Hoog risico of niet? Zo classificeer je je AI-systemen

De classificatie van AI-systemen is één van de eerste — en meest bepalende — stappen in je compliance-traject. De risicoklasse bepaalt volledig welke verplichtingen gelden. Deze gids legt het proces stap voor stap uit.

Stap 1 — Is het überhaupt een AI-systeem?

De EU AI Act hanteert een specifieke definitie: een machinegebaseerd systeem dat met variërende autonomie output genereert zoals voorspellingen, aanbevelingen of beslissingen. Eenvoudige regelgebaseerde software valt er buiten.

Stap 2 — Is het verboden? (Art. 5)

Toets eerst aan de negen verboden categorieën. Als het systeem hieronder valt: stop het gebruik onmiddellijk.

Stap 3 — Is het hoog-risico? (Art. 6 + Bijlage III)

Een systeem is hoog-risico als het valt in één van de acht Bijlage III-gebieden:

1. Biometrie en gezichtsherkenning
2. Beheer van kritieke infrastructuur
3. Onderwijs en beroepsopleiding
4. Werkgelegenheid, HR en personeelsbeheer
5. Toegang tot essentiële diensten (krediet, verzekering, sociale uitkeringen)
6. Rechtshandhaving
7. Migratie, asiel en grensbeheer
8. Rechtsbedeling en democratische processen

Stap 4 — Beperkt risico?

Als het systeem direct communiceert met mensen (chatbots, deepfakes, AI-content) gelden transparantieverplichtingen (Art. 52).

Stap 5 — Minimaal risico

Alle overige AI valt onder minimaal risico. Geen verplichte maatregelen, maar vrijwillige gedragscodes zijn aanbevolen.

Praktijkvoorbeelden

• CV-screening → hoog-risico (Bijlage III werkgelegenheid)
• Creditscoring → hoog-risico (Bijlage III essentiële diensten)
• Marketingchatbot → beperkt risico (Art. 52 transparantie)
• Spamfilter → minimaal risico