GovCompass
EN
AI governance
GuideAccountability

AI-tools per afdeling: wat zijn jouw verplichtingen?

Door GovCompass.ai· Laatst gecontroleerd juni 2026· Afgestemd op de geconsolideerde EU AI Act, inclusief de Omnibus-wijzigingen van 2026.

De EU AI Act-verplichtingen per afdeling hangen af van de risicoklasse van het AI-systeem. HR-selectie en kredietscoring zijn hoog-risico (Bijlage III) met de volledige Art. 26-verplichtingen; marketing-AI en chatbots vallen meestal onder de transparantieverplichting van Art. 50. Per systeem bepaalt een Art. 6-analyse de exacte verplichting.

Bijgewerkt: juni 2026

Inleiding: AI per afdeling vraagt per afdeling een compliance-aanpak

De EU AI Act is een horizontale verordening, ze geldt voor alle sectoren en alle afdelingen. Maar de praktische compliance-vereisten variëren sterk per type AI-toepassing. Een HR-afdeling die AI voor cv-screening inzet, heeft te maken met hoog-risicorisicoIn de termen van de EU AI Act de combinatie van de waarschijnlijkheid dat een schade optreedt en de ernst ervan als dat gebeurt. De schakel tussen een principe (via de schade die het zou schenden) en een control (de maatregel die het vermindert). Het benoemen van de schade en het inschatten van het risico is op grond van Art. 9 vereist voordat een maatregel wordt gekozen. Zie schade, control, restrisico.Open full entry → verplichtingen inclusief FRIAFRIAFundamental Rights Impact Assessment, vereist van publieke organen en bepaalde private gebruiksverantwoordelijken voordat ze sommige hoog-risico-AI-systemen onder de EU AI Act gebruiken. Zie grondrechten-impactassessment, gebruiksverantwoordelijke.Open full entry → en menselijk toezichtmenselijk toezichtHet ingebouwde vermogen van een mens om een AI-systeem te monitoren, erin in te grijpen, het te overrulen of stil te leggen, alleen betekenisvol wanneer de mens de bevoegdheid, de informatie en de tijd heeft om te handelen. Zie principe, human-in-the-loop, human-on-the-loop.Open full entry →. Een marketingafdeling die AI voor advertentieteksten gebruikt, heeft in de meeste gevallen alleen de transparantieverplichting van Art. 50.

Dit artikel analyseert de meest voorkomende AI-toepassingen per afdeling op hun EU AI Act-status en compliance-vereisten. Het is een diagnose-instrument, geen vervanging voor de volledige classificatieanalyse van Art. 6 voor uw specifieke systemen.

HR & recruitment

CV-screening en sollicitantenbeoordeling: Hoog-risico AI (Bijlage IIIBijlage IIIDe lijst van de EU AI Act met hoog-risico-toepassingsgebieden: biometrie, kritieke infrastructuur, onderwijs, werk, essentiële diensten, rechtshandhaving, migratie, justitie. Zie conformiteitsbeoordeling, conformiteitsverklaring.Open full entry →, punt 4). Dit is de meest risicovolle HR-toepassing onder de EU AI Act. AI die sollicitanten selecteert, scoort of rankt op basis van hun cv, motivatiebrief of antwoorden op een online vragenlijst, valt zonder uitzondering in de hoog-risico categorie. Alle Art. 26-verplichtingen zijn van toepassing, inclusief het vierogenprincipe (menselijk toezicht), inputdatakwaliteitsborging en transparantietransparantieOpenheid over het feit dát AI wordt gebruikt en hoe het in het algemeen werkt: openbaarmakingen, documentatie, kennisgevingen. Vormt een paar met uitlegbaarheid, die over individuele uitkomsten gaat. Zie uitlegbaarheid, principe.Open full entry → jegens sollicitanten (Art. 26.7).

Grensgebied: Een tool die uitsluitend de opmaak van cv's controleert (bijv. volledigheidscheck) zonder inhoudelijke beoordeling van de kandidaat, valt waarschijnlijk buiten Bijlage III. Zodra het systeem inhoudelijke beoordelingen maakt over geschiktheid, valt het eronder.

Prestatiebeoordelingssystemen: Hoog-risico AI (Bijlage III, punt 4). AI die bijdraagt aan de beoordeling van medewerkers voor promotie, loonsverhoging of beëindiging van het dienstverband valt onder punt 4. De deployer-verplichtingen zijn volledig van toepassing. Bijzondere aandacht vereist het menselijk toezicht (Art. 26.2): de manager die de AI-beoordeling overneemt zonder inhoudelijke review, voldoet niet aan de verplichting.

Roosterplanningssystemen met AI: Beperkt risico of minimaal risico, afhankelijk van de autonomie van het systeem. Als het systeem louter een rooster genereert dat een planner vrijelijk kan aanpassen, zonder dat de AI de werktijden of contracturen van medewerkers bepaalt, is het geen hoog-risico AI. Zodra het systeem de feitelijke contracturen of arbeidsomstandigheden beïnvloedt, is nader onderzoek vereist.

Finance & risk

Kredietscoring en krediettoewijzing: Hoog-risico AI (Bijlage III, punt 5.b). Systemen die kredietwaardigheid beoordelen of kredietlimieten bepalen voor individuele personen of kleinbedrijven, zijn categorisch hoog-risico. Dit geldt voor banken, leasemaatschappijen, buy-now-pay-later aanbieders en andere financiële instellingen. Aanvullend zijn ook de financiële sectorspecifieke normen (Wft, EBA-richtlijnen voor AI in krediet) van toepassing naast de EU AI Act.

Fraudedetectie: Afhankelijk van de impact. Als fraudedetectie-AI de enige of doorslaggevende basis is voor het blokkeren van een bankrekening of het weigeren van een transactie door een individuele persoon, is het hoog-risico AI (punt 5). Fraudedetectie die uitsluitend interne alarmen genereert die altijd door een medewerker worden beoordeeld, kan buiten hoog-risico vallen via Art. 6.3, mits de provider die kwalificatie schriftelijk onderbouwt.

Financiële rapportage-AI en budgetprognoses: Minimaal risico in de meeste gevallen. AI die financiële data analyseert en prognoses genereert voor intern gebruik zonder directe beslissingsgevolgen voor externe personen, valt in de meeste gevallen buiten de hoog-risico categorie. Transparantie jegens de gebruikers (management) over de beperkingen van de prognoses is wel goede praktijk.

Marketing & communicatie

Generatieve AIgeneratieve AIAI-systemen die nieuwe inhoud voortbrengen, tekst, beeld, audio, code, in plaats van alleen te classificeren of voorspellen. Grote taalmodellen zijn het bekendste voorbeeld. Zie hallucinatie, deepfake.Open full entry → voor contentproductie (tekst, beeld): Beperkt risico (Art. 50). AI-gegenereerde content moet worden gelabeld als dit niet duidelijk is voor het publiek. Een volledig door AI gegenereerde blog die als "door de redactie geschreven" wordt gepresenteerd, is een overtreding van Art. 50. Systemen die medewerkers ondersteunen bij het schrijven (co-pilot functionaliteit) waarbij de medewerker substantieel bijdraagt, vereisen geen labelplicht voor de eindcontent.

Gepersonaliseerde advertentie-targeting: Minimaal tot beperkt risico in de meeste gevallen. Targeting-algoritmen die publiek segmenteren op basis van klikgedrag zijn geen hoog-risico AI. Let op: als targeting specifiek kwetsbare groepen exploiteert (Art. 5.1.b) of subliminale technieken inzet (Art. 5.1.a), is het een verboden AI-praktijk, ongeacht de risicoklasse.

AI-chatbots voor klantenservice: Beperkt risico (Art. 50). Chatbots moeten zich identificeren als AI. Hoog-risico wordt het zodra de chatbot beslissingen neemt of ondersteunt die significante gevolgen hebben voor de klant (bijv. creditlimiet-aanpassingen, contractwijzigingen), dan is er een risicoclassificatie-analyse nodig.

Operations & IT

AI voor kwaliteitscontrole in productieomgevingen: Afhankelijk van de context. Als het systeem veiligheidsgerelateerde beslissingen neemt bij producten die onder Bijlage I vallen (machines, medische hulpmiddelen), is het hoog-risico AI. Als het systeem kwaliteitsafwijkingen signaleert die altijd door een medewerker worden beoordeeld, kan Art. 6.3 van toepassing zijn.

Predictive maintenance: Minimaal risico in de meeste gevallen. AI die machineproblemen voorspelt en onderhoud adviseert voor intern gebruik is doorgaans geen hoog-risico AI, tenzij het systeem direct ingrijpt in kritieke infrastructuur (Bijlage III, punt 2).

IT-security AI (anomalie-detectie, SIEM): Minimaal tot beperkt risico afhankelijk van de automatische actie. Als het systeem uitsluitend alerts genereert voor beveiligingsanalisten, is het geen hoog-risico AI. Als het systeem automatisch accounts blokkeert of toegang weigert voor medewerkers of klanten op basis van AI-beoordeling, is een classificatieanalyse nodig.

Zorg & welzijn

AI-diagnose-ondersteuning (beeldanalyse, symptoomchecker): Hoog-risico AI in de meeste gevallen (Bijlage I als het om een MDR-product gaat, of Bijlage III als het om een standalone AI-adviessysteem gaat). Medische AI heeft de hoogste compliance-last: conformiteitsassessment door notified body (bij MDR), technische documentatietechnische documentatieRegistraties die een aanbieder voor een hoog-risico-AI-systeem moet samenstellen en bewaren om conformiteit aan te tonen, met dekking van het ontwerp, de data, het testen, het risicobeheer en de monitoring. Zie aanbieder, bewijs, model card.Open full entry →, menselijk toezicht, en veelal een FRIA.

Administratieve AI in de zorg (planningssystemen, facturatiecontrole): Minimaal risico in de meeste gevallen, tenzij de beslissingen directe gevolgen hebben voor de zorgverlening aan individuele patiënten.

Praktische stap: stel een AI-inventaris op

Dit overzicht is een startpunt, geen definitieve classificatie. Voor elk AI-systeemAI-systeemEen machinaal systeem dat voor expliciete of impliciete doelen uit invoer afleidt hoe het uitvoer genereert, voorspellingen, inhoud, aanbevelingen of beslissingen, die fysieke of virtuele omgevingen kunnen beïnvloeden. De OESO-achtige definitie die de EU AI Act volgt. Zie algoritme, machine learning.Open full entry → dat uw organisatie inzet, voert u een formele classificatieanalyse uit conform Art. 6 EU AI Act, waarin u per systeem de risicoklasse bepaalt en vastlegt en zo een schriftelijk classificatiedossier opbouwt.

Begin met de systemen in de hoogste-risico categorieën: HR-selectie, kredietbeoordeling en medische AI. Die zijn het meest urgent en hebben de zwaarste compliance-verplichtingen.

Checklist: per-afdeling compliance-start

  1. Heeft uw HR-afdeling alle AI-tools geïnventariseerd die bij selectie, beoordeling of personeelsbeheer worden ingezet?
  2. Zijn uw finance-AI-tools voor krediet of risicobeoordeling geclassificeerd als hoog-risico?
  3. Zijn uw marketing-chatbots geconfigureerd om zich als AI te identificeren (Art. 50)?
  4. Zijn de AI-tools in kritieke operationele systemen beoordeeld op hun impact op menselijke veiligheid?
  5. Heeft u een centrale AI-inventarisAI-inventarisEen register van alle AI-systemen die een organisatie bouwt, koopt of inbedt, met eigenaren en risicoklassen, de voorwaarde om er ook maar één te kunnen besturen. Zie risico, governance.Open full entry → die alle systemen per afdeling bijhoudt?
  6. Is er een procedure voor het melden van nieuwe AI-aanschaf aan de AI Officer?
  7. Zijn afdelingshoofden geïnformeerd over hun verantwoordelijkheid voor Art. 4 AI-geletterdheidAI-geletterdheidVoldoende begrip van de werking, mogelijkheden en risico's van AI voor de eigen rol, een expliciete verwachting voor medewerkers van aanbieders en gebruiksverantwoordelijken onder de EU AI Act. Zie aanbieder, gebruiksverantwoordelijke.Open full entry → in hun team?
WetsverwijzingenArt. 26Art. 4Art. 5Art. 50Art. 6
Delen Deel op LinkedIn

Meer over Accountability

Art. 10 EU AI Act: data en datagovernance voor hoog-risico AI

Reference

Art. 10 vereist dat de trainings-, validatie- en testdata voor hoog-risico AI-systemen voldoet aan kwaliteitscriteria: relevant, voldoende representatief, en zo foutloos en volledig mogelijk voor het beoogde doel. Het vereist ook gedocumenteerde datagovernance over verzameling, voorbereiding, bias-onderzoek en het mitigeren van lacunes, en het staat de beperkte verwerking van bijzondere persoonsgegevens toe waar strikt noodzakelijk om bias te detecteren en corrigeren, onder waarborgen.

Art. 12 EU AI Act: registratie en logging voor hoog-risico AI

Reference

Art. 12 vereist dat hoog-risico AI-systemen technisch de automatische registratie van gebeurtenissen (logs) over hun levensduur mogelijk maken. De logging moet de traceerbaarheid van het functioneren van het systeem mogelijk maken op een niveau passend bij het beoogde doel, post-market monitoring ondersteunen, en helpen situaties te identificeren die tot risico of een substantiële wijziging kunnen leiden. Het is een ontwerpverplichting voor de provider die het systeem door constructie auditeerbaar maakt.

Art. 19 EU AI Act: het bewaren van de automatisch gegenereerde logs

Reference

Art. 19 verplicht providers van hoog-risico AI-systemen om de logs die het systeem automatisch genereert (onder Art. 12) te bewaren zolang ze die onder controle hebben, voor een periode passend bij het beoogde doel en minimaal zes maanden, tenzij andere wetgeving een langere termijn vereist. Het is de bewaar-tegenhanger van de Art. 12-logging-capaciteit, en werkt naast de deployer-bewaarplicht in Art. 26.6.

Art. 26.1, gebruik AI volgens de instructies van de aanbieder

Reference

Art. 26.1 EU AI Act verplicht deployers om hoog-risico AI-systemen uitsluitend in te zetten conform de gebruiksinstructies van de provider. De verplichting omvat drie componenten: het beschikken over de instructies (conform Art. 13.3), het actief naleven ervan, en het documenteren van dat naleven. Inzet buiten de instructies kan de aansprakelijkheid volledig naar de deployer verschuiven.