GovCompass
EN
AI governance
GuideAccountabilitySafety & reliability

Hoog risico of niet? zo classificeer je je AI-systemen

Door GovCompass.ai· Laatst gecontroleerd juni 2026· Afgestemd op de geconsolideerde EU AI Act, inclusief de Omnibus-wijzigingen van 2026.

Of een AI-systeem hoog-risico is, hangt af van Art. 6: het is hoog-risico als het een veiligheidscomponent onder Bijlage I is of binnen een Bijlage III-toepassing valt (zoals werkgelegenheid, krediet of essentiële diensten). De uitzondering van Art. 6.3 kan gelden wanneer het systeem slechts een beperkte, niet-doorslaggevende taak vervult.

De classificatie van AI-systemen is één van de eerste, en meest bepalende, stappen in je compliance-traject. De risicoklasse bepaalt volledig welke verplichtingen gelden. Deze gids legt het proces stap voor stap uit.

Stap 1, is het überhaupt een AI-systeem?

De EU AI Act hanteert een specifieke definitie: een machinegebaseerd systeem dat met variërende autonomie output genereert zoals voorspellingen, aanbevelingen of beslissingen. Eenvoudige regelgebaseerde software valt er buiten.

Stap 2, is het verboden? (Art. 5)

Toets eerst aan de negen verboden categorieën. Als het systeem hieronder valt: stop het gebruik onmiddellijk.

Stap 3, is het hoog-risico? (Art. 6 + Bijlage III)

Een systeem is hoog-risicorisicoIn de termen van de EU AI Act de combinatie van de waarschijnlijkheid dat een schade optreedt en de ernst ervan als dat gebeurt. De schakel tussen een principe (via de schade die het zou schenden) en een control (de maatregel die het vermindert). Het benoemen van de schade en het inschatten van het risico is op grond van Art. 9 vereist voordat een maatregel wordt gekozen. Zie schade, control, restrisico.Open full entry → als het valt in één van de acht Bijlage IIIBijlage IIIDe lijst van de EU AI Act met hoog-risico-toepassingsgebieden: biometrie, kritieke infrastructuur, onderwijs, werk, essentiële diensten, rechtshandhaving, migratie, justitie. Zie conformiteitsbeoordeling, conformiteitsverklaring.Open full entry →-gebieden:

  1. Biometrie en gezichtsherkenning
  2. Beheer van kritieke infrastructuur
  3. Onderwijs en beroepsopleiding
  4. Werkgelegenheid, HR en personeelsbeheer
  5. Toegang tot essentiële diensten (krediet, verzekering, sociale uitkeringen)
  6. Rechtshandhaving
  7. Migratie, asiel en grensbeheer
  8. Rechtsbedeling en democratische processen

Stap 4, beperkt risico?

Als het systeem direct communiceert met mensen (chatbots, deepfakes, AI-content) gelden transparantieverplichtingen (Art. 52).

Stap 5, minimaal risico

Alle overige AI valt onder minimaal risico. Geen verplichte maatregelen, maar vrijwillige gedragscodes zijn aanbevolen.

Praktijkvoorbeelden

  • CV-screening → hoog-risico (Bijlage III werkgelegenheid)
  • Creditscoring → hoog-risico (Bijlage III essentiële diensten)
  • Marketingchatbot → beperkt risico (Art. 52 transparantietransparantieOpenheid over het feit dát AI wordt gebruikt en hoe het in het algemeen werkt: openbaarmakingen, documentatie, kennisgevingen. Vormt een paar met uitlegbaarheid, die over individuele uitkomsten gaat. Zie uitlegbaarheid, principe.Open full entry →)
  • Spamfilter → minimaal risico
WetsverwijzingenArt. 5Art. 6
Delen Deel op LinkedIn

Meer over Accountability

Art. 10 EU AI Act: data en datagovernance voor hoog-risico AI

Reference

Art. 10 vereist dat de trainings-, validatie- en testdata voor hoog-risico AI-systemen voldoet aan kwaliteitscriteria: relevant, voldoende representatief, en zo foutloos en volledig mogelijk voor het beoogde doel. Het vereist ook gedocumenteerde datagovernance over verzameling, voorbereiding, bias-onderzoek en het mitigeren van lacunes, en het staat de beperkte verwerking van bijzondere persoonsgegevens toe waar strikt noodzakelijk om bias te detecteren en corrigeren, onder waarborgen.

Art. 12 EU AI Act: registratie en logging voor hoog-risico AI

Reference

Art. 12 vereist dat hoog-risico AI-systemen technisch de automatische registratie van gebeurtenissen (logs) over hun levensduur mogelijk maken. De logging moet de traceerbaarheid van het functioneren van het systeem mogelijk maken op een niveau passend bij het beoogde doel, post-market monitoring ondersteunen, en helpen situaties te identificeren die tot risico of een substantiële wijziging kunnen leiden. Het is een ontwerpverplichting voor de provider die het systeem door constructie auditeerbaar maakt.

Art. 19 EU AI Act: het bewaren van de automatisch gegenereerde logs

Reference

Art. 19 verplicht providers van hoog-risico AI-systemen om de logs die het systeem automatisch genereert (onder Art. 12) te bewaren zolang ze die onder controle hebben, voor een periode passend bij het beoogde doel en minimaal zes maanden, tenzij andere wetgeving een langere termijn vereist. Het is de bewaar-tegenhanger van de Art. 12-logging-capaciteit, en werkt naast de deployer-bewaarplicht in Art. 26.6.

Art. 26.1, gebruik AI volgens de instructies van de aanbieder

Reference

Art. 26.1 EU AI Act verplicht deployers om hoog-risico AI-systemen uitsluitend in te zetten conform de gebruiksinstructies van de provider. De verplichting omvat drie componenten: het beschikken over de instructies (conform Art. 13.3), het actief naleven ervan, en het documenteren van dat naleven. Inzet buiten de instructies kan de aansprakelijkheid volledig naar de deployer verschuiven.

Meer over Safety & reliability

Art. 14 EU AI Act: hoog-risico AI ontwerpen voor menselijk toezicht

Reference

Art. 14 vereist dat providers hoog-risico AI-systemen zo ontwerpen en bouwen dat ze tijdens gebruik effectief door mensen kunnen worden overzien. Het systeem moet een toezichthouder in staat stellen de mogelijkheden en grenzen te begrijpen, op afwijkingen te letten, automation bias te weerstaan, outputs juist te interpreteren, te besluiten het systeem niet te gebruiken, en in te grijpen of het te stoppen via een noodstop (Art. 14(4)(e)). Het is de ontwerpverplichting die de deployer-toezichtsplicht van Art. 26.2 mogelijk maakt.

Art. 26.4, input-data: zorg voor relevante en representatieve data

Reference

Art. 26.4 verplicht deployers van hoog-risico AI om te borgen dat de inputdata relevant en voldoende representatief is voor het beoogde doel van het systeem. De deployer is verantwoordelijk voor de datakwaliteit in gebruik, ook al stelt de provider de specificaties vast onder Art. 10.

Art. 26.5, monitoring: houd de werking van je AI in de gaten

Reference

Art. 26.5 verplicht deployers van hoog-risico AI om de werking van het systeem te monitoren aan de hand van de provider-instructies en om risico's en ernstige incidenten te melden. Monitoring is het vroegsignaleringsmechanisme dat aansluit op de incidentmelding van Art. 73.

Art. 5, verboden AI-praktijken

Reference

Art. 5 somt de acht verboden AI-praktijken op, waaronder subliminale manipulatie, exploitatie van kwetsbare groepen, social scoring en het ongericht scrapen van gezichtsopnamen. Deze verboden zijn absoluut, gelden voor elke organisatie ongeacht grootte, en zijn van kracht sinds 2 februari 2025.