Hoog risico of niet? zo classificeer je je AI-systemen
Of een AI-systeem hoog-risico is, hangt af van Art. 6: het is hoog-risico als het een veiligheidscomponent onder Bijlage I is of binnen een Bijlage III-toepassing valt (zoals werkgelegenheid, krediet of essentiële diensten). De uitzondering van Art. 6.3 kan gelden wanneer het systeem slechts een beperkte, niet-doorslaggevende taak vervult.
De classificatie van AI-systemen is één van de eerste, en meest bepalende, stappen in je compliance-traject. De risicoklasse bepaalt volledig welke verplichtingen gelden. Deze gids legt het proces stap voor stap uit.
Stap 1, is het überhaupt een AI-systeem?
De EU AI Act hanteert een specifieke definitie: een machinegebaseerd systeem dat met variërende autonomie output genereert zoals voorspellingen, aanbevelingen of beslissingen. Eenvoudige regelgebaseerde software valt er buiten.
Stap 2, is het verboden? (Art. 5)
Toets eerst aan de negen verboden categorieën. Als het systeem hieronder valt: stop het gebruik onmiddellijk.
Stap 3, is het hoog-risico? (Art. 6 + Bijlage III)
Een systeem is hoog-risico als het valt in één van de acht Bijlage III-gebieden:
- Biometrie en gezichtsherkenning
- Beheer van kritieke infrastructuur
- Onderwijs en beroepsopleiding
- Werkgelegenheid, HR en personeelsbeheer
- Toegang tot essentiële diensten (krediet, verzekering, sociale uitkeringen)
- Rechtshandhaving
- Migratie, asiel en grensbeheer
- Rechtsbedeling en democratische processen
Stap 4, beperkt risico?
Als het systeem direct communiceert met mensen (chatbots, deepfakes, AI-content) gelden transparantieverplichtingen (Art. 52).
Stap 5, minimaal risico
Alle overige AI valt onder minimaal risico. Geen verplichte maatregelen, maar vrijwillige gedragscodes zijn aanbevolen.
Praktijkvoorbeelden
- CV-screening → hoog-risico (Bijlage III werkgelegenheid)
- Creditscoring → hoog-risico (Bijlage III essentiële diensten)
- Marketingchatbot → beperkt risico (Art. 52 transparantie)
- Spamfilter → minimaal risico