Een hoog risico AI‑systeem is een AI‑toepassing waarbij het gebruik ervan aanzienlijke gevolgen kan hebben voor veiligheid, gezondheid of fundamentele rechten. Organisaties vragen zich vaak af: valt mijn systeem hieronder, en welke verplichtingen komen dan op mij af (zoals documentatie, toezicht, transparantie, CE‑markering)?

In dit artikel leggen we in eenvoudige taal uit wat hoog‑risico betekent, wanneer het relevant is in de AI Act, welke verplichtingen gelden en hoe organisaties dit kunnen toepassen in de praktijk. AI Act: risicoklassen op hoofdlijnen

De AI Act werkt met vier risicoklassen:

• Verboden AI-systemen (bijv. manipulatie, social scoring)

• Hoog-risico AI-systemen (bijv. toezicht, rechtshandhaving, gezondheidszorg)

• Beperkt risico (zoals transparantieplicht bij chatbots)

• Minimaal risico (de meeste toepassingen, vrij van extra regels)
  

Voor de meeste organisaties is de categorie hoog risico het meest relevant, omdat deze tot de zwaarste verplichtingen leidt.

Wanneer is een AI-systeem hoog risico?

In gewone taal: als jouw AI-systeem ingrijpt in belangrijke beslissingen over mensen,bijvoorbeeld over geld, veiligheid of toelating, dan is de kans groot dat het systeem als hoog risico wordt aangemerkt.

Toepassingscriteria voor hoog risico

Een AI-systeem is hoog risico als het:

• Onder EU-productwetgeving valt met CE-markering (zoals medische apparatuur)

• Vermeld staat in Bijlage III van de AI Act (bijv. AI voor kredietbeoordeling, biometrie, onderwijs, toegang tot werk)

• Geen uitzondering toepasbaar is, zoals bij ondersteunende of niet-beslissende AI
  

Uitzonderingen op hoog-risico kwalificatie

Een AI-systeem valt níét onder hoog risico wanneer het:

• Alleen een voorbereidende taak uitvoert

• De menselijke beslissing slechts ondersteunt

• Geen directe gevolgen heeft voor betrokken personen

• Geen gevoelige data verwerkt of profileert
  

Deze uitzonderingen moeten altijd goed gedocumenteerd worden.

Verplichtingen voor hoog-risico AI-systemen

Als jouw systeem onder hoog risico valt, gelden er verplichte maatregelen voor aanbieders, distributeurs, importeurs én gebruikers.

Checklist verplichtingen

• Risicomanagementsysteem

• Beheer van datakwaliteit

• Technische documentatie

• Logging en audit-trails

• Gebruikersinstructies

• Menselijk toezicht

• Eisen aan nauwkeurigheid en cybersecurity

• Conformiteitsbeoordeling

• CE-markering (indien van toepassing)

• Registratie in Europese AI-databank

• Monitoring & updates

• Incidentenmeldplicht

• Transparantie naar gebruikers
  

Verdiepende toelichting op verplichtingen

Risicomanagementsysteem

Systematische aanpak voor het identificeren, inschatten en mitigeren van risico’s. Het systeem moet risico’s beperken tot het minimum dat technisch haalbaar is.

Datakwaliteit en datasetbeheer

Trainings-, validatie- en testdata moeten representatief, onbevooroordeeld en actueel zijn. Afwijkingen moeten worden gedocumenteerd.

Technische documentatie

Het AI-systeem moet volledig worden beschreven in een technisch dossier: werking, functies, testresultaten, risicobeoordeling en doelstellingen.

Logging en audit-trails

AI-besluiten moeten te herleiden zijn. Logging is verplicht om controle, verantwoording en reconstructie mogelijk te maken.

Gebruikersinstructies

De eindgebruiker moet duidelijke handleidingen krijgen over juist gebruik, beperkingen en toezichtmaatregelen.

Menselijk toezicht Het ontwerp moet menselijke interventie mogelijk maken bij kritieke beslissingen. Denk aan human-in-the-loop of override-functies.

Nauwkeurigheid en cybersecurity

Het systeem moet betrouwbaar functioneren, robuust zijn tegen aanvallen en foutentolerant binnen de bedoelde context.

Conformiteitsbeoordeling

Interne of externe toetsing op naleving van alle AI Act-verplichtingen, afhankelijk van het systeemtype.

CE-markering

Verplicht voor AI-systemen die deel uitmaken van producten onder CE-richtlijnen. De AI-component moet dan geïntegreerd beoordeeld worden.

Registratie in databank

Hoog-risico systemen moeten geregistreerd worden in een openbare Europese databank. Hiermee wordt toezicht mogelijk gemaakt.

Monitoring & updates

De werking van het systeem moet blijvend geëvalueerd en waar nodig geüpdatet worden. Feedbackloops en incidentmanagement zijn verplicht.

Incidentenmeldplicht

Ernstige storingen of effecten op fundamentele rechten moeten binnen een vastgestelde termijn gemeld worden aan autoriteiten.

Transparantie naar gebruikers

De gebruiker moet begrijpelijk worden geïnformeerd over het systeem, de werking, beperkingen en mogelijke risico’s.

Praktijkvoorbeelden

Voorbeeld 1: Kan ik een lening krijgen ?Stel je voor: je vraagt een lening aan bij de bank. In plaats van dat een medewerker jouw aanvraag bekijkt, doet een slim AI-systeem dat automatisch.→ Omdat zo’n beslissing grote gevolgen voor jou kan hebben, wordt dit als “hoog risico” gezien. Daarom mag het niet zomaar: er moet altijd een mens zijn die de uitkomst controleert, je moet goed uitgelegd krijgen waarom je wel of geen lening krijgt, en alles moet netjes worden vastgelegd, zodat het achteraf te volgen is.

Voorbeeld 2: Camera’s die gezichten herkennen op het station Een gemeente plaatst camera’s op een druk station, met gezichtsherkenning via AI. Handig voor de veiligheid? Misschien.→ Maar dit soort technologie is heel gevoelig. Het gaat tenslotte om biometrische gegevens – dingen die jou uniek maken, zoals je gezicht. Daarom wordt het meestal gezien als hoog risico, of zelfs verboden, tenzij er een hele goede reden is. In dat geval zijn er strikte voorwaarden: onafhankelijke controle, goede registratie van wat er gebeurt, en sterke privacymaatregelen.

Voorbeeld 3: AI in de zorg – een slim medisch hulpmiddel Een bedrijf brengt een medisch apparaat op de markt dat met AI helpt bij het stellen van diagnoses.→ Klinkt innovatief, en dat is het ook. Maar omdat het over gezondheid gaat, gelden er strenge regels. Zo moet het apparaat een CE-keurmerk hebben, en moet de fabrikant voldoen aan alles wat in de AI-wet staat: van technische documentatie tot een duidelijk plan voor het omgaan met risico’s.

Toezicht en handhaving in Nederland

In Nederland is toezicht op AI verdeeld over meerdere instanties:

• Autoriteit Persoonsgegevens (AP) – Toezicht op gegevensverwerking en fundamentele rechten

• Rijksinspectie Digitale Infrastructuur (RDI) – Technisch toezicht

• NVWA, ILT, IGJ, AFM, DNB – Domeinspecifiek toezicht (bijv. voedselveiligheid, transport, gezondheid, financiën).

  
  

Boetes, waarschuwingsmaatregelen of terugroepacties zijn mogelijk bij niet-naleving.

Stappenplan: Zo bereid je jouw organisatie goed voor op de AI-wetgeving

1. Breng je AI-systemen in beeld Start met een overzicht: welke AI-toepassingen gebruiken jullie nu eigenlijk binnen de organisatie?

2. Weet welke rol je hebt Ben je zelf de ontwikkelaar van een AI-systeem, importeer je het uit een ander land, verkoop je het door, of gebruik je het alleen intern? Je rol bepaalt welke verplichtingen je hebt.

3. Check het risiconiveau van je systemen

   Niet alle AI is gelijk. Sommige toepassingen zijn laag risico, andere hoog of zelfs verboden. Maak een goede inschatting per systeem.

4. Valt je AI-systeem onder een uitzondering? Sommige regels gelden niet in specifieke situaties. Controleer of dat voor één van jouw toepassingen het geval is, en leg dat goed vast.

5. Kijk hoe je er nu voor staat (gap-analyse) Welke regels volg je al? En wat mis je nog om aan de AI-verordening te voldoen? Dat breng je in kaart met een gap-analyse.

6. Maak een concreet complianceplan Op basis van je analyse stel je een duidelijk actieplan op: wat ga je aanpassen, wie is verantwoordelijk en wanneer moet het klaar zijn?

7. Laat je systemen beoordelen Voor sommige AI-toepassingen is een officiële beoordeling nodig om te checken of ze aan de regels voldoen – de zogenoemde conformiteitsbeoordeling.

8. Registreer je AI-systeem (indien nodig) Bij bepaalde systemen moet je ze aanmelden in de EU-databank. Kijk goed of dat ook voor jouw toepassing geldt.

9. Zorg voor toezicht en incidentafhandeling Stel een proces in voor monitoring: hoe houd je bij of alles goed werkt? En wat doe je als er iets misgaat?

10. Betrek en train je medewerkers AI-compliance is geen soloproject. Zorg dat iedereen die ermee werkt, weet wat zijn of haar rol is – en geef duidelijke, praktische training.
    

Veelgestelde vragen (FAQ)

Valt ieder AI-systeem onder hoog risico? Nee, alleen toepassingen met impact op mensen of fundamentele rechten. De meeste AI-systemen zijn laag- of beperkt risico.

Is CE-markering altijd verplicht bij AI? Alleen als de AI deel is van een product dat onder CE-wetgeving valt (zoals medische apparaten of machines).

Wat als ik twijfel of een systeem hoog risico is? Ga uit van het voorzorgsbeginsel: behandel het als hoog risico totdat je anders kunt onderbouwen.

Wanneer treden de verplichtingen in werking?

De AI Act wordt gefaseerd ingevoerd vanaf 2025. Voor hoog-risico systemen gelden de verplichtingen eerder dan voor laag-risico AI.

Bronnen

• Digital Strategy – Europese Commissie

• Artificial Intelligence Act – Samenvatting

• DDMA – AI Act overzicht

• SER – Toezicht op de AI Act

• Open Overheid – Memorie van Toelichting

• Autoriteit Persoonsgegevens – AI & toezicht

• Guldemond Advocaten – Handhaving AI Act