Welke sectoren worden het zwaarst geraakt door de EU AI Act?

De gezondheidszorg, financiele dienstverlening, HR en recruitment, wetshandhaving en de publieke sector worden het zwaarst geraakt. Deze sectoren hebben de meeste AI-toepassingen die onder de hoog-risico categorie van Annex III vallen, met verplichtingen zoals conformiteitsbeoordelingen, technische documentatie en menselijk toezicht.

Wanneer moet mijn organisatie compliant zijn met de AI Act?

Dat hangt af van het type verplichting. Verboden AI-praktijken gelden al sinds februari 2025. De AI-geletterdheidsplicht geldt sinds februari 2026. De volledige hoog-risico verplichtingen gaan in op 2 augustus 2026. Voor AI in producten onder bestaande EU-regelgeving geldt een verlengde termijn tot augustus 2027.

Mijn bedrijf koopt AI-tools in maar ontwikkelt ze niet zelf. Gelden de verplichtingen dan ook?

Ja. Als deployer (gebruiker) van AI-systemen heb je eigen verplichtingen onder artikel 26 van de AI Act. Je moet waarborgen dat het systeem wordt gebruikt conform de instructies van de provider, dat er menselijk toezicht is, en dat inputdata relevant en representatief is. Bij hoog-risico systemen in de publieke sector is ook een fundamentele rechten-effectbeoordeling verplicht.

Vallen AI-chatbots onder de hoog-risico categorie?

Standaard chatbots voor klantenservice vallen onder beperkt risico, met als belangrijkste verplichting dat gebruikers moeten weten dat ze met AI communiceren. Maar chatbots die autonome beslissingen nemen over essentiele diensten, schadeclaims of klachtenafhandeling kunnen wel onder hoog-risico vallen, afhankelijk van de specifieke toepassing en impact.

Hoe bepaal ik of mijn AI-systeem hoog-risico is?

Er zijn twee routes naar hoog-risico classificatie. Route 1: het AI-systeem is een veiligheidscomponent van een product dat onder bestaande EU-productregelgeving valt (Annex I). Route 2: het systeem wordt ingezet in een van de acht domeinen uit Annex III, zoals HR, onderwijs, gezondheidszorg of financiele dienstverlening. Gebruik de decision tree op aiactblog.nl voor een stapsgewijze beoordeling.

Wat zijn de boetes bij niet-naleving van de AI Act?

De boetes zijn gestaffeld: tot 35 miljoen euro of 7% van de wereldwijde omzet voor verboden AI-praktijken, tot 15 miljoen euro of 3% voor schending van hoog-risico verplichtingen, en tot 7,5 miljoen euro of 1,5% voor het verstrekken van onjuiste informatie. Voor mkb-bedrijven en startups gelden lagere plafonds.

De impact van de EU AI Act op sectoren: wat organisaties nu moeten weten

Stand van zaken maart 2026: De EU AI Act is sinds 1 augustus 2024 van kracht. Verboden AI-praktijken gelden al sinds februari 2025, de AI-geletterdheidsplicht sinds februari 2026. De volgende grote deadline is 2 augustus 2026, wanneer de volledige verplichtingen voor hoog-risico AI-systemen ingaan. Dit artikel is grondig geactualiseerd om de huidige stand weer te geven.

De EU AI Act is geen toekomstmuziek meer. De verordening is van kracht en raakt vrijwel elke sector in Europa. Maar de impact is niet overal gelijk. Een ziekenhuis dat AI inzet voor diagnostiek staat voor fundamenteel andere verplichtingen dan een webshop met een aanbevelingsalgoritme. En een bank die kredietscoring automatiseert heeft andere zorgen dan een logistiek bedrijf dat routeoptimalisatie toepast.

Dit overzicht brengt de sectorale impact in kaart: welke sectoren worden het zwaarst geraakt, welke verplichtingen gelden per risicoklasse, en wat organisaties nu concreet moeten doen om compliant te zijn voor augustus 2026.

Het risicomodel als uitgangspunt

De AI Act hanteert een risicogebaseerde aanpak. Niet elke AI-toepassing valt onder dezelfde regels. Het systeem werkt met vier niveaus die bepalen hoe zwaar de verplichtingen zijn:

Verboden AI-systemen (artikel 5) zijn toepassingen die fundamentele rechten dermate ondermijnen dat ze simpelweg niet zijn toegestaan. Denk aan social scoring door overheden, emotieherkenning op de werkvloer of in het onderwijs, en bepaalde vormen van biometrische surveillance. Deze regels gelden al sinds 2 februari 2025.

Hoog-risico AI-systemen (artikel 6 + Annex III) vormen het hart van de verordening. Dit zijn toepassingen in kritieke domeinen zoals gezondheidszorg, HR, onderwijs, wetshandhaving en financiele dienstverlening. Hier gelden de zwaarste verplichtingen: conformiteitsbeoordelingen, technische documentatie, menselijk toezicht, en continue monitoring.

Beperkt risico betreft systemen met transparantieverplichtingen. Chatbots moeten melden dat je met AI communiceert, deepfakes moeten als zodanig gelabeld zijn.

Minimaal risico betreft de overgrote meerderheid van AI-toepassingen. Hier gelden geen specifieke verplichtingen, al blijven algemene principes van verantwoord AI-gebruik van toepassing.

Annex III: de acht hoog-risico domeinen

De AI Act definieert in Annex III acht domeinen waar AI-systemen als hoog-risico worden aangemerkt: (1) biometrie, (2) kritieke infrastructuur, (3) onderwijs en beroepsopleiding, (4) werkgelegenheid en HR, (5) essentiële publieke en private diensten, (6) wetshandhaving, (7) migratie en grensbeheer, en (8) rechtspraak en democratische processen. Binnen elk domein gelden specifieke toepassingen die onder de hoog-risico classificatie vallen. Lees meer in de complete gids over hoog-risico AI-systemen.

Gezondheidszorg: hoog risico, hoge urgentie

De gezondheidszorg is een van de sectoren waar de AI Act het diepst ingrijpt. AI-toepassingen voor diagnostiek, triage, chirurgische ondersteuning en behandelplannen vallen vrijwel zonder uitzondering in de hoog-risico categorie. Daarnaast vallen veel medische AI-systemen ook onder de Medical Device Regulation (MDR), waardoor een dubbele conformiteitsbeoordeling nodig is.

Concrete verplichtingen voor zorgorganisaties

Zorginstellingen die AI-systemen inzetten moeten als deployer voldoen aan artikel 26. Dat betekent in de praktijk dat ze moeten waarborgen dat het personeel dat met AI werkt voldoende getraind en bekwaam is (AI-geletterdheid, artikel 4). Ze moeten zorgen voor actief menselijk toezicht op AI-uitkomsten, conform de gebruiksaanwijzing van de provider. Inputdata moet relevant en representatief zijn voor de beoogde doelgroep. En bij inzet in gezondheidszorg is een fundamentele rechten-effectbeoordeling (FRIA) verplicht.

Waar het concreet wordt

Een ziekenhuis dat AI gebruikt voor het beoordelen van rontgenfoto's moet kunnen aantonen dat radiologen de AI-suggesties actief beoordelen en niet blind overnemen. Het systeem moet gelogd worden, afwijkingen moeten worden gemeld, en patienten hebben het recht om te weten dat AI betrokken was bij hun diagnose.

De huisartsenpraktijk die een AI-triage tool inzet voor het prioriteren van spoedgevallen moet documenteren hoe het systeem werkt, wat de beperkingen zijn, en hoe wordt gewaarborgd dat kwetsbare groepen niet systematisch worden benadeeld.

Dubbelslag met bestaande regelgeving

De overlap met de MDR en de AVG maakt compliance in de zorg extra complex. AI-systemen die als medisch hulpmiddel kwalificeren moeten aan beide kaders voldoen. De AI Act voegt daar verplichtingen aan toe rondom transparantie en menselijk toezicht die verder gaan dan wat de MDR vereist.

Financiele dienstverlening: van kredietscoring tot fraude

De financiele sector is een van de meest AI-intensieve sectoren en wordt navenant hard geraakt door de AI Act. Kredietscoring, verzekeringspremie-bepaling en fraudedetectie zijn expliciet benoemde hoog-risico toepassingen in Annex III.

Het speelveld voor banken en verzekeraars

Banken die AI inzetten voor het beoordelen van kredietwaardigheid opereren in het hart van de hoog-risico categorie. Artikel 6 in combinatie met Annex III, punt 5(b) is hier glashelder: AI-systemen die worden gebruikt voor het evalueren van de kredietwaardigheid van natuurlijke personen zijn hoog-risico. Dat geldt ook voor AI die wordt ingezet bij het vaststellen van risicoscores of verzekeringspremies.

De implicaties zijn verstrekkend. Elke bank en verzekeraar die AI-modellen gebruikt voor deze doeleinden moet een conformiteitsbeoordeling uitvoeren, technische documentatie bijhouden, en zorgen voor continue monitoring van het systeem na deployment. Bias in trainingsdata is hier een bijzonder aandachtspunt: als een kredietscoringsmodel systematisch bepaalde demografische groepen benadeelt, is dat een directe schending van de verordening.

Let op: De DORA-verordening (Digital Operational Resilience Act) stelt aanvullende eisen aan AI-systemen in de financiele sector op het gebied van ICT-risicobeheer. Financiele instellingen moeten rekening houden met zowel de AI Act als DORA bij hun compliance-aanpak.

Algoritmische handel en robo-advies

Minder eenduidig is de classificatie van algoritmische handelssystemen en robo-adviseurs. Deze vallen niet per definitie onder de hoog-risico categorie, maar kunnen daar wel onder komen als ze worden ingezet voor beleggingsadvies aan consumenten. De grens hangt af van de mate waarin het systeem autonome beslissingen neemt die direct financiele gevolgen hebben voor individuen.

Voor een diepere duik in de financiele sector, lees het artikel over AI-governance in de financiele sector en de analyse van AI-risico's voor financiele instellingen.

HR en recruitment: de stille revolutie

Misschien wel de sector waar de AI Act de meeste organisaties raakt zonder dat ze het beseffen. Vrijwel elk bedrijf dat AI-tools inzet in het wervings- en selectieproces opereert in hoog-risico gebied.

Wat precies hoog-risico is

Annex III, punt 4 is expliciet: AI-systemen die worden gebruikt voor het plaatsen van gerichte vacatureadvertenties, het screenen of filteren van sollicitaties, het evalueren van kandidaten in interviews of assessments, en beslissingen over promotie, ontslag of taaktoewijzing zijn allemaal hoog-risico.

Dat betekent dat de populaire AI-screening tools die cv's automatisch filteren, video-interviews analyseren op lichaamstaal of persoonlijkheidskenmerken afleiden uit antwoorden, allemaal aan de volledige hoog-risico verplichtingen moeten voldoen. Veel HR-afdelingen realiseren zich niet dat hun bestaande tooling hier al onder valt.

De deployer-verantwoordelijkheid

Als werkgever ben je deployer van deze systemen, ook al koop je ze in bij een externe leverancier. Artikel 26 legt de verantwoordelijkheid bij jou om te waarborgen dat het systeem wordt gebruikt conform de instructies, dat er menselijk toezicht is, en dat kandidaten worden geinformeerd over het gebruik van AI in het selectieproces.

Bovendien geldt voor HR-toepassingen een verplichte fundamentele rechten-effectbeoordeling (FRIA) op grond van artikel 27. Dit is geen optionele exercitie, het is een wettelijke vereiste voor elke organisatie die AI inzet bij beslissingen die de toegang tot werk beinvloeden.

Lees meer in het artikel over de AI Act en HR-recruitment en wat wel en niet mag bij AI in werving en selectie.

Transport en logistiek: autonomie onder toezicht

De transportsector opereert op het snijvlak van productregelgeving en de AI Act. Zelfrijdende voertuigen, verkeersmanagementsystemen en autonome drones vallen onder de hoog-risico categorie, maar dan via een andere route: Annex I verwijst naar bestaande EU-productregelgeving zoals de Machinery Regulation en de Vehicle General Safety Regulation.

Wat dit betekent voor de praktijk

AI-systemen die veiligheidscomponenten zijn van voertuigen of machines moeten een conformiteitsbeoordeling doorlopen voordat ze op de Europese markt mogen komen. Voor de transportsector betekent dit dat fabrikanten van autonome voertuigen en ADAS-systemen (Advanced Driver Assistance Systems) naast de bestaande typegoedkeuring ook aan de AI Act moeten voldoen.

Logistieke bedrijven die AI inzetten voor routeoptimalisatie of magazijnbeheer opereren doorgaans in de categorie minimaal risico. Er is echter een grijs gebied bij systemen die autonome beslissingen nemen over de veiligheid van werknemers, zoals AI die bepaalt hoeveel pakketten een magazijnmedewerker per uur moet verwerken. Dergelijke systemen kunnen indirect onder de werkgelegenheidsbepalingen van Annex III vallen.

Autonome mobiliteit en de overgangsperiode

Voor AI-systemen die onder bestaande productregelgeving vallen, geldt een verlengde overgangsperiode tot 2 augustus 2027. Dit geeft fabrikanten extra tijd om hun conformiteitsprocessen aan te passen, maar betekent niet dat ze nu achterover kunnen leunen. De technische documentatie en het kwaliteitsmanagementsysteem moeten nu al worden opgebouwd.

2 minuten, geen account nodig

Leer de EU AI Act door te doen

Geen slides. Geen saaie e-learning. Probeer een interactieve module.

Interactive ChallengePowered by

LearnWize

Probeer het zelf

3 interactieve oefeningen. Verdien XP. Ontdek waarom dit beter werkt dan lezen.

Flashcards→Matching→Audit

Onderwijs: AI-geletterdheid begint bij jezelf

Het onderwijs is dubbel geraakt door de AI Act. Enerzijds vallen AI-systemen die worden gebruikt voor toegangsbeoordelingen, examens en het toewijzen van leerlingen aan onderwijsinstellingen onder hoog-risico (Annex III, punt 3). Anderzijds speelt het onderwijs een cruciale rol in het realiseren van de AI-geletterdheidsplicht uit artikel 4.

Hoog-risico toepassingen in het onderwijs

Een universiteit die AI inzet voor het selecteren van studenten bij een numerus fixus opleiding opereert in hoog-risico gebied. Hetzelfde geldt voor scholen die AI-systemen gebruiken voor het beoordelen van leerresultaten die invloed hebben op de verdere schoolloopbaan. Het adaptieve toetssysteem dat bepaalt op welk niveau een leerling wordt geplaatst, valt hier ook onder.

De verplichtingen zijn identiek aan andere hoog-risico toepassingen: conformiteitsbeoordeling, technische documentatie, menselijk toezicht, en een FRIA voor publieke onderwijsinstellingen.

AI-geletterdheid als sectorale verantwoordelijkheid

Artikel 4 verplicht elke organisatie die AI-systemen aanbiedt of inzet om te waarborgen dat personeel over voldoende AI-geletterdheid beschikt. Voor de onderwijssector heeft dit een dubbele lading: niet alleen moeten docenten en bestuurders zelf AI-geletterd zijn, het onderwijs speelt ook een maatschappelijke rol in het opleiden van de volgende generatie AI-gebruikers.

De AI-geletterdheidsplicht geldt overigens al sinds 2 februari 2026. Meer hierover lees je in het artikel over AI-geletterdheid als strategisch proces voor organisaties.

Publieke sector: extra verantwoordelijkheden

Overheden en publieke organisaties hebben onder de AI Act een verzwaarde verantwoordelijkheid. Meerdere hoog-risico categorieen uit Annex III raken direct aan overheidstaken: wetshandhaving, migratie en grensbeheer, rechtspraak, en de toegang tot essentiële publieke diensten.

De fundamentele rechten-effectbeoordeling

Voor publieke organen geldt een verplichte FRIA op grond van artikel 27. Dit is een van de zwaarste verplichtingen in de verordening en vereist een grondige analyse van de impact van het AI-systeem op fundamentele rechten, voordat het systeem wordt ingezet. De FRIA moet worden gemeld bij de nationale toezichthouder.

Transparantie en verantwoording

Publieke organisaties die AI inzetten voor beslissingen die burgers raken, zoals het beoordelen van uitkeringsaanvragen of het prioriteren van handhavingsacties, moeten bijzonder transparant zijn over het gebruik. De Autoriteit Persoonsgegevens heeft in 2025 al aangegeven scherp toe te zien op AI-gebruik door overheden.

Het Nederlandse algoritmeregister biedt een basis voor transparantie, maar de AI Act gaat verder. Niet alleen moet het bestaan van het AI-systeem worden gemeld, ook de werking, beperkingen en waarborgen moeten inzichtelijk zijn. Lees meer over algoritmeregistratie als fundament voor verantwoord AI-gebruik.

Klantcontact en marketing: transparantie centraal

Chatbots, virtuele assistenten en AI-gestuurde klantenservice vallen doorgaans in de categorie beperkt risico. De belangrijkste verplichting hier is transparantie: gebruikers moeten weten dat ze met een AI-systeem communiceren en niet met een mens.

Maar de grens tussen beperkt en hoog risico is dunner dan veel organisaties denken. Een chatbot die alleen productinformatie geeft is beperkt risico. Maar een AI-systeem dat zelfstandig klachten beoordeelt, schadeclaims afhandelt of beslissingen neemt over service levels kan onder de hoog-risico categorie vallen, zeker als het gaat om essentiële diensten.

Lees meer in het artikel over AI-chatbots en compliance in klantcontact.

Energie en kritieke infrastructuur

AI-systemen die worden ingezet als veiligheidscomponenten in het beheer van kritieke digitale infrastructuur vallen onder hoog-risico (Annex III, punt 2). Dit raakt energiebedrijven, waterbeheerders en telecomproviders die AI inzetten voor het monitoren en aansturen van hun netwerken.

De overlap met de NIS2-richtlijn is hier relevant: organisaties die al onder NIS2 vallen en AI inzetten voor cybersecurity of netwerkbeheer moeten nu ook de AI Act in hun compliance-strategie meenemen.

Tijdlijn: wat geldt wanneer

Niet alle verplichtingen gelden tegelijkertijd. De AI Act kent een gefaseerde inwerkingtreding:

Al van kracht (2025):

Verbod op onaanvaardbare AI-praktijken (artikel 5), sinds 2 februari 2025
AI-geletterdheidsplicht (artikel 4), sinds 2 februari 2026
Boetebepalingen, sinds 2 augustus 2025

Aanstaand (2026):

Volledige verplichtingen hoog-risico AI (Annex III), vanaf 2 augustus 2026
Transparantieverplichtingen general-purpose AI-modellen, vanaf 2 augustus 2025
Verplichte FRIA voor publieke organen

Later (2027):

Hoog-risico AI in producten onder bestaande EU-regelgeving (Annex I), vanaf 2 augustus 2027

Wat organisaties nu moeten doen

Ongeacht de sector zijn er universele stappen die elke organisatie nu moet nemen:

1. Inventariseer alle AI-systemen. Breng in kaart welke AI-toepassingen je organisatie gebruikt, ontwikkelt of aanbiedt. Veel organisaties onderschatten het aantal AI-systemen dat ze in gebruik hebben, van HR-tools tot klantenservice-chatbots.

2. Classificeer per risiconiveau. Bepaal voor elk systeem in welke risicocategorie het valt. Gebruik de decision tree voor risicoclassificatie als startpunt.

3. Wijs verantwoordelijkheden toe. Benoem wie binnen de organisatie eigenaar is van AI-compliance. Dit vereist samenwerking tussen IT, juridisch, HR en de business.

4. Start met documentatie. Technische documentatie en logging zijn voor hoog-risico systemen verplicht. Begin nu met het opzetten van deze processen, niet pas in augustus 2026.

5. Investeer in AI-geletterdheid. De verplichting geldt al. Zorg dat iedereen die met AI werkt begrijpt wat de verordening vereist en hoe ze compliant kunnen opereren.

6. Beoordeel je leveranciers. Als deployer ben je medeverantwoordelijk. Controleer of je AI-leveranciers voldoen aan de provider-verplichtingen uit de AI Act. Lees meer over AI-inkoop en contracten.

Begin bij de basis

De AI Act hoeft niet overweldigend te zijn. Begin met een inventarisatie, focus op de systemen met het hoogste risico, en bouw van daaruit je compliance-programma op. De AI Act Explorer op deze site biedt directe toegang tot alle artikelen en bijlagen van de verordening.