AI-tools per afdeling: wat zijn jouw verplichtingen?

Bijgewerkt: juni 2026 — volledige herziening naar Validai-kwaliteitsstandaard

Inleiding: AI per afdeling vraagt per afdeling een compliance-aanpak

De EU AI Act is een horizontale verordening — ze geldt voor alle sectoren en alle afdelingen. Maar de praktische compliance-vereisten variëren sterk per type AI-toepassing. Een HR-afdeling die AI voor cv-screening inzet, heeft te maken met hoog-risico verplichtingen inclusief FRIA en menselijk toezicht. Een marketingafdeling die AI voor advertentieteksten gebruikt, heeft in de meeste gevallen alleen de transparantieverplichting van Art. 50.

Dit artikel analyseert de meest voorkomende AI-toepassingen per afdeling op hun EU AI Act-status en compliance-vereisten. Het is een diagnose-instrument, geen vervanging voor de volledige classificatieanalyse van Art. 6 voor uw specifieke systemen.

HR & Recruitment

CV-screening en sollicitantenbeoordeling: Hoog-risico AI (Bijlage III, punt 4). Dit is de meest risicovolle HR-toepassing onder de EU AI Act. AI die sollicitanten selecteert, scoort of rankt op basis van hun cv, motivatiebrief of antwoorden op een online vragenlijst, valt zonder uitzondering in de hoog-risico categorie. Alle Art. 26-verplichtingen zijn van toepassing, inclusief het vierogenprincipe (menselijk toezicht), inputdatakwaliteitsborging en transparantie jegens sollicitanten (Art. 26.7).

Grensgebied: Een tool die uitsluitend de opmaak van cv's controleert (bijv. volledigheidscheck) zonder inhoudelijke beoordeling van de kandidaat, valt waarschijnlijk buiten Bijlage III. Zodra het systeem inhoudelijke beoordelingen maakt over geschiktheid, val het eronder.

Prestatiebeoordelingssystemen: Hoog-risico AI (Bijlage III, punt 4). AI die bijdraagt aan de beoordeling van medewerkers voor promotie, loonsverhoging of beëindiging van het dienstverband valt onder punt 4. De deployer-verplichtingen zijn volledig van toepassing. Bijzondere aandacht vereist het menselijk toezicht (Art. 26.2): de manager die de AI-beoordeling overneemt zonder inhoudelijke review, voldoet niet aan de verplichting.

Roosterplanningssystemen met AI: Beperkt risico of minimaal risico, afhankelijk van de autonomie van het systeem. Als het systeem louter een rooster genereert dat een planner vrijelijk kan aanpassen, zonder dat de AI de werktijden of contracturen van medewerkers bepaalt, is het geen hoog-risico AI. Zodra het systeem de feitelijke contracturen of arbeidsomstandigheden beïnvloedt, is nader onderzoek vereist.

Finance & Risk

Kredietscoring en krediettoewijzing: Hoog-risico AI (Bijlage III, punt 5.b). Systemen die kredietwaardigheid beoordelen of kredietlimieten bepalen voor individuele personen of kleinbedrijven, zijn categorisch hoog-risico. Dit geldt voor banken, leasemaatschappijen, buy-now-pay-later aanbieders en andere financiële instellingen. Aanvullend zijn ook de financiële sectorspecifieke normen (Wft, EBA-richtlijnen voor AI in krediet) van toepassing naast de EU AI Act.

Fraudedetectie: Afhankelijk van de impact. Als fraudedetectie-AI de enige of doorslaggevende basis is voor het blokkeren van een bankrekening of het weigeren van een transactie door een individuele persoon, is het hoog-risico AI (punt 5). Fraudedetectie die uitsluitend interne alarmen genereert die altijd door een medewerker worden beoordeeld, kan buiten hoog-risico vallen via Art. 6.3 — mits de provider die kwalificatie schriftelijk onderbouwt.

Financiële rapportage-AI en budgetprognoses: Minimaal risico in de meeste gevallen. AI die financiële data analyseert en prognoses genereert voor intern gebruik zonder directe beslissingsgevolgen voor externe personen, valt in de meeste gevallen buiten de hoog-risico categorie. Transparantie jegens de gebruikers (management) over de beperkingen van de prognoses is wel goede praktijk.

Marketing & Communicatie

Generatieve AI voor contentproductie (tekst, beeld): Beperkt risico (Art. 50). AI-gegenereerde content moet worden gelabeld als dit niet duidelijk is voor het publiek. Een volledig door AI gegenereerde blog die als "door de redactie geschreven" wordt gepresenteerd, is een overtreding van Art. 50. Systemen die medewerkers ondersteunen bij het schrijven (co-pilot functionaliteit) waarbij de medewerker substantieel bijdraagt, vereisen geen labelplicht voor de eindcontent.

Gepersonaliseerde advertentie-targeting: Minimaal tot beperkt risico in de meeste gevallen. Targeting-algoritmen die publiek segmenteren op basis van klikgedrag zijn geen hoog-risico AI. Let op: als targeting specifiek kwetsbare groepen exploiteert (Art. 5.1.b) of subliminale technieken inzet (Art. 5.1.a), is het een verboden AI-praktijk — ongeacht de risicoklasse.

AI-chatbots voor klantenservice: Beperkt risico (Art. 50). Chatbots moeten zich identificeren als AI. Hoog-risico wordt het zodra de chatbot beslissingen neemt of ondersteunt die significante gevolgen hebben voor de klant (bijv. creditlimiet-aanpassingen, contractwijzigingen) — dan is er een risicoclassificatie-analyse nodig.

Operations & IT

AI voor kwaliteitscontrole in productieomgevingen: Afhankelijk van de context. Als het systeem veiligheidsgerelateerde beslissingen neemt bij producten die onder Bijlage I vallen (machines, medische hulpmiddelen), is het hoog-risico AI. Als het systeem kwaliteitsafwijkingen signaleert die altijd door een medewerker worden beoordeeld, kan Art. 6.3 van toepassing zijn.

Predictive maintenance: Minimaal risico in de meeste gevallen. AI die machineproblemen voorspelt en onderhoud adviseert voor intern gebruik is doorgaans geen hoog-risico AI, tenzij het systeem direct ingrijpt in kritieke infrastructuur (Bijlage III, punt 2).

IT-security AI (anomalie-detectie, SIEM): Minimaal tot beperkt risico afhankelijk van de automatische actie. Als het systeem uitsluitend alerts genereert voor beveiligingsanalisten, is het geen hoog-risico AI. Als het systeem automatisch accounts blokkeert of toegang weigert voor medewerkers of klanten op basis van AI-beoordeling, is een classificatieanalyse nodig.

Zorg & Welzijn

AI-diagnose-ondersteuning (beeldanalyse, symptoomchecker): Hoog-risico AI in de meeste gevallen (Bijlage I als het om een MDR-product gaat, of Bijlage III als het om een standalone AI-adviessysteem gaat). Medische AI heeft de hoogste compliance-last: conformiteitsassessment door notified body (bij MDR), technische documentatie, menselijk toezicht, en veelal een FRIA.

Administratieve AI in de zorg (planningssystemen, facturatiecontrole): Minimaal risico in de meeste gevallen, tenzij de beslissingen directe gevolgen hebben voor de zorgverlening aan individuele patiënten.

Praktische stap: stel een AI-inventaris op

Dit overzicht is een startpunt, geen definitieve classificatie. Voor elk AI-systeem dat uw organisatie inzet, voert u een formele classificatieanalyse uit conform Art. 6 EU AI Act. De Validai-wizard begeleidt u door deze analyse en genereert een schriftelijk classificatiedossier per systeem.

Begin met de systemen in de hoogste-risico categorieën: HR-selectie, kredietbeoordeling en medische AI. Die zijn het meest urgent en hebben de zwaarste compliance-verplichtingen.

Checklist: per-afdeling compliance-start

1. Heeft uw HR-afdeling alle AI-tools geïnventariseerd die bij selectie, beoordeling of personeelsbeheer worden ingezet?
2. Zijn uw finance-AI-tools voor krediet of risicobeoordeling geclassificeerd als hoog-risico?
3. Zijn uw marketing-chatbots geconfigureerd om zich als AI te identificeren (Art. 50)?
4. Zijn de AI-tools in kritieke operationele systemen beoordeeld op hun impact op menselijke veiligheid?
5. Heeft u een centrale AI-inventaris die alle systemen per afdeling bijhoudt?
6. Is er een procedure voor het melden van nieuwe AI-aanschaf aan de AI Officer?
7. Zijn afdelingshoofden geïnformeerd over hun verantwoordelijkheid voor Art. 4 AI-geletterdheid in hun team?