Commission guidelines voor high-risk AI: hoe het filter van Artikel 6(3) werkt

De Europese Commissie publiceerde op 19 mei 2026 de draft Commission guidelines voor de classificatie van high-risk AI-systemen onder Artikel 6 van de AI Act. 148 pagina's, opengesteld voor stakeholder consultatie tot 23 juni 2026. Voor wie aan de governance- of compliance-kant van AI werkt, is dit het belangrijkste interpretatieve document sinds de inwerkingtreding van de AI Act zelf.

Deze gids beantwoordt eindelijk de vraag waar veel organisaties tegenaan lopen: wanneer is mijn AI-systeem high-risk, en wat doe ik als het wel onder Bijlage III valt maar in de praktijk geen significant risico vormt? In dit artikel gaat het over de structuur van de gids, het filter van Artikel 6(3) met alle vier condities uitgewerkt, en de drie valkuilen die de Commissie expliciet adresseert.

De twee paden naar high-risk

De AI Act kent twee fundamenteel verschillende routes om als high-risk te worden geclassificeerd. De gids maakt dat onderscheid scherp.

Pad 1: Artikel 6(1) en Bijlage I. Een AI-systeem is high-risk als het wordt gebruikt als veiligheidscomponent van een product, of zelf een product is, dat onder de EU-harmonisatiewetgeving van Bijlage I valt en een third-party conformiteitsbeoordeling vereist. Denk aan machines, medische hulpmiddelen, speelgoed, liften, radioapparatuur. Voor deze route loopt de compliance niet alleen via de AI Act, maar parallel via bestaande sectorale veiligheidsregimes.

Pad 2: Artikel 6(2) en Bijlage III. Hier gaat het om stand-alone AI-systemen waarvan het beoogde doel binnen een van de acht expliciet opgesomde gebruiksgebieden valt. Deze lijst is uitputtend. Alleen via delegated acts kan de Commissie nieuwe use cases toevoegen, en alleen als de voorwaarden van Artikel 7(1) AI Act zijn vervuld. Dat maakt de classificatie voorspelbaar voor de markt en voorkomt regulatieve scope creep.

Het filter van Artikel 6(3), waar dit artikel zich op richt, werkt alleen voor pad 2. Voor systemen die onder Bijlage I vallen, is geen ontsnapping uit high-risk classificatie mogelijk.

De acht Annex III domeinen

De gids structureert pad 2 langs de acht domeinen waarin de wetgever significante risico's voor gezondheid, veiligheid of grondrechten heeft geïdentificeerd. Elk domein heeft een eigen hoofdstuk met use-case voorbeelden van wat wel en niet als high-risk geldt.

Per use case binnen elk domein geeft de gids concrete voorbeelden van AI-systemen die wel en niet als high-risk kwalificeren. Dit is nieuw. Tot nu toe moesten organisaties zelf interpreteren of hun systeem onder een Bijlage III-use case viel. Vanaf nu is er een referentiekader.

Voor een bredere uitleg van het concept high-risk en de bijbehorende verplichtingen, zie ook ons eerdere artikel over hoog-risico AI-systemen onder de AI Act.

Het filter van Artikel 6(3): waar je echt op moet letten

Niet elk Annex III systeem is automatisch high-risk. Artikel 6(3) AI Act geeft providers de mogelijkheid om hun systeem uit high-risk te halen als aan een van vier alternatieve condities is voldaan. De Commissie noemt dit het filter mechanism.

De gids besteedt twee uitgebreide secties aan dit filter, met meer dan twintig pagina's interpretatie en voorbeelden. Dat is geen toeval. Het filter is de plek waar veel praktijkdiscussies gaan ontstaan, en de Commissie wil de marges precies vastleggen.

Conditie a: narrow procedural task

Een AI-systeem kan uit high-risk worden gefilterd als het een "narrow procedural task" uitvoert. Dat zijn taken die data categoriseren, herformatteren, structureren of dedupliceren, zonder waardeoordeel over de inhoud.

Voorbeeld dat valt onder de filter: Een systeem dat ingediende visumaanvragen scant, gescande documenten omzet naar geindexeerde tekst, items automatisch in vaste mappen plaatst zoals "identiteitsdocumenten", "reisroute" en "ondersteunend bewijs", en exacte duplicaten markeert.

Voorbeeld dat NIET valt onder de filter: Hetzelfde systeem, maar nu rangschikt het documenten of labelt het materiaal als "nuttig" of "minder nuttig" voor de menselijke beoordeling. Op dat moment introduceer je een waardeoordeel dat de beoordeling beinvloedt. Geen narrow procedural task meer, dus geen filter, dus high-risk.

Het verschil zit in een fundamentele scheiding: structureren van input is iets anders dan beoordelen van input.

Conditie b: verbetert het resultaat van een afgeronde menselijke activiteit

Het tweede pad is een AI-systeem dat het resultaat van een al afgeronde menselijke activiteit verbetert. Drie cumulatieve elementen moeten aanwezig zijn: er was een menselijke activiteit, die activiteit leidde tot een resultaat, en het AI-systeem verfijnt dat resultaat.

De cruciale beperking zit in het woord "verbetert". De Commissie maakt duidelijk dat dit niet hetzelfde is als "reviewen" of "herzien". Een verbetering mag de uitkomst, de rechten of de juridische of economische positie van betrokkenen niet wijzigen.

Wel filter: Een systeem dat finale menselijke teksten taalkundig polijst, fouten of tegenstrijdigheden in afgerond werk markeert, of conclusies koppelt aan bewijsstukken om traceerbaarheid te verbeteren.

Geen filter: Een systeem dat een door een mens genomen besluit, plan of constructie checkt en een wezenlijk andere oplossing voorstelt. Dat is review, geen verbetering.

Conditie c: detectie van beslispatronen of afwijkingen

Het derde pad is voor systemen die beslispatronen of afwijkingen van eerdere beslispatronen detecteren, zonder de menselijke beoordeling te vervangen of te beinvloeden, en zonder behoorlijke menselijke review.

Dit is de breedste van de vier condities. De gids staat hier een meer substantiele rol voor het systeem toe, maar onder drie beperkingen. De menselijke beoordeling moet zijn afgerond, het systeem mag alleen ex post vergelijken (geen criteria afleiden voor een nieuwe beoordeling), en de output moet door behoorlijke menselijke review worden gevalideerd.

Voorbeeld: Een systeem dat eerdere subsidieaanvraagbeoordelingen van publieke administrateurs analyseert om afwijkingen van beslispatronen te detecteren, ten behoeve van kwaliteitsborging en rapportage. Het systeem stelt geen uitkomsten voor op live cases en evalueert geen individuele medewerkers. Dat kan onder de filter vallen.

Conditie d: voorbereidende taak

Het vierde pad is voor AI-systemen die een voorbereidende taak uitvoeren voor een beoordeling. "Voorbereidend" betekent: voorafgaand aan het feitelijke beoordelingsproces. Denk aan indexeren, zoeken, verwerken en koppelen van data zonder dat het systeem zelf tot een uitkomst komt.

Het verschil met conditie a is subtiel. Een narrow procedural task kan tijdens het beoordelingsproces plaatsvinden, zolang het beperkt en duidelijk afgebakend is. Een voorbereidende taak vindt per definitie voor het beoordelingsproces plaats. In de praktijk kunnen beide condities tegelijk van toepassing zijn op hetzelfde systeem.

Drie valkuilen die elke provider moet kennen

De Commissie wijdt aparte subsecties aan de manieren waarop providers ten onrechte kunnen denken dat hun systeem onder het filter valt. Drie thema's springen eruit.

Valkuil 1: profiling sluit het filter altijd uit

Als een Annex III systeem profiling verricht in de zin van Artikel 4(4) AVG, Artikel 3(4) Richtlijn 2016/680 of Artikel 3(5) Verordening 2018/1725, dan is het altijd high-risk. Geen filter mogelijk. Punt.

Dit is een harde regel. Een systeem dat geautomatiseerde verwerking van persoonsgegevens gebruikt om bepaalde persoonlijke aspecten van een natuurlijke persoon te evalueren, te analyseren of te voorspellen, valt onder profiling. Zelfs als het in de architectuur narrow procedural lijkt, blijft het high-risk zodra het deze drempel raakt.

Voor de praktijk betekent dit dat een correcte AVG-classificatie van de gegevensverwerking vooraf moet gaan aan de AI Act-classificatie. Voor de samenhang tussen beide regimes is onze DPIA vs FRIA vergelijking een goed startpunt.

Valkuil 2: anti-circumvention bij modulaire architectuur

De Commissie anticipeert expliciet op de creatieve trucs die in compliance-praktijk gaan opduiken. Een high-risk functie opsplitsen in afzonderlijke modules, waarvan elke module afzonderlijk onder een filterconditie zou vallen, helpt niet. Als de modules samen een high-risk use case bedienen, wordt het geheel als een systeem beoordeeld.

Hetzelfde geldt voor complexe en agentic AI-systemen. Bij geinterconnecteerde systemen waarbij meerdere AI-componenten samen een uitkomst produceren in een Bijlage III use case, telt het gecombineerde beoogde doel. Niet de afzonderlijke modules.

Valkuil 3: self-assessment is niet self-certification

Een provider die meent dat het filter van toepassing is, voert daarover een self-assessment uit. Maar self-assessment is geen vrijbrief. De gids stelt drie verplichtingen.

Eerst moet de provider de assessment documenteren met motivering waarom een van de vier condities is vervuld. Vervolgens moet het systeem worden geregistreerd in de EU-database met de filter-status. Daarna geldt een monitoringverplichting: als het beoogde doel of het feitelijke gebruik verandert, moet de provider opnieuw beoordelen.

Markttoezichthouders mogen de filterstatus toetsen. Bij twijfel of bewijs van onjuiste classificatie kunnen zij de provider verplichten het systeem alsnog als high-risk te behandelen. De boetes uit Artikel 99 AI Act zijn dan van toepassing.

Wat dit betekent voor providers en deployers

Voor providers is de praktische impact concreet. Vanaf publicatie van de finale versie, en zeker vanaf 2 augustus 2027, moet elke Annex III classificatie aantoonbaar zijn met verwijzing naar deze guidelines. Een claim dat "ons systeem niet high-risk is" zonder onderbouwing in termen van de filterconditie is niet meer voldoende.

Concreet:

• Documenteer per AI-systeem of het binnen een Bijlage III use case valt
• Bij ja: onderbouw of een van de vier filtercondities van Artikel 6(3) van toepassing is
• Bij twijfel: behandel het systeem als high-risk
• Bij filter-claim: controleer expliciet of er profiling plaatsvindt
• Registreer de filter-status in de EU-database
• Monitor of het beoogde doel of het gebruik wijzigt

Voor deployers verandert vooral de due diligence richting leveranciers. Vraag niet alleen om de high-risk classificatie, maar om de onderliggende Artikel 6(3) analyse. Welke conditie wordt aangeroepen? Waarom geen profiling? Waarom is de input slechts structureel en niet evaluatief? Wie heeft deze beoordeling gedaan en wanneer?

Een leverancier die deze vragen niet kan beantwoorden, draagt het risico op herclassificatie door dat de deployer dan moet absorberen. Goede vendor assurance maakt dit transparant voordat het contract wordt getekend.

De Nederlandse context

Voor Nederlandse organisaties komen deze guidelines op een belangrijk moment. De Uitvoeringswet AI-verordening is in consultatie tot 1 juni 2026. Daarmee wordt de Nederlandse toezichtarchitectuur ingericht. Sectorale toezichthouders als AFM, DNB, AP, IGJ en de Nederlandse Arbeidsinspectie zullen straks de filter-status van AI-systemen kunnen toetsen binnen hun eigen domeinen.

Voor organisaties met AI in werving, kredietbeoordeling, fraudedetectie of publieke dienstverlening is dit dubbel relevant. De Annex III use cases overlappen direct met de domeinen van deze toezichthouders. Een onjuiste filterclassificatie wordt niet alleen een AI Act-risico, maar ook een sectorraal nalevingsrisico.

Voor de tijdlijn en overgangsregels, inclusief de impact van het Digital Omnibus akkoord, zie het overzicht van AI Act deadlines 2026, 2027 en 2028.

Volgende stappen

De consultatie sluit 23 juni 2026. Wie substantieve input wil leveren, kan dat via het Have Your Say platform van de Commissie. Voor de meeste organisaties is de relevantere actie nu om de eigen AI-portfolio tegen deze interpretatieve lens te leggen.

Conclusie

De draft Commission guidelines zijn nog geen finale interpretatie, maar geven de duidelijkste indicatie tot nu toe van hoe de Commissie Artikel 6 wil zien toegepast. De boodschap is consistent: high-risk classificatie is de regel, het filter is de uitzondering, en de uitzondering wordt eng uitgelegd.

Voor organisaties met serieuze AI-portfolio's in een van de acht Annex III domeinen is dit het moment om de eigen interne classificaties tegen het licht te houden. Wie nu de Artikel 6(3) analyse op orde heeft, kan straks bij markttoezicht aantonen dat de keuze niet alleen verdedigbaar maar ook gedocumenteerd is. Wie wacht tot 2 augustus 2027, doet dat onder tijdsdruk en met minder ruimte voor zorgvuldigheid.