GovCompass
EN
AI governance
ReferenceFairnessSafety & reliability

Art. 5, verboden AI-praktijken

Door GovCompass.ai· Laatst gecontroleerd juni 2026· Afgestemd op de geconsolideerde EU AI Act, inclusief de Omnibus-wijzigingen van 2026.

Art. 5 somt de acht verboden AI-praktijken op, waaronder subliminale manipulatie, exploitatie van kwetsbare groepen, social scoring en het ongericht scrapen van gezichtsopnamen. Deze verboden zijn absoluut, gelden voor elke organisatie ongeacht grootte, en zijn van kracht sinds 2 februari 2025.

Bijgewerkt: juni 2026

Inleiding: waarom Art. 5 de kern van de EU AI Act is

Art. 5 EU AI Act bevat de absolute verboden, AI-toepassingen die de EU-wetgever als dermate gevaarlijk beschouwt dat geen enkele legitimatie ze rechtvaardigt. Waar de rest van de wet risicoprofielen afweegt en mitigerende maatregelen toestaat, trekt Art. 5 een harde grens: verboden is verboden, ongeacht context, commercieel belang of technische voorzorgen.

Voor deployers is Art. 5 het vertrekpunt van elk compliance-traject. Vóórdat u nadenkt over risicoklassen, assessments of governancegovernanceHet stelsel waarmee een organisatie zichzelf bestuurt: corporate governance, risicobeheer, compliance, verantwoordingslijnen, risicobereidheid en het besturingsmodel. Het bestaat over alles wat de organisatie doet, voor en los van AI. AI governance is ditzelfde stelsel, uitgebreid voor AI. Zie AI governance, governance design, executie.Open full entry →-structuren, moet u zeker weten dat geen enkel AI-systeemAI-systeemEen machinaal systeem dat voor expliciete of impliciete doelen uit invoer afleidt hoe het uitvoer genereert, voorspellingen, inhoud, aanbevelingen of beslissingen, die fysieke of virtuele omgevingen kunnen beïnvloeden. De OESO-achtige definitie die de EU AI Act volgt. Zie algoritme, machine learning.Open full entry → in uw organisatie onder één van de acht verbodscategorieën valt. Een inbreuk op Art. 5 levert de zwaarste sanctie op die de wet kent: tot €35 miljoen of 7% van de wereldwijde jaaromzet (Art. 99.3).

Art. 5 is van toepassing sinds 2 februari 2025, het eerste artikel van de EU AI Act dat rechtstreeks bindende verplichtingen schiep. De verboden gelden voor providers én deployers. Als deployer bent u verantwoordelijk voor de AI-systemen die u inzet, ook als u ze inkoopt van een derde partij.

Juridische context: positie in de wet

Art. 5 staat in Hoofdstuk II van de EU AI Act ("Verboden AI-praktijken"), dat logisch voorafgaat aan Hoofdstuk III (hoog-risicorisicoIn de termen van de EU AI Act de combinatie van de waarschijnlijkheid dat een schade optreedt en de ernst ervan als dat gebeurt. De schakel tussen een principe (via de schade die het zou schenden) en een control (de maatregel die het vermindert). Het benoemen van de schade en het inschatten van het risico is op grond van Art. 9 vereist voordat een maatregel wordt gekozen. Zie schade, control, restrisico.Open full entry → AI). De systematiek is hiërarchisch: eerst wordt bepaald wat nooit mag (Art. 5), dan wat alleen onder strenge voorwaarden mag (Art. 6-49), en tenslotte wat vrijuit mag mits transparant (Art. 50).

De wetgever heeft de acht verboden niet willekeurig gekozen. Overweging 42-48 licht toe dat de verboden voortvloeien uit het Handvest van de Grondrechten van de EU, in het bijzonder de mensenwaardige behandeling (Art. 1), het verbod op onderscheid (Art. 21), en de bescherming van persoonsgegevens (Art. 8). De verboden zijn dus grondrechtelijk verankerd, niet louter regulatoir van aard.

Cruciaal voor deployers: Art. 5 kent geen uitzonderingen voor mkb, geen overgangsperiode na 2 februari 2025, en geen mogelijkheid tot "responsible disclosure" of vrijwillig beëindigen zonder sanctie. De enige uitzondering betreft specifiek afgebakende taken van wetshandhavingsautoriteiten (zie §7 hieronder).

Verbod 1: subliminale manipulatie (Art. 5.1.a)

Het verbod verbiedt AI-systemen die technieken gebruiken om het onderbewustzijn van personen te beïnvloeden op een wijze die zij redelijkerwijs niet kunnen waarnemen, met als doel hun gedrag te sturen op een manier die henzelf of anderen schadeschadeDe concrete schade die een AI-systeem kan aanrichten en die een principe van verantwoorde AI beoogt te voorkomen: in de termen van de EU AI Act schade aan iemands gezondheid, veiligheid of grondrechten. Schade is de brug tussen een abstract principe en een bestuurbaar risico; governance wordt operationeel op het moment dat een organisatie de specifieke schades benoemt die ze wil voorkomen. Voor eerlijkheid is een schade dat een groep stelselmatig slechtere uitkomsten krijgt vanwege een kenmerk dat niet had mogen meetellen. Zie principe, risico.Open full entry → berokkent.

Kernelementen: (1) subliminale techniek, onder de perceptiedrempel; (2) intentie om gedrag te sturen; (3) daadwerkelijk nadeel voor de betrokkene of derden. Alle drie moeten aanwezig zijn.

Wat valt er wél onder: AI die stilbeelden toont op een snelheid die het bewuste verwerken omzeilt (subliminale flash-advertenties), audio-watermerken die onhoorbaar zijn maar gedragsmatige responsen triggeren, of neuro-marketing AI die hersengolven analyseert om onbewuste aankoopbeslissingen te forceren.

Wat valt er NIET onder: Personalisatie-algoritmen die zichtbare aanbevelingen doen, ook al zijn de onderliggende modellen complex, zolang de output bewust waarneembaar is, valt het niet onder dit verbod. Overtuigingskracht (persuasion) is niet verboden; manipulatie onder de waarnemingsdrempel wel. Prijsoptimalisatie valt evenmin hieronder tenzij gecombineerd met subliminale elementen.

Deployer-implicatie: Controleer bij AI-leveranciers of hun systemen gebruik maken van technieken die niet bewust waarneembaar zijn. Vraag expliciet naar het gebruik van subliminale of paralinguale elementen in AI-gedreven communicatie.

Verbod 2: exploitatie van kwetsbaarheden (Art. 5.1.b)

Verboden is AI die specifieke kwetsbaarheden van bepaalde groepen uitbuit, personen met een handicap, ouderen, kinderen, om hun gedrag te sturen op een manier die henzelf of anderen schade berokkent.

Kernelementen: (1) specifieke doelgroep met kwetsbaarheid; (2) bewuste exploitatie van die kwetsbaarheid; (3) nadeel. Overweging 44 verduidelijkt dat ook economische kwetsbaarheid hieronder kan vallen.

Wat valt er wél onder: Een gok-AI die specifiek ouderen met cognitieve achteruitgang target voor hogere inzetten; een zorgapp die dementerende gebruikers manipuleert tot onnodige aankopen; een educatieve app die kinderen aanzet tot herhaalde in-app purchases via gamification-psychologie die hun impulscontrole omzeilt.

Wat valt er NIET onder: Toegankelijkheidstechnologie die juist kwetsbare gebruikers ondersteunt (zoals AI-spraakassistenten voor visueel gehandicapten), het doel is ondersteuning, niet exploitatie. Leeftijdsverificatie-systemen die minderjarigen weren van ongepaste content zijn evenmin verboden.

Deployer-implicatie: Als uw AI-systeem specifieke doelgroepen bedient (zorg, onderwijs, financiën voor ouderen), documenteer dan expliciet hoe het systeem is ontworpen om kwetsbaarheid te beschermen, niet te exploiteren. Dit is ook relevant voor de DPIADPIAData Protection Impact Assessment, vereist vóór verwerking met waarschijnlijk hoog risico (systematische profilering met aanzienlijke gevolgen, grootschalige bijzondere categorieën, publieke monitoring); AI-ontwikkeling roept het voortdurend op. Zie impactassessment, profilering.Open full entry →.

Verbod 3: social scoring door publieke autoriteiten (Art. 5.1.c)

Verboden is het gebruik van AI door publieke autoriteiten voor het evalueren of classificeren van natuurlijke personen op basis van hun sociaal gedrag of persoonlijkheidskenmerken, waarbij die evaluatie leidt tot nadelige behandeling op een ongerechtvaardigde of disproportionele wijze.

Wat valt er wél onder: Een gemeentelijk AI-systeem dat burgers scoort op basis van hun historische gebruik van sociale diensten en hen op grond van die score toegang ontzegt tot andere diensten; een nationaal puntensysteem dat rijgedrag koppelt aan toegang tot publieke voorzieningen.

Wat valt er NIET onder: Private creditscoring door banken (dit valt niet onder "publieke autoriteiten"), hoewel andere regelgeving, waaronder AVG en de consumentenbeschermingswetgeving, hier wel op van toepassing is. Reputatiesystemen op platforms (reviews, ratings) zijn geen social scoringsocial scoringMensen in de tijd en over contexten heen beoordelen, met nadelige of onevenredige behandeling als gevolg, een verboden AI-praktijk in de EU. Zie verboden praktijken.Open full entry → in de zin van Art. 5.1.c zolang ze niet door een overheidsinstantie worden ingezet.

Deployer-implicatie: Dit verbod richt zich primair op overheidsinstellingen. Als u als private organisatie AI-tools levert aan gemeenten of andere publieke instanties, zorg dan dat uw systeem niet als social scoring-instrument kan worden gebruikt. Contractuele waarborgen zijn hier verplicht (Art. 26.1).

Verbod 4: realtime biometrische identificatie in openbare ruimten (Art. 5.1.d)

Het gebruik van "real-time" biometrische identificatiesystemen in openbaar toegankelijke ruimten voor rechtshandhavingsdoeleinden is verboden, met drie beperkte uitzonderingen.

Definitie "real-time": De biometrische data wordt opgenomen én verwerkt vrijwel onmiddellijk, zonder betekenisvolle vertraging. "Post-remote" systemen die opnames achteraf analyseren vallen hier in principeprincipeEen van de zeven waarden van verantwoorde AI waaraan een bestuurd systeem zou moeten voldoen (eerlijkheid, veiligheid en betrouwbaarheid, privacy, beveiliging en robuustheid, transparantie en uitlegbaarheid, verantwoording, menselijk toezicht). Een principe is abstract: het benoemt een uitkomst, geen knop die je kunt omzetten. Het wordt bestuurbaar door de schade te benoemen die het zou schenden, het risico van die schade in te schatten, en controls tegen dat risico te plaatsen. Wanneer GovCompass een principe zo borgt, noemt het dat een pijler. Zie pijler, schade, risico.Open full entry → niet onder (maar kunnen onder andere bepalingen vallen).

Wat valt er wél onder: Politiecamera's in winkelstraten die live gezichtsherkenning uitvoeren om verdachten op te sporen; AI-poorten bij evenementen die bezoekers real-time identificeren voor de wetshandhaving.

Uitzonderingen (Art. 5.2), elk vereist voorafgaande rechterlijke machtiging:

  • Gerichte opsporing van slachtoffers van ernstige misdrijven (mensenhandel, seksuele uitbuiting van kinderen, ontvoering)
  • Voorkoming van een concrete, significante en aanstaande terroristische dreiging
  • Opsporing van personen verdacht van specifiek omschreven ernstige strafbare feiten (moord, verkrachting, gewapende overval, georganiseerde misdaad)

Wat valt er NIET onder: Toegangscontrole door private bedrijven op eigen terrein (geen openbaar toegankelijke ruimte in de zin van de wet); post-hoc analyse van CCTV-beelden zonder real-time karakter; biometrische toegangscontrole in besloten omgevingen zoals kantoorgebouwen.

Deployer-implicatie: Dit verbod geldt rechtstreeks voor rechtshandhavingsautoriteiten en is voor de meeste private deployers niet relevant. Let wel: het verbod geldt ook voor de leverancier van de technologie, controleer dat uw biometrische systemen niet zo kunnen worden geconfigureerd dat ze real-time identificatie in openbare ruimten voor wetshandhaving mogelijk maken.

Verbod 5: emotieherkenning op de werkplek en in het onderwijs (Art. 5.1.f)

Verboden is het gebruik van AI-systemen voor het infereren van emoties van natuurlijke personen op de werkplek of in onderwijsinstellingen, behalve om medische of veiligheidsredenen.

Wat valt er wél onder: AI die analyseert of werknemers gestrest, vermoeid of gefrustreerd zijn op basis van gezichtsuitdrukking of stemtoon; "mood tracking" voor productiviteitsoptimalisatie; AI-surveillancesoftware die emotionele betrokkenheid van studenten tijdens online lessen meet.

Wat valt er NIET onder: Gezondheidszorg-AI die pijnsignalen detecteert in een klinische omgeving (medische reden); vermoeidheidsdetectie bij vrachtwagenchauffeurs voor verkeersveiligheid (veiligheidsdoeleinde, Art. 5.1.f uitzondering); klantenservice-coaching die de eigen medewerker real-time feedback geeft op emotionele toon in klantgesprekken, hier is de werknemer zelf de begunstigde en is er geen sprake van surveillance.

Grensgebied: Werkgevers-welzijn-apps die vrijwillig door medewerkers worden gebruikt, de vrijwilligheid is hier bepalend, maar in een arbeidsrelatie is echte vrijwilligheid moeilijk te garanderen. De toezichthouder zal waarschijnlijk terughoudend zijn.

Deployer-implicatie: Inventariseer al uw HR-tech op emotieherkenningscomponenten. Dit omvat ook video-sollicitatie-AI met "persoonlijkheidsanalyse" (vermoedelijk ook verboden onder Art. 5.1.b). Vraag leveranciers expliciet: bevat dit systeem enige vorm van affective computing of emotion inference?

Verbod 6: biometrische categorisering op basis van gevoelige kenmerken (Art. 5.1.e)

Verboden is biometrische categoriseringbiometrische categoriseringMensen in categorieën indelen zoals etniciteit of politieke opvattingen op basis van hun biometrische gegevens; onder de AI Act beperkt of verboden. Zie verboden praktijken, emotieherkenning.Open full entry → van individuen op basis van hun biometrische data om ras, politieke opvattingen, vakbondslidmaatschap, religieuze of levensbeschouwelijke overtuigingen, seksleven of seksuele geaardheid af te leiden.

Wat valt er wél onder: Gezichtsherkenning-AI die op basis van fysionomie etniciteit of seksuele geaardheid categoriseert voor targetingdoeleinden; AI die stempatronen analyseert om politieke voorkeur te infereren voor advertenties.

Wat valt er NIET onder: Legitieme biometrische authenticatie (vingerafdruk, gezichtsherkenning voor toegang) waarbij geen gevoelige categorieën worden afgeleid; medische AI die genetische data analyseert voor diagnostiek.

Deployer-implicatie: Wees bijzonder waakzaam bij AI-systemen die "persoonlijkheidsprofielen" opbouwen uit biometrische signalen. Vraag leveranciers naar welke inferenties het systeem maakt en welke categorieën worden opgeslagen.

Verbod 7: manipulatie van individuen via deepfakes en desinformatie (Art. 5.1.g, nieuw in omnibus)

Het AI Omnibus Akkoord (mei 2026) heeft Art. 5 uitgebreid met een verbod op het gebruik van generatieve AIgeneratieve AIAI-systemen die nieuwe inhoud voortbrengen, tekst, beeld, audio, code, in plaats van alleen te classificeren of voorspellen. Grote taalmodellen zijn het bekendste voorbeeld. Zie hallucinatie, deepfake.Open full entry → voor het systematisch creëren van deepfakedeepfakeDoor AI gegenereerde of gemanipuleerde audio, beeld of video die echte personen of gebeurtenissen overtuigend weergeeft die niet hebben plaatsgevonden; onderworpen aan etiketteringsplichten onder de transparantielaag van de EU AI Act. Zie generatieve AI, transparantie.Open full entry →-content met als doel individuen te schaden of desinformatie op grote schaal te verspreiden.

Wat valt er wél onder: Geautomatiseerde campagnes die nepnieuws genereren voor politieke beïnvloeding; deepfake-generators die zonder toestemming het beeld van personen gebruiken voor intimidatie of reputatieschade.

Wat valt er NIET onder: Legitiem gebruik van generatieve AI voor satire, kunst, of entertainment, mits duidelijk gelabeld. Beveiligingsonderzoek waarbij deepfake-detectie wordt getest.

Deployer-implicatie: Als u generatieve AI-tools inzet voor communicatie of content-productie, implementeer interne controles die misbruik voor deepfake-campagnes uitsluiten. Documenteer dit in uw AI-governance beleid.

Verbod 8: predictive policing op basis van persoonskenmerken (Art. 5.1.h, aangevuld in omnibus)

Verboden is het gebruik van AI voor het maken van risico-assessments van individuen die uitsluitend of primair zijn gebaseerd op hun persoonlijkheid, etniciteit, religie of andere gevoelige kenmerken, met als doel toekomstig crimineel gedrag te voorspellen.

Wat valt er wél onder: AI die op basis van demografische kenmerken en postcode voorspelt wie waarschijnlijk een misdaad zal begaan, en dit gebruikt voor proactieve surveillance; etnisch profileren ingebouwd in AI-systemen voor wetshandhaving.

Wat valt er NIET onder: Recidive-risicoschatting die louter op gedragshistorie is gebaseerd (eerdere veroordelingen, reclassering-context), dit is omstreden maar niet verboden onder Art. 5. Risicomodellen die meerdere contextuele factoren combineren zonder gevoelige kenmerken als primaire driver.

Deployer-implicatie: Instellingen in de strafrechtketen (reclassering, justitie, gemeenten met preventief handhavingsbeleid) moeten hun AI-systemen grondig laten auditen op discriminerende proxies.

Deployer-specifieke implicaties: uw actieplan

Due diligence bij inkoop: Voordat u een AI-systeem aanschaft, screent u de technische documentatietechnische documentatieRegistraties die een aanbieder voor een hoog-risico-AI-systeem moet samenstellen en bewaren om conformiteit aan te tonen, met dekking van het ontwerp, de data, het testen, het risicobeheer en de monitoring. Zie aanbieder, bewijs, model card.Open full entry → van de provider op bovenstaande verbodscategorieën. Art. 26.1 EU AI Act verplicht deployers om te zorgen dat het systeem in lijn is met de verordening. Dit is geen inspanningsverplichting, het is een resultaatsverplichting.

Contractuele waarborgen: Neem in uw leveranciersovereenkomst een garantie op dat het AI-systeem niet valt onder Art. 5 verboden, inclusief een vrijwaringsclausule als dit achteraf wel het geval blijkt te zijn. Vraag om een Art. 5 compliance-verklaring als onderdeel van het Supplier Passport.

Ongoing monitoring: AI-systemen evolueren. Een update van de leverancier kan nieuwe functionaliteiten introduceren die wél onder Art. 5 vallen. Zorg voor een review-protocol bij elke materiële update van een ingekochte AI-oplossing.

Documentatie: Leg voor elk AI-systeem schriftelijk vast waarom het niet onder Art. 5 valt. Dit hoeft geen uitgebreid document te zijn, maar bij een audit door de toezichthouder moet u het bewijsbewijsHet concrete bewijs dat een control is ontworpen, geïmplementeerd en werkt: een testrapport, een audit trail, een impactassessment, een monitoringlog. Elke schakel in de governance-keten levert een artefact op, en samen zijn ze wat een organisatie overhandigt aan haar eigen bestuur, een toezichthouder, een klant of een betrokkene om te tonen, niet te zeggen, dat een systeem bestuurd is. De afwezigheid ervan is zelf het falen: een risicoregister zonder testresultaten, of een maatregel die wordt geclaimd zonder validatie, is een governance-gat, geen papierwerk-gat. De sluitende schakel van de governance-keten. Zie control, governance.Open full entry → kunnen leveren.

Handhaving en sancties

Inbreuken op Art. 5 zijn de zwaarst gesanctioneerde overtredingen in de EU AI Act. Art. 99.3 bepaalt: boetes tot €35.000.000 of, voor ondernemingen, tot 7% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, de hogere van beide bedragen.

In Nederland is het toezicht op de EU AI Act belegd bij de aangewezen markttoezichthouders (in de zin van Art. 70), met de AP als coördinerende toezichthouder. De toezichthouders hebben aangegeven prioriteit te geven aan AI-systemen die worden ingezet in sectoren met kwetsbare eindgebruikers: zorg, onderwijs en arbeidsmarkt.

De Europese AI Office (gevestigd bij de Europese Commissie) houdt toezicht op aanbieders van GPAI-modellen en heeft aanvullende bevoegdheden bij grensoverschrijdende inbreuken. Bij systemische overtredingen van Art. 5 kan de Commissie zelf handhavend optreden.

Belangrijk: de toezichthouder hoeft geen schade te bewijzen. Het enkele gebruik van een verboden AI-systeem is voldoende voor een sanctie, intentie is irrelevant.

Veelgestelde vragen

V: Wij gebruiken gezichtsherkenning voor tijdregistratie van medewerkers. Is dat verboden?
A: Nee, mits het systeem geen real-time identificatie in een openbaar toegankelijke ruimte uitvoert voor rechtshandhaving (Art. 5.1.d) en geen emoties afleidt (Art. 5.1.f). Biometrische tijdregistratie in een besloten bedrijfsomgeving valt niet onder Art. 5, maar wél onder de AVG (Art. 9, biometrische gegevens zijn bijzondere persoonsgegevens) en vereist expliciete toestemming.

V: Onze HR-software bevat een "AI-score" voor sollicitanten op basis van videoanalyse. Is dat verboden?
A: Hoogstwaarschijnlijk ja, als het systeem emoties of persoonlijkheidskenmerken afleidt uit gezichtsuitdrukkingen of stemtoon (Art. 5.1.f + Art. 5.1.b). Dit is ook een hoog-risico AI-systeem (Bijlage IIIBijlage IIIDe lijst van de EU AI Act met hoog-risico-toepassingsgebieden: biometrie, kritieke infrastructuur, onderwijs, werk, essentiële diensten, rechtshandhaving, migratie, justitie. Zie conformiteitsbeoordeling, conformiteitsverklaring.Open full entry →, 4.a, AI bij werving en selectie), waarvoor een volledig conformiteitsassessment verplicht is. Schakel direct uw AI Officer en DPO in.

V: We hebben een chatbot die gepersonaliseerde aanbiedingen doet op basis van gebruikersgedrag. Is dat manipulatie?
A: Niet automatisch. Art. 5.1.a vereist subliminale technieken (onder de waarnemingsdrempel) én nadeel voor de gebruiker. Een transparante, zichtbare personalisatie op basis van klikgedrag is geen subliminale manipulatie. Wordt de chatbot echter ingezet om kwetsbare groepen (ouderen, schulden) te overtuigen tot schadelijke financiële beslissingen, dan kan Art. 5.1.b van toepassing zijn.

V: Onze beveiligingsdienst gebruikt AI die camerabeelden analyseert op verdacht gedrag. Is dat verboden?
A: Dit hangt af van wat het systeem precies doet. Gedragsanalyse (abnormale bewegingspatronen) is niet hetzelfde als biometrische identificatie. Analyseert het systeem louter anomalieën in gedrag zonder personen te identificeren of te categoriseren op gevoelige kenmerken, dan valt het niet onder Art. 5. Is er wél sprake van gezichtsherkenning in real-time of emotie-inferentieinferentieDe fase waarin een getraind model uitvoer produceert op nieuwe invoer, in tegenstelling tot de trainingsfase waarin het zijn parameters leert. Zie machine learning, AI-systeem.Open full entry →, dan moet u verder beoordelen of de uitzonderingen van Art. 5.2 van toepassing zijn.

Checklist: Art. 5 compliance voor deployers

  1. Heeft u een inventaris van alle AI-systemen die uw organisatie inzet of overweegt in te zetten? Zo niet: start hier. Zonder inventaris kunt u Art. 5 niet toepassen.
  2. Bevat geen enkel AI-systeem technieken die bewust buiten de waarnemingsdrempel werken (subliminaal)? Vraag dit expliciet aan elke AI-leverancier.
  3. Worden kwetsbare groepen (ouderen, kinderen, mensen met een handicap) door geen enkel systeem op hun kwetsbaarheid getarget? Controleer de doelgroepspecificaties van elk systeem.
  4. Worden er geen AI-systemen ingezet die personen een sociale score toekennen op basis van gedrag en dat koppelen aan toegang tot diensten? Relevant voor overheidsinstellingen en semi-publieke organisaties.
  5. Bevat geen enkel systeem real-time biometrische identificatie in openbaar toegankelijke ruimten voor rechtshandhavingsdoeleinden (zonder rechterlijke machtiging)? Relevant voor beveiliging en publieke sector.
  6. Bevat geen enkel systeem op de werkplek of in het onderwijs een module voor emotieherkenningemotieherkenningEen AI-systeem dat de emoties van een persoon afleidt uit biometrische gegevens; het gebruik ervan op de werkvloer en in het onderwijs is onder de AI Act beperkt. Zie biometrische categorisering, verboden praktijken.Open full entry → (tenzij voor aantoonbare medische of veiligheidsdoeleinden)? Controleer HR-tech en EdTech expliciet.
  7. Maakt geen enkel systeem biometrische categoriseringen op basis van ras, religie, politieke opvatting, seksuele geaardheid of andere gevoelige kenmerken? Controleer profileringprofileringGeautomatiseerde verwerking van persoonsgegevens om aspecten van een persoon te beoordelen of voorspellen, zoals prestaties, gedrag of locatie, zoals gedefinieerd in de AVG. Zie geautomatiseerde besluitvorming, natuurlijke persoon.Open full entry →-componenten van CRM- en marketing-AI.
  8. Heeft u voor elk AI-systeem schriftelijk vastgelegd waarom het niet onder Art. 5 valt? Dit bewijs is uw eerste verdedigingslinie bij een onderzoek door de toezichthouder.
  9. Is er in uw leveranciersovereenkomsten een Art. 5-garantie en vrijwaringsclausule opgenomen? Zo niet: update uw standaard AI-inkoopvoorwaarden.
  10. Heeft u een review-protocol voor AI-systeemupdates om nieuwe verboden functionaliteiten vroegtijdig te signaleren? Eenmalige compliance is niet voldoende, dit moet doorlopend zijn.
WetsverwijzingenArt. 5
Delen Deel op LinkedIn

Meer over Fairness

Art. 10 EU AI Act: data en datagovernance voor hoog-risico AI

Reference

Art. 10 vereist dat de trainings-, validatie- en testdata voor hoog-risico AI-systemen voldoet aan kwaliteitscriteria: relevant, voldoende representatief, en zo foutloos en volledig mogelijk voor het beoogde doel. Het vereist ook gedocumenteerde datagovernance over verzameling, voorbereiding, bias-onderzoek en het mitigeren van lacunes, en het staat de beperkte verwerking van bijzondere persoonsgegevens toe waar strikt noodzakelijk om bias te detecteren en corrigeren, onder waarborgen.

AI in werving en selectie: risico's, bias en wat de EU AI Act nu al van u vraagt

Analysis

AI-recruitmentsystemen beloven objectiviteit maar versterken in de praktijk historische bias, en vallen als hoog-risico onder Bijlage III. De deployer draagt een zwaar compliance-regime onder Art. 26, inclusief menselijk toezicht, monitoring en een FRIA, dat niet aan de leverancier kan worden gedelegeerd.

FRIA uitvoeren: stap-voor-stap handleiding

Guide

Een Fundamental Rights Impact Assessment (FRIA) onder Art. 27 wordt stap voor stap uitgevoerd: beschrijf het systeem en het doel, identificeer de betrokken personen, beoordeel de impact op elke grondrechtendimensie, bepaal de mitigerende maatregelen, en documenteer het restrisico vóór de inzet.

Meer over Safety & reliability

Art. 14 EU AI Act: hoog-risico AI ontwerpen voor menselijk toezicht

Reference

Art. 14 vereist dat providers hoog-risico AI-systemen zo ontwerpen en bouwen dat ze tijdens gebruik effectief door mensen kunnen worden overzien. Het systeem moet een toezichthouder in staat stellen de mogelijkheden en grenzen te begrijpen, op afwijkingen te letten, automation bias te weerstaan, outputs juist te interpreteren, te besluiten het systeem niet te gebruiken, en in te grijpen of het te stoppen via een noodstop (Art. 14(4)(e)). Het is de ontwerpverplichting die de deployer-toezichtsplicht van Art. 26.2 mogelijk maakt.

Art. 26.4, input-data: zorg voor relevante en representatieve data

Reference

Art. 26.4 verplicht deployers van hoog-risico AI om te borgen dat de inputdata relevant en voldoende representatief is voor het beoogde doel van het systeem. De deployer is verantwoordelijk voor de datakwaliteit in gebruik, ook al stelt de provider de specificaties vast onder Art. 10.

Art. 26.5, monitoring: houd de werking van je AI in de gaten

Reference

Art. 26.5 verplicht deployers van hoog-risico AI om de werking van het systeem te monitoren aan de hand van de provider-instructies en om risico's en ernstige incidenten te melden. Monitoring is het vroegsignaleringsmechanisme dat aansluit op de incidentmelding van Art. 73.

Art. 51 EU AI Act: een GPAI-model classificeren als systeemrisico

Reference

Art. 51 bepaalt wanneer een AI-model voor algemene doeleinden wordt geclassificeerd als model met systeemrisico. Een model komt in de systeemrisico-categorie wanneer het capaciteiten met grote impact heeft, wat wordt vermoed zodra de cumulatieve rekenkracht die voor de training is gebruikt meer dan 10^25 floating-point operaties (FLOP) bedraagt, of wanneer de Commissie het als zodanig aanwijst. Classificatie als systeemrisico activeert de aanvullende verplichtingen van Art. 55 bovenop de basisverplichtingen van Art. 53 die voor elke GPAI-aanbieder gelden.