EU AI Act Blogs

Hoog-risico AI-systemen volgens de EU AI Act – een sector-voor-sector gids

8 min leestijd
Engelse versie niet beschikbaar

Hoog-risico AI-systemen volgens de EU AI Act – een sector-voor-sector gids

Laatste update: 7 juni 2025

Inleiding

In juni 2024 is Verordening (EU) 2024/1689 – beter bekend als de EU Artificial Intelligence Act – formeel aangenomen. De wet introduceert een gedifferentieerd, op risico's gebaseerd kader met als doel innovatieve toepassingen van kunstmatige intelligentie te stimuleren én tegelijkertijd burgers te beschermen tegen schadelijke effecten van het gebruik van AI. AI‑toepassingen die het label hoog risico krijgen, vormen in dit raamwerk de 'rode zone': ze worden niet verboden, maar wel onderworpen aan strengere eisen.

De definitieve tekst plaatst acht groepen gebruiks­doeleinden, opgesomd in Annex III, automatisch in de categorie high‑risk, mits zij niet onder een expliciete uitzondering vallen. Deze blog bespreekt elk van die sectoren, verduidelijkt waarom ze door de wetgever als kritischer worden gezien dan andere toepassingen en beschrijft welke concrete compliance‑stappen aanbieders en afnemers nu moeten zetten. Daarnaast komt de tijdlijn – de regels gelden in volle omvang vanaf 2 augustus 2026 – en de wisselwerking met andere EU‑wetgeving aan bod.

Annex III in één oogopslag

Annex III bevat een limitatieve lijst van acht domeinen waarin AI‑systemen potentieel een grote impact hebben op veiligheid of grondrechten. Het gaat om:

  1. Biometrie & emotie‑analyse
  2. Kritieke infrastructuur
  3. Onderwijs en opleiding
  4. Werk & HR‑processen
  5. Essentiële (publieke en private) diensten
  6. Wetshandhaving
  7. Migratie, asiel & grensbeheer
  8. Rechtspraak & democratische processen

Wie in één van deze domeinen een AI‑systeem inzet dat onder de beschreven gebruiksvoorbeelden valt, kan het etiket hoog risico niet van zich afschudden; de wetgever heeft de proportionaliteitsafweging al voor u gemaakt.

1 Biometrie en emotieherkenning

Wat zegt de Act?

Het allereerste punt in Annex III verklapt waar Brussel zich het meest zorgen over maakt: AI‑systemen die mensen herkennen, classificeren of hun emoties proberen af te lezen. Voorbeelden zijn remote biometric identification op straat, systemen die leeftijd, geslacht of etniciteit afleiden in een winkelcentrum en camera‑analyses die zogezegd boosheid detecteren.

Waarom hoog risico?

Biometrische modellen grijpen direct in op het grondrecht op privacy en kunnen leiden tot discriminatie. Bovendien worden fouten 'op schaal' gemaakt: eenmaal live scant het systeem potentieel duizenden mensen per minuut.

Compliance‑tips

  • Rechtsgrond checken – De AI Act eist dat de inzet "onder Unierecht of nationaal recht is toegestaan".
  • Data‑governance – Verzamel representatieve datasets, documenteer bias‑tests en leg data provenance vast.
  • FRIA uitvoeren – Specifiek voor biometrie benadrukt artikel 27 de noodzaak van een gedocumenteerde fundamentele‑rechtenanalyse.
  • Transparantie‑plicht – Gebruikers moeten weten dat zij worden gescand; 'ghost use' is verboden.

Voorbeeld uit de praktijk

In verschillende EU‑lidstaten, waaronder Nederland, zijn politiepilots met live‑gezichtsherkenning tijdelijk stilgelegd na kritiek van burgerrechtenorganisaties. Het illustreert hoe snel biometrie opschuift van lab naar straat en waarom de EU wil dat dit soort tests onder heldere governance vallen.

2 Kritieke infrastructuur (energie, verkeer, digitale netwerken)

Wat zegt de Act?

AI die fungeert als veiligheidscomponent in de bediening van water‑, gas‑, warmte‑ of elektriciteits­netten, in wegverkeers­management of in andere kritieke digitale infrastructuur is hoog risico.

Waarom hoog risico?

Een fout classificatie‑model in een elektriciteitsnet kan leiden tot black‑outs; een verkeerde voorspelling in verkeers­management kan ongelukken veroorzaken. De maatschappelijke afhankelijkheid van altijd‑aan services rechtvaardigt extra waarborgen.

Compliance‑tips

  • Dubbele conformiteitsbeoordeling – Productregelgeving (bijv. de Machinery Regulation) én de AI Act gelden.
  • Fail‑safe by design – Annex VII benadrukt 'graceful degradation': het systeem moet veilig falen.
  • Continu monitoring – Post‑market surveillance moet snelle incident‑rapportage mogelijk maken.

Voorbeeld uit de praktijk

Siemens testte in 2025 een generatieve‑AI‑module binnen zijn predictive‑maintenanceplatform om turbine­storingen dagen eerder te voorspellen. Hierdoor verminderde de ongeplande stilstand in drie windparken met 25 procent.

3 Onderwijs en beroepsopleiding

Wat zegt de Act?

AI die toetreding tot, voortgang in of uitkomsten van onderwijsinstellingen beïnvloedt – denk aan automatische proctoring, adaptieve toetsplatforms of studie‑adviesalgoritmen – valt onder de hoog‑risicoregels.

Waarom hoog risico?

Toegang tot onderwijs bepaalt latere kansen op de arbeidsmarkt. Bias in een selectie‐algoritme kan groepen structureel benadelen; foutief detecteren van 'fraude' kan reputatieschade veroorzaken.

Compliance‑tips

  • Mens in de lus – Artikel 14 vereist betekenisvolle menselijke review vóór definitieve beslissingen.
  • Gebruikersparticipatie – Betrek docenten en studenten in de risicobeoordeling; zij leveren praktijk­feedback.
  • Open leermodellen – Overweeg publiek beschikbare auditors‑benchmarks om bias te meten.

Voorbeeld uit de praktijk

Een Nederlandse student daagde in 2023 haar universiteit voor de rechter wegens discriminatie door online‑proctoringssoftware. Het College voor de Rechten van de Mens stelde dat de software mogelijk in strijd is met het gelijkheidsbeginsel en riep onderwijsinstellingen op tot strengere audits.

4 Werk, HR‑management & toegang tot zelfstandige arbeid

Wat zegt de Act?

Algoritmen die sollicitanten filteren, promoties bepalen, productiviteit monitoren of shifts inplannen behoren tot deze categorie.

Waarom hoog risico?

Een black‑box scoringsmodel kan de carrière van een persoon maken of breken. De asymmetrie tussen werkgever (data) en werknemer (weinig inzicht) vergroot de machtsbalans.

Compliance‑tips

  • Explainability – De uitkomst moet uitlegbaar zijn.
  • Audit‑trail – Bewaar logbestanden (artikel 19) om te kunnen aantonen hoe de beslissing tot stand kwam.
  • Stakeholder‑overleg – Bedrijf en ondernemingsraad bespreken AI‑beleid proactief.

Voorbeeld uit de praktijk

In 2024 kreeg Amazon een miljoenenboete omdat werknemers niet wisten hoe productiviteitsalgoritmen hun targets bepaalden. Het incident onderstreept dat transparantie ook buiten Europa onderwerp van toezicht is.

5 Essentiële publieke en private diensten

Wat zegt de Act?

Wanneer een AI‑systeem beslist over toegang tot zorg, sociale zekerheid, krediet of verzekeringen, of noodoproepen classificeert, wordt het hoog risico.

Waarom hoog risico?

Ten onrechte geweigerde zorg of micro‑leningen kan direct leiden tot schade, en vergroot sociale ongelijkheid.

Compliance‑tips

  • Dataset representativiteit – Krediet‑ en verzekeringsmodellen moeten expliciet testen op proxy discrimination.
  • Monitoring noodoproepen – Voor dispatch‑algoritmen gelden extra verplichtingen rond robustness en accuracy.
  • Koppel GDPR‑DPIA – Bundel de FRIA met een Data Protection Impact Assessment.

Voorbeeld uit de praktijk

De Spaanse bank BBVA publiceerde in 2025 een bias‑stresstest voor Spaanstalige taalmodellen als onderdeel van haar kredietbeoordelingstraject.

6 Wetshandhaving

Wat zegt de Act?

Politie‑ en vervolgingstools die recidive‑risico inschatten, bewijswaardering ondersteunen of pro‑actief criminaliteit voorspellen vallen onder het strengste regime.

Waarom hoog risico?

Fout‑positieven hebben ingrijpende gevolgen: arrestaties, detentie of discriminatoire surveillancetactieken.

Compliance‑tips

  • Juridische basis – Alleen inzet als dit expliciet in nationaal recht is toegestaan.
  • Waarheidscontrole – Art. 40 verlangt gevalideerde performance‑data.
  • Rechtsmiddelen – Burgers moeten effectieve beroepsprocedures hebben.

Voorbeeld uit de praktijk

In Frankrijk pauzeerde de gendarmerie in 2025 het predictieve‑policingproject PAVED na kritiek op een gebrek aan transparantie.

7 Migratie, asiel en grensbeheer

Wat zegt de Act?

AI die de risico‑analyse van reizigers, de toelating van asielzoekenden of de detectie van vervalste documenten automatiseert, wordt hoog risico.

Waarom hoog risico?

Verkeerde risico‑scores kunnen leiden tot onterecht grens­weigeren of detentie.

Compliance‑tips

  • Diversiteit in testdata – Modelleer op basis van wereldwijde datasets.
  • Ex‑ante autorisatie – Sommige toepassingen vergen goedkeuring van een toezichthouder.
  • Cross‑border governance – Werk samen met Frontex en de AI Office.

Voorbeeld uit de praktijk

Het EU‑onderzoek 'iBorderCtrl' naar AI‑leugendetectors kwam in 2024 opnieuw onder vuur te liggen bij het Europees Hof vanwege gebrekkige transparantie.

8 Rechtspraak en democratische processen

Wat zegt de Act?

Tools die rechters adviseren over jurisprudentie of kiezers proberen te beïnvloeden worden hoog risico.

Waarom hoog risico?

De onafhankelijkheid van de rechter en de integriteit van verkiezingen behoren tot de kern van de rechtsstaat.

Compliance‑tips

  • Transparantie aan het hof – AI‑ondersteunde analyses moeten verifieerbaar zijn.
  • Politieke reclame‑bibliotheek – Publiceer advertentiedata.
  • Impact op pluralisme – FRIA moet media‑effecten in kaart brengen.

Voorbeeld uit de praktijk

Estland voegde in 2024 een verplichte menselijke validatie toe aan zijn 'AI‑rechter' nadat juristen wezen op tekortkomingen in de beroepsmogelijkheid.

Horizontale verplichtingen voor alle hoog‑risico‑systemen

  1. Risicomanagementsysteem – Artikel 9 beschrijft een iteratieve risk management loop.
  2. Data‑ en datagovernance – Kwaliteit en herkomst van data moeten transparant zijn (artikel 10).
  3. Technische documentatie – Annex IV somt verplichte onderdelen op.
  4. Registratie & CE‑markering – Vóór de marktintroductie in de centrale EU‑database.
  5. Fundamental‑rights impact assessment – Verplicht voor middelgrote en grote organisaties.
  6. Incidentrapportage – Meld binnen 15 dagen grote storingen.

Tijdlijn en overgangsregime

De AI Act trad in werking op 1 augustus 2024 en kent gefaseerde toepassing:

  • 2 februari 2025 – Verboden praktijken en AI‑geletterdheidsplicht.
  • 2 augustus 2025 – Regels voor general‑purpose AI‑modellen en governance.
  • 2 augustus 2026 – Kernverplichtingen voor hoog‑risico‑AI.
  • 2 augustus 2027 – Verplichtingen voor AI binnen bestaande producten.

Praktische stappen voor organisaties

  1. Inventariseer al uw AI‑toepassingen.
  2. Voer een gap‑analyse uit.
  3. Stel een multidisciplinair team samen.
  4. Ontwikkel FRIA- en DPIA‑processen.
  5. Registreer bij de AI Pact.
  6. Plan interne audits en externe assessments tijdig.

Conclusie

De EU AI Act markeert een kantelpunt in de Europese AI‑regulering. Voor de acht high‑risk sectoren uit Annex III betekent dit concreet: méér documentatie, strengere audits en een grotere nadruk op grondrechten. Organisaties die nu investeren in uitlegbaarheid en mens‑gerichte governance, winnen het vertrouwen van klanten en toezichthouders en creëren een duurzaam concurrentie­voordeel.

Veel succes op uw compliance-reis – en houd onze blog in de gaten voor updates!

Klaar om uw AI compliance te controleren?

Gebruik onze gratis EU AI Act compliance tool

Bepaal in enkele stappen of de EU AI Act van toepassing is op uw organisatie en welke verplichtingen voor u gelden.

Gratis en direct beschikbaar
Stapsgewijze begeleiding
Persoonlijke aanbevelingen
Gebaseerd op de officiële EU AI Act
Start Compliance Check

Geen registratie vereist