Laatste update: 7 juni 2025
Inleiding
In juni 2024 is Verordening (EU) 2024/1689, beter bekend als de EU Artificial Intelligence Act, formeel aangenomen. De wet introduceert een gedifferentieerd, op risico's gebaseerd kader met als doel innovatieve toepassingen van kunstmatige intelligentie te stimuleren en tegelijkertijd burgers te beschermen tegen schadelijke effecten van het gebruik van AI. AIâtoepassingen die het label hoog risico krijgen, vormen in dit raamwerk de rode zone: ze worden niet verboden, maar wel onderworpen aan strengere eisen.
De definitieve tekst plaatst acht groepen gebruiksÂdoeleinden, opgesomd in Annex III, automatisch in de categorie highârisk, mits zij niet onder een expliciete uitzondering vallen. Deze blog bespreekt elk van die sectoren, verduidelijkt waarom ze door de wetgever als kritischer worden gezien dan andere toepassingen en beschrijft welke concrete complianceâstappen aanbieders en afnemers nu moeten zetten. Daarnaast komt de tijdlijn, de regels gelden in volle omvang vanaf 2 augustus 2026, en de wisselwerking met andere EUâwetgeving aan bod.
Annex III in Ă©Ă©n oogopslag
Annex III bevat een limitatieve lijst van acht domeinen waarin AIâsystemen potentieel een grote impact hebben op veiligheid of grondrechten. Het gaat om:
- Biometrie & emotieâanalyse
- Kritieke infrastructuur
- Onderwijs en opleiding
- Werk & HRâprocessen
- Essentiële (publieke en private) diensten
- Wetshandhaving
- Migratie, asiel & grensbeheer
- Rechtspraak & democratische processen
Wie in Ă©Ă©n van deze domeinen een AIâsysteem inzet dat onder de beschreven gebruiksvoorbeelden valt, kan het etiket hoog risico niet van zich afschudden; de wetgever heeft de proportionaliteitsafweging al gemaakt.
1 Biometrie en emotieherkenning
Wat zegt de Act?
Het allereerste punt in Annex III verklapt waar Brussel zich het meest zorgen over maakt: AIâsystemen die mensen herkennen, classificeren of hun emoties proberen af te lezen. Voorbeelden zijn remote biometric identification op straat, systemen die leeftijd, geslacht of etniciteit afleiden in een winkelcentrum en cameraâanalyses die zogezegd boosheid detecteren.
Waarom hoog risico?
Biometrische modellen grijpen direct in op het grondrecht op privacy en kunnen leiden tot discriminatie. Bovendien worden fouten op schaal gemaakt: eenmaal live scant het systeem potentieel duizenden mensen per minuut.
Complianceâtips
- Rechtsgrond checken â De AI Act eist dat de inzet "onder Unierecht of nationaal recht is toegestaan".
- Dataâgovernance â Verzamel representatieve datasets, documenteer biasâtests en leg data provenance vast.
- FRIA uitvoeren â Specifiek voor biometrie benadrukt artikel 27 de noodzaak van een gedocumenteerde fundamenteleârechtenanalyse.
- Transparantieâplicht â Gebruikers moeten weten dat zij worden gescand; 'ghost use' is verboden.
Voorbeeld uit de praktijk
In verschillende EUâlidstaten, waaronder Nederland, zijn politiepilots met liveâgezichtsherkenning tijdelijk stilgelegd na kritiek van burgerrechtenorganisaties. Het illustreert hoe snel biometrie opschuift van lab naar straat en waarom de EU wil dat dit soort tests onder heldere governance vallen.
2 Kritieke infrastructuur (energie, verkeer, digitale netwerken)
Wat zegt de Act?
AI die fungeert als veiligheidscomponent in de bediening van waterâ, gasâ, warmteâ of elektriciteitsÂnetten, in wegverkeersÂmanagement of in andere kritieke digitale infrastructuur is hoog risico.
Waarom hoog risico?
Een fout classificatieâmodel in een elektriciteitsnet kan leiden tot blackâouts; een verkeerde voorspelling in verkeersÂmanagement kan ongelukken veroorzaken. De maatschappelijke afhankelijkheid van altijdâaan services rechtvaardigt extra waarborgen.
Complianceâtips
- Dubbele conformiteitsbeoordeling â Productregelgeving (bijv. de Machinery Regulation) Ă©n de AI Act gelden.
- Failâsafe by design â Annex VII benadrukt 'graceful degradation': het systeem moet veilig falen.
- Continu monitoring â Postâmarket surveillance moet snelle incidentârapportage mogelijk maken.
Voorbeeld uit de praktijk
Siemens testte in 2025 een generatieveâAIâmodule binnen zijn predictiveâmaintenanceplatform om turbineÂstoringen dagen eerder te voorspellen. Hierdoor verminderde de ongeplande stilstand in drie windparken met 25 procent.
3 Onderwijs en beroepsopleiding
Wat zegt de Act?
AI die toetreding tot, voortgang in of uitkomsten van onderwijsinstellingen beĂŻnvloedt, denk aan automatische proctoring, adaptieve toetsplatforms of studieâadviesalgoritmen, valt onder de hoogârisicoregels.
Waarom hoog risico?
Toegang tot onderwijs bepaalt latere kansen op de arbeidsmarkt. Bias in een selectieâalgoritme kan groepen structureel benadelen; foutief detecteren van fraude kan reputatieschade veroorzaken.
Complianceâtips
- Mens in de lus â Artikel 14 vereist betekenisvolle menselijke review vóór definitieve beslissingen.
- Gebruikersparticipatie â Betrek docenten en studenten in de risicobeoordeling; zij leveren praktijkÂfeedback.
- Open leermodellen â Overweeg publiek beschikbare auditorsâbenchmarks om bias te meten.
Voorbeeld uit de praktijk
Een Nederlandse student daagde in 2023 haar universiteit voor de rechter wegens discriminatie door onlineâproctoringssoftware. Het College voor de Rechten van de Mens stelde dat de software mogelijk in strijd is met het gelijkheidsbeginsel en riep onderwijsinstellingen op tot strengere audits.
4 Werk, HRâmanagement & toegang tot zelfstandige arbeid
Wat zegt de Act?
Algoritmen die sollicitanten filteren, promoties bepalen, productiviteit monitoren of shifts inplannen behoren tot deze categorie.
Waarom hoog risico?
Een blackâbox scoringsmodel kan de carriĂšre van een persoon maken of breken. De asymmetrie tussen werkgever (data) en werknemer (weinig inzicht) vergroot de machtsbalans.
Complianceâtips
- Explainability â De uitkomst moet uitlegbaar zijn.
- Auditâtrail â Bewaar logbestanden (artikel 12) om te kunnen aantonen hoe de beslissing tot stand kwam.
- Stakeholderâoverleg â Bedrijf en ondernemingsraad bespreken AIâbeleid proactief.
Voorbeeld uit de praktijk
In 2024 kreeg Amazon een miljoenenboete omdat werknemers niet wisten hoe productiviteitsalgoritmen hun targets bepaalden. Het incident onderstreept dat transparantie ook buiten Europa onderwerp van toezicht is.
5 Essentiële publieke en private diensten
Wat zegt de Act?
Wanneer een AIâsysteem beslist over toegang tot zorg, sociale zekerheid, krediet of verzekeringen, of noodoproepen classificeert, wordt het hoog risico.
Waarom hoog risico?
Ten onrechte geweigerde zorg of microleningen kan direct leiden tot schade en vergroot sociale ongelijkheid.
Complianceâtips
- Dataset representativiteit â Kredietâ en verzekeringsmodellen moeten expliciet testen op proxy discrimination.
- Monitoring noodoproepen â Voor dispatchâalgoritmen gelden extra verplichtingen rond robustness en accuracy.
- Koppel GDPRâDPIA â Bundel de FRIA met een Data Protection Impact Assessment.
Voorbeeld uit de praktijk
De Spaanse bank BBVA publiceerde in 2025 een biasâstresstest voor Spaanstalige taalmodellen als onderdeel van haar kredietbeoordelingstraject. Het is een voorbeeld van hoe financiĂ«le instellingen proactief proberen te aantonen dat hun modellen geen proxy-discriminatie introduceren op basis van taal of regio.
6 Wetshandhaving
Wat zegt de Act?
Politieâ en vervolgingstools die recidiveârisico inschatten, bewijswaardering ondersteunen of proâactief criminaliteit voorspellen vallen onder het strengste regime.
Waarom hoog risico?
Foutâpositieven hebben ingrijpende gevolgen: arrestaties, detentie of discriminatoire surveillancetactieken.
Complianceâtips
- Juridische basis â Alleen inzet als dit expliciet in nationaal recht is toegestaan.
- Waarheidscontrole â Artikel 40 verlangt gevalideerde performanceâdata.
- Rechtsmiddelen â Burgers moeten effectieve beroepsprocedures hebben.
Voorbeeld uit de praktijk
In Frankrijk pauzeerde de gendarmerie in 2025 het predictieveâpolicingproject PAVED na kritiek op een gebrek aan transparantie. De casus illustreert waarom artikel 14 van de AI Act menselijk toezicht niet als optionele laag beschouwt maar als intrinsiek onderdeel van het systeemontwerp.
7 Migratie, asiel en grensbeheer
Wat zegt de Act?
AI die de risicoâanalyse van reizigers, de toelating van asielzoekenden of de detectie van vervalste documenten automatiseert, wordt hoog risico.
Waarom hoog risico?
Verkeerde risicoâscores kunnen leiden tot onterecht grensÂweigeren of detentie.
Complianceâtips
- Diversiteit in testdata â Modelleer op basis van wereldwijde datasets.
- Exâante autorisatie â Sommige toepassingen vergen goedkeuring van een toezichthouder.
- Crossâborder governance â Werk samen met Frontex en het AI Office.
Voorbeeld uit de praktijk
Het EUâonderzoek iBorderCtrl naar AIâleugendetectors bij grenscontroles kwam in 2024 opnieuw onder vuur bij het Europees Hof vanwege gebrekkige transparantie over de validatiemethoden en de foutmarges van het systeem.
8 Rechtspraak en democratische processen
Wat zegt de Act?
Tools die rechters adviseren over jurisprudentie of kiezers proberen te beĂŻnvloeden worden hoog risico.
Waarom hoog risico?
De onafhankelijkheid van de rechter en de integriteit van verkiezingen behoren tot de kern van de rechtsstaat.
Complianceâtips
- Transparantie aan het hof â AIâondersteunde analyses moeten verifieerbaar zijn.
- Politieke reclameâbibliotheek â Publiceer advertentiedata conform artikel 50.
- Impact op pluralisme â FRIA moet mediaâeffecten in kaart brengen.
Voorbeeld uit de praktijk
Estland voegde in 2024 een verplichte menselijke validatie toe aan zijn AIârechter nadat juristen wezen op tekortkomingen in de beroepsmogelijkheid. Het land gold als pionier op het gebied van AI in de rechtspraak; de aanpassing laat zien dat zelfs innovatieve overheden de grens tussen ondersteuning en vervanging bewust trekken.
Horizontale verplichtingen voor alle hoogârisicoâsystemen
De acht sectoren uit Annex III delen een gemeenschappelijke set verplichtingen die gelden voor alle hoog-risico AI-systemen, ongeacht het specifieke toepassingsdomein. Die verplichtingen zijn bewust niet sector-specifiek: de wetgever heeft een generiek compliance-raamwerk ontworpen dat flexibel genoeg is voor zowel een biometrisch identificatiesysteem als een kredietscoremodel, maar tegelijkertijd substantieel genoeg om echte bescherming te bieden.
Artikel 9 verplicht een doorlopend risicomanagementsysteem, geen eenmalige pre-deployment check maar een proces dat meeloopt gedurende de volledige levensduur van het systeem. Wanneer het systeem op basis van nieuwe data zijn gedrag aanpast, moet ook het risicobeheersysteem worden bijgewerkt. Artikel 10 stelt eisen aan de kwaliteit en herkomst van data: trainingsdata moet representatief, relevant en vrij van relevante fouten zijn, en moet zijn beoordeeld op mogelijke bias. Artikel 11 en Annex IV beschrijven de technische documentatie die verplicht is vóór marktintroductie: algemene systeembeschrijving, ontwikkelproces, trainingsmethodologie, validatieresultaten, capaciteiten en beperkingen. Artikel 12 verplicht logging van de systeemwerking, zodat bij een incident of audit kan worden gereconstrueerd hoe het systeem heeft gefunctioneerd. Artikel 14 schrijft menselijk toezicht voor als intrinsiek onderdeel van het systeemontwerp, niet als externe controlelaag. Artikel 15 stelt eisen aan nauwkeurigheid, robuustheid en cyberveiligheid. Vóór marktintroductie verplicht artikel 49 tot registratie in de centrale EU-database, gevolgd door actieve post-market surveillance conform artikel 72 en een meldingsplicht voor ernstige incidenten binnen 15 werkdagen.
Tijdlijn en overgangsregime
De AI Act trad in werking op 1 augustus 2024 en kent gefaseerde toepassing:
- 2 februari 2025 â Verboden praktijken en AIâgeletterdheidsplicht.
- 2 augustus 2025 â Regels voor generalâpurpose AIâmodellen en governance.
- 2 augustus 2026 â Kernverplichtingen voor hoogârisicoâAI.
- 2 augustus 2027 â Verplichtingen voor AI binnen bestaande producten.
Praktische stappen voor organisaties
- Inventariseer al uw AIâtoepassingen.
- Voer een gapâanalyse uit.
- Stel een multidisciplinair team samen.
- Ontwikkel FRIA- en DPIAâprocessen.
- Registreer bij het AI Pact.
- Plan interne audits en externe assessments tijdig.
De inventarisatie is het fundament waarop al het andere rust. Veel organisaties ontdekken tijdens een grondige inventarisatie systemen die zij nooit als AI hadden beschouwd maar die wel degelijk aan de definitie van artikel 3 voldoen: planningssystemen die leren van historische data, klantscoremodellen die zijn getraind op gedragsdata, of HR-tools die kandidaten rangschikken op basis van patroonherkenning. Een inventarisatie die alleen kijkt naar wat de IT-afdeling formeel als AI-project heeft geregistreerd, mist de helft.
Betrek bij de gap-analyse niet alleen de juridische afdeling maar ook de medewerkers die dagelijks met de systemen werken. Zij kennen de praktijk: wanneer het systeem onverwacht gedrag vertoont, wanneer medewerkers de AI-aanbeveling routinematig negeren, en waar de menselijke override de norm is eerder dan de uitzondering. Die informatie is goud waard voor het risicobeheersysteem van artikel 9 en voor de FRIA van artikel 27.
Conclusie
De EU AI Act markeert een kantelpunt in de Europese AIâregulering. Voor de acht highârisk sectoren uit Annex III betekent dit concreet: mĂ©Ă©r documentatie, strengere audits en een grotere nadruk op grondrechten. Organisaties die nu investeren in uitlegbaarheid en mensâgerichte governance, winnen het vertrouwen van klanten en toezichthouders en creĂ«ren een duurzaam concurrentieÂvoordeel.
De kernboodschap is eenvoudig: compliance met de AI Act is geen eenmalig project dat afgerond is wanneer de conformiteitsbeoordeling is ingeleverd. Het is een doorlopende verantwoordelijkheid die vraagt om een levend risicobeheersysteem, actieve post-market monitoring, en een organisatiecultuur waarin medewerkers weten wanneer zij moeten ingrijpen en hoe zij dat correct documenteren. De organisaties die dat het vroegst serieus nemen, zijn het best voorbereid op het toezichtsklimaat dat na augustus 2026 van kracht wordt.
đ Verdiep je kennis: Bekijk de Complete EU AI Act Gids voor een volledig overzicht van alle aspecten van de AI-wetgeving.