De EU AI Act werkt met een risicogebaseerde aanpak. Verboden AI valt onder artikel 5, GPAI-modellen onder artikel 51, en daartussen zit een derde categorie: hoog-risico AI. Artikel 6 bepaalt wanneer een systeem in die categorie valt. Als het antwoord ja is, dan komt er een lawine aan verplichtingen op u af: technisch dossier, risicobeheer, data governance, menselijk toezicht, conformiteitsbeoordeling en registratie in de EU-databank.
Voor het Nederlandse MKB is artikel 6 daarmee het belangrijkste artikel om te kennen. Hier leggen we uit hoe de classificatie werkt, welke twee routes er zijn en wat de praktische gevolgen zijn voor uw organisatie.
De twee routes naar hoog-risico
Artikel 6 kent twee onafhankelijke routes om als hoog-risico te kwalificeren. Een AI-systeem hoeft maar aan een van beide te voldoen.
Route 1: AI als veiligheidscomponent van gereguleerde producten (Bijlage I)
De eerste route raakt AI die ingebed zit in producten die al onder bestaande EU-productveiligheidswetgeving vallen. Denk aan medische hulpmiddelen, machines, speelgoed, liften, persoonlijke beschermingsmiddelen, gasapparaten en motorvoertuigen. Bijlage I van de AI Act lijst circa twintig sectorrichtlijnen op die hieronder vallen.
Voorbeeld: een MRI-scanner met een AI-functie die afwijkingen markeert valt onder de Medical Device Regulation. De AI-component daarbinnen wordt automatisch hoog-risico onder de AI Act, ongeacht hoe slim of beperkt die AI feitelijk is.
Route 2: zelfstandige AI in acht risicovolle domeinen (Bijlage III)
De tweede route is voor zelfstandige AI-systemen die niet ingebed zijn in een gereguleerd product, maar wel in een gevoelig domein worden ingezet. Bijlage III noemt acht categorieen:
- Biometrische identificatie en categorisatie, voor zover niet al door artikel 5 verboden.
- Beheer en exploitatie van kritieke infrastructuur, zoals AI in elektriciteitsnetten, watervoorziening, verkeerssystemen.
- Onderwijs en beroepsopleiding, denk aan AI voor toelatingsbeslissingen, examenproctoring of leerprestatie-analyse.
- Werkgelegenheid, HR en zelfstandigen, zoals CV-screening, prestatie-evaluatie of taaktoewijzing via AI.
- Toegang tot essentiele particuliere en publieke diensten, zoals kredietbeoordeling, fraudedetectie bij verzekeringen, urgentiebepaling bij hulpdiensten.
- Rechtshandhaving, zoals voorspellende politieprofielen of risicobeoordeling van verdachten.
- Migratie, asiel en grenscontrole, zoals AI-leugendetectoren of risicoprofilering aan de grens.
- Rechtspraak en democratische processen, zoals AI die rechters bijstaat bij vonnissen of AI die verkiezingsuitslagen beinvloedt.
Let op: Bijlage III is niet definitief. De Europese Commissie kan via gedelegeerde handelingen categorieen toevoegen of preciseren. Wat vandaag laag-risico is, kan over twee jaar hoog-risico zijn. Houd uw register actueel.
De uitzondering: niet alle Bijlage III-systemen zijn hoog-risico
In artikel 6 lid 3 staat een belangrijke uitzondering die in de praktijk veel verwarring oplevert. Een systeem dat onder Bijlage III valt is niet hoog-risico als het geen substantieel risico op schade vormt voor gezondheid, veiligheid of grondrechten. Dat is het geval bij een van de volgende vier scenarios:
- Het systeem doet alleen een nauw omschreven procedurele taak, bijvoorbeeld het ordenen van inkomende sollicitaties op binnenkomstvolgorde.
- Het systeem verbetert alleen het resultaat van een eerder voltooide menselijke activiteit, zoals tekstcorrectie of opmaak.
- Het systeem signaleert afwijkingen in besluitvormingspatronen zonder zelf besluiten te nemen of te vervangen.
- Het systeem voert alleen een voorbereidende taak uit voor een latere relevante beoordeling.
Veel leveranciers claimen dat hun tool onder de uitzondering valt. Maar als het systeem alsnog profileert (en dat doen veel HR-tools), valt het sowieso onder hoog-risico, ongeacht hoe procedureel het lijkt. Bewaar bewijsstukken waaruit blijkt waarom u meent dat de uitzondering geldt. Bij twijfel: classificeer als hoog-risico.
Praktisch voorbeeld: drie AI-tools en hun classificatie
1. AI-tekstgenerator voor marketingteksten
Dit is geen Bijlage III-domein en valt niet onder een productrichtlijn van Bijlage I. Conclusie: niet hoog-risico onder artikel 6. Wel gelden de algemene verplichtingen voor GPAI-systemen en de transparantieplicht van artikel 50.
2. AI in een ATS dat sollicitanten scoort en rangschikt
Werkgelegenheid en HR is een Bijlage III-domein. Het systeem profileert kandidaten. Conclusie: hoog-risico. De uitzondering geldt niet, want het systeem doet substantieel mee aan een besluit (selectie tot vervolggesprek).
3. AI in een verzekeringsplatform dat schadeclaims op fraudekans scoort
Toegang tot essentiele particuliere diensten is een Bijlage III-domein, en fraudedetectie bij verzekeringen wordt expliciet genoemd. Conclusie: hoog-risico. Ook al neemt een mens de uiteindelijke beslissing, het AI-systeem geeft een score die de menselijke beoordeling sterk stuurt.
Wat doet u als u hoog-risico classificeert?
Als artikel 6 zegt: hoog-risico, dan begint het echte werk. Voor providers (degene die het systeem ontwikkelt of namaakt) gelden artikelen 8 tot en met 21 in volle omvang: technisch dossier, risicobeheersysteem (artikel 9), data governance (artikel 10), logging, menselijk toezicht (artikel 14), nauwkeurigheid, conformiteitsbeoordeling en registratie in de EU-databank.
Voor deployers (degenen die het systeem inzetten) gelden de verplichtingen uit artikel 26: gebruik volgens instructies, menselijk toezicht inrichten, logging bewaren, medewerkers informeren en in sommige gevallen een Fundamental Rights Impact Assessment (FRIA).
Praktisch stappenplan voor uw classificatie
Hoog-risico classificatie gaat niet over wat de AI kan, maar wat u ermee doet. Beschrijf het concrete doel in een zin.
Valt het systeem onder een sectorale productrichtlijn? Lees Bijlage I van de Verordening (EU) 2024/1689. Bij twijfel: vraag de aanbieder om verklaring.
Valt het gebruiksdoel onder een van de acht categorieen? Lees ook de subcategorieen die de Commissie heeft gepubliceerd.
Als Bijlage III geldt: kunt u onderbouwen dat het systeem onder een van de vier uitzonderingen valt? Documenteer deze beoordeling.
Neem de uitkomst op in uw AI-register, ook als het systeem niet hoog-risico is. Het feit dat u de afweging gemaakt heeft, is bewijs van zorgvuldigheid.
Twijfelt u over de classificatie van uw AI?
De gratis ActCheck-scan loopt automatisch Bijlage I en Bijlage III na en geeft u per AI-tool een classificatie-advies.
Start de gratis check