de behandeling van visumaanvragen en verblijfstitels, en de identificatie van personen in het kader van migratie.

De concrete verplichtingen voor hoog-risicosystemen

Als een of meer van uw AI-systemen als hoog risico zijn geclassificeerd, is dit wat de verordening vereist:

Conformiteitsbeoordeling (Artikelen 9 tot 15)

Vóór het op de markt brengen of het in gebruik stellen moet het systeem een conformiteitsbeoordeling ondergaan die omvat:

  1. Risicobeheersysteem (Artikel 9): identificatie, analyse, inschatting en beperking van risico’s gedurende de hele levenscyclus van het systeem
  2. Datagovernance (Artikel 10): de trainingsgegevenssets moeten relevant, representatief en zo veel mogelijk vrij van fouten zijn — in samenhang met de vereisten van de AVG (Algemene Verordening Gegevensbescherming) voor persoonsgegevens
  3. Technische documentatie (Artikel 11): gedetailleerde beschrijving van het systeem, zijn doeleinden, prestaties en beperkingen
  4. Registratie (Artikel 12): automatische logging van gebeurtenissen gedurende de volledige werkingsduur
  5. Transparantie en informatie (Artikel 13): duidelijke gebruiksaanwijzingen voor de gebruiksverantwoordelijken
  6. Menselijk toezicht (Artikel 14): het systeem moet zo ontworpen zijn dat effectief toezicht door natuurlijke personen mogelijk is
  7. Nauwkeurigheid, robuustheid en cyberveiligheid (Artikel 15)

Specifieke verplichtingen van gebruiksverantwoordelijken (Artikel 26)

Bedrijven die hoog-risico AI-systemen gebruiken (gebruiksverantwoordelijken) hebben eigen verplichtingen:

  • Het systeem gebruiken overeenkomstig de instructies van de aanbieder
  • Menselijk toezicht waarborgen door competente en opgeleide personen
  • Het functioneren van het systeem bewaken en elke storing melden
  • Een grondrechteneffectbeoordeling uitvoeren (voor bepaalde gebruiksverantwoordelijken)
  • De automatisch gegenereerde logs bewaren gedurende ten minste zes maanden
📄AI-risico's in het bedrijf: effectief identificeren en beheren

Hoe uw AI-tools auditen

De eerste stap naar compliance is precies weten welke AI-systemen u gebruikt en in welke categorie ze vallen.

1. De volledige inventaris opstellen

Lijst alle tools op die AI integreren in uw organisatie. Vergeet niet:

  • De tools die in uw bestaande software zijn ingebed (CRM, ERP, HRIS)
  • De SaaS-abonnementen met AI-functionaliteiten
  • Het informele gebruik door medewerkers (AI-assistenten, generatietools)
  • De interne ontwikkelingen

2. Elk systeem classificeren

Bepaal voor elke geïdentificeerde tool:

  • Is het een AI-systeem in de zin van Artikel 3(1) van de verordening?
  • Valt het onder een van de categorieën van Bijlage III?
  • Wat is het risiconiveau?

3. De compliancekloof beoordelen

Vergelijk voor elk hoog-risicosysteem uw huidige situatie met de eisen van de Artikelen 9 tot 15 en Artikel 26. Identificeer de hiaten en prioriteer de corrigerende maatregelen.

4. Documenteren en traceren

Stel een compliance-dossier per systeem samen, met de classificatie, de technische documentatie, de uitgevoerde beoordelingen en de getroffen controlemaatregelen. Deze gestructureerde documentatie is uw referentie bij een audit.

5. De gebruikers opleiden

Voor elk hoog-risicosysteem moeten de personen die belast zijn met menselijk toezicht over de nodige competenties beschikken (Artikel 14). Dit sluit aan bij de verplichting van Artikel 4 inzake AI-geletterdheid, maar met een hoger eisenniveau: deze personen moeten de specifieke capaciteiten en beperkingen begrijpen van het systeem waarop zij toezicht houden.

Het geval van AI-modellen voor algemene doeleinden

AI-modellen voor algemene doeleinden (zoals GPT-4, Claude, Gemini) zijn onderworpen aan specifieke bepalingen (Artikelen 51 tot 56). Wanneer een model voor algemene doeleinden wordt geïntegreerd in een als hoog risico geclassificeerd AI-systeem, gelden de hoog-risicoverplichtingen voor het systeem als geheel — zelfs als het onderliggende model op zichzelf een generalistisch hulpmiddel is.

Dit betekent dat het gebruik van ChatGPT om kandidaten te beantwoorden in een wervingsproces een “generalistisch” hulpmiddel kan omvormen tot een component van een hoog-risicosysteem.

Ce que ça implique pour vous

De classificatie van uw AI-systemen is geen theoretische oefening — het is de hoeksteen van uw AI Act-compliance. Als u AI gebruikt bij werving, prestatie-evaluatie, kredietscoring of diagnostische ondersteuning, werkt u waarschijnlijk met hoog-risicosystemen. Elk betrokken systeem vereist een conformiteitsbeoordeling, technische documentatie, effectief menselijk toezicht en opgeleide personen om dit te waarborgen. Begin met de inventaris. Vandaag.