Annex III high-risk AI: overzicht van de acht domeinen en hun use cases

Bijlage III van de AI Act somt acht gebruiksgebieden op waarin AI-systemen als high-risk worden geclassificeerd onder Artikel 6(2). De Commission guidelines van 19 mei 2026 geven per domein een uitwerking van welke use cases onder high-risk vallen, met concrete voorbeelden uit de praktijk. Dit overzicht vat per domein de kern samen en linkt door naar de diepere analyses per gebied.

Voor de algemene structuur van het filter van Artikel 6(3) en de drie valkuilen die voor alle domeinen gelden, zie het hoofdartikel over hoe het filter van Artikel 6(3) werkt.

1. Biometrie

Het biometrie-domein omvat drie use cases: remote biometric identification, biometrische categorisatie en emotieherkenning. Het is een van de meest gedetailleerd uitgewerkte domeinen in de gids, met ruim twintig pagina's interpretatie en voorbeelden.

Belangrijkste use cases:

• Point 1(a) Remote biometric identification: systemen die op afstand personen identificeren op basis van biometrische data, zonder hun actieve medewerking
• Point 1(b) Biometrische categorisatie: systemen die personen indelen in groepen op basis van gevoelige biometrische kenmerken
• Point 1(c) Emotieherkenning: systemen die emoties of mentale toestanden detecteren uit biometrische signalen

De gids legt scherp dat 1-op-1 verificatie (bevestigen van een geclaimde identiteit) buiten Point 1(a) valt, maar dat 1-op-many identificatie wel binnen scope is. Voor emotieherkenning is de afbakening tussen verboden praktijken (Artikel 5) en high-risk (Annex III) cruciaal.

Lees de diepteanalyse over high-risk AI in biometrie

2. Kritieke infrastructuur

Dit domein dekt zes use cases voor AI-systemen die als veiligheidscomponent functioneren in essentiele diensten. De Commission gids verbindt dit nauw met de NIS2-richtlijn en de CER-richtlijn voor kritieke entiteiten.

Belangrijkste use cases:

• Veiligheidscomponenten in kritieke digitale infrastructuur
• Wegverkeer (verkeerslichten, intelligente transportsystemen)
• Watervoorziening
• Gasvoorziening
• Warmtevoorziening
• Elektriciteitsvoorziening

De gids benadrukt dat alleen systemen die als veiligheidscomponent functioneren onder scope vallen. AI die alleen ondersteunend wordt gebruikt (administratie, planning zonder veiligheidsfunctie) valt buiten high-risk classificatie.

Lees de diepteanalyse over high-risk AI in kritieke infrastructuur

3. Onderwijs en beroepsopleiding

Dit domein heeft vier use cases die alle stadia van het onderwijsproces raken: toelating, beoordeling, niveaubepaling en gedragsdetectie.

Belangrijkste use cases:

• Point 3(a) Bepalen van toegang of toelating tot onderwijsinstellingen
• Point 3(b) Beoordelen van leerresultaten en sturing van het leerproces
• Point 3(c) Bepalen van het passende onderwijsniveau
• Point 3(d) Monitoring en detectie van verboden gedrag tijdens toetsen

De gids maakt onderscheid tussen pedagogische ondersteuning (vaak filter-eligible) en beoordelende toepassingen die rechtstreeks de toekomst van een leerling raken (altijd high-risk). Voor proctoring-systemen ligt de afbakening bij of het systeem zelf gedrag detecteert of slechts de docent ondersteunt.

Lees de diepteanalyse over high-risk AI in onderwijs

4. Werk en werknemersmanagement

Het werkdomein heeft twee brede use cases die samen de hele werknemerslevenscyclus dekken, van werving tot beeindiging van het arbeidscontract.

Belangrijkste use cases:

• Point 4(a) Werving en selectie van natuurlijke personen (vacaturetekst tot eindbeslissing)
• Point 4(b) Beheer van werkgerelateerde relaties (taaktoewijzing, evaluatie, promotie, beeindiging)

Dit is een van de meest commercieel relevante domeinen. Vrijwel elk HR-tech systeem dat kandidaten rangschikt, scoort of selecteert valt onder high-risk. De gids gaat in detail in op de afbakening tussen sourcing tools (vaak buiten scope of filter-eligible) en screening/ranking tools (altijd high-risk).

Voor de bredere impact op de HR-sector, zie ook de eerdere analyse over de stille revolutie in HR en recruitment.

Lees de diepteanalyse over high-risk AI in werk

5. Essentiele diensten

Dit domein bundelt vier zeer verschillende use cases, met als gemene deler dat ze toegang regelen tot diensten die ingrijpend zijn voor het dagelijks leven.

Belangrijkste use cases:

• Point 5(a) Beoordeling van eligibility voor publieke voorzieningen en uitkeringen
• Point 5(b) Kredietwaardigheid en credit scoring
• Point 5(c) Risicobeoordeling en pricing in levens- en zorgverzekering
• Point 5(d) Triage en prioritering van 112-meldingen en hulpverlening

Voor de financiele sector geeft de gids belangrijke verduidelijking over de wisselwerking met Artikel 144 CRR (Capital Requirements Regulation) en Artikel 120 Solvency II. Banken en verzekeraars moeten daar dubbel kijken.

Voor de financiele sector specifiek zie ons artikel over AI governance in de financiele sector.

Lees de diepteanalyse over high-risk AI in essentiele diensten

6. Rechtshandhaving

Het law enforcement domein heeft vijf use cases plus duidelijke afbakening van wat buiten scope valt. De gids benadrukt dat veel AI-toepassingen in opsporing onder verboden praktijken vallen (Artikel 5), en dat de high-risk classificatie pas relevant wordt als de toepassing daarbuiten valt.

Belangrijkste use cases:

• Point 6(a) Slachtofferrisico inschatten (kans op het worden van slachtoffer van een misdrijf)
• Point 6(b) Polygraaftests en vergelijkbare tools
• Point 6(c) Beoordelen van betrouwbaarheid van bewijsmateriaal
• Point 6(d) Inschatten van risico op (her)overtreding door specifieke personen
• Point 6(e) Profiling van natuurlijke personen tijdens opsporing

Politieke en operationele afbakening is hier cruciaal: forensische analyse van een specifieke plaats delict valt vaak buiten scope, maar voorspellende systemen over personen of buurten zitten meestal in high-risk of verboden zone.

Lees de diepteanalyse over high-risk AI in rechtshandhaving

7. Migratie, asiel en grenscontrole

Dit domein heeft vier use cases die de hele keten van toelating tot Europa raken. De gids verbindt het nauw met de bestaande Schengen, EES, ETIAS en EURODAC-systemen.

Belangrijkste use cases:

• Point 7(a) Polygraaftests en vergelijkbare tools in migratiecontext
• Point 7(b) Risicobeoordeling van personen die de EU willen binnenkomen of blijven
• Point 7(c) Assistentie bij beoordeling van asiel-, visum- of verblijfsaanvragen
• Point 7(d) Detectie, herkenning of identificatie van personen in migratie- of grenscontext (exclusief reisdocumentverificatie)

De afbakening tussen administratieve ondersteuning (filter-eligible) en inhoudelijke beoordeling (altijd high-risk) is hier de centrale interpretatieve vraag.

Lees de diepteanalyse over high-risk AI in migratie en asiel

8. Rechtspleging en democratische processen

Het achtste en laatste domein bestaat uit twee zeer verschillende use cases die de pijlers van een democratische rechtsstaat raken.

Belangrijkste use cases:

• Point 8(a) AI-systemen ter ondersteuning van rechterlijke autoriteiten of alternatieve geschillenbeslechting
• Point 8(b) AI-systemen bedoeld om de uitkomst van verkiezingen of referenda te beinvloeden

Voor Point 8(a) is de gids streng: elk systeem dat substantief bijdraagt aan onderzoek of interpretatie van feiten door een rechter is high-risk. Pure administratieve assistentie (agenda, documentbeheer) valt buiten scope.

Voor Point 8(b) is de gids nuancerend: legitieme campagne-tools en politieke communicatie vallen er niet onder, maar systemen die specifiek bedoeld zijn om verkiezingsuitkomsten te beinvloeden, bijvoorbeeld door microtargeting of synthetic media, zitten in scope.

Lees de diepteanalyse over high-risk AI in rechtspleging en democratie

Wat dit overzicht je oplevert

Voor elk van de acht domeinen geldt dezelfde drietrapsanalyse:

Voor de details per domein, gebruik de links bij elk hoofdstuk hierboven. Voor het algemene kader, het filter en de drie valkuilen, zie het hoofdartikel over het filter van Artikel 6(3).

Praktische volgorde voor je AI-portfolio

Welke domeinen je als eerste tegen het licht moet houden hangt af van je sector. Een paar vuistregels:

• Werkgevers en HR-tech: begin bij domein 4 (werk)
• Financiele instellingen: begin bij domein 5 (essentiele diensten), met specifieke aandacht voor de wisselwerking met CRR en Solvency II
• Verzekeraars: domein 5(c) is je focus, plus eventueel domein 1 als je biometrie gebruikt voor fraudedetectie
• Onderwijsinstellingen en EdTech: domein 3 (onderwijs)
• Publieke sector (gemeenten, uitvoeringsorganisaties): domeinen 5(a), 6 (rechtshandhaving) en 8(a) (justitie)
• Energie, water, telecom: domein 2 (kritieke infrastructuur)
• IND, KMar, Douane: domein 7 (migratie en grenscontrole)
• Online platforms en mediabedrijven: domein 8(b) (democratische processen)

Voor een gestructureerde aanpak van AI-inventarisatie en risicoclassificatie, biedt onze decision tree voor risicoclassificatie een eerste interactieve check. Voor team-brede AI-geletterdheid onder Artikel 4, die de basis vormt voor consistente classificaties, is LearnWize de logische vervolgstap.