Wanneer mensen spreken over "de AI Act", bedoelen ze in de praktijk vooral de regels voor high-risk AI systems. Dit zijn AI-systemen die door de EU-wetgever zijn aangemerkt als systemen met een aanzienlijk risico voor de veiligheid of grondrechten van mensen. Voor deze systemen gelden verplichtingen die voor gewone bedrijfssoftware niet bestaan.
De definitie van hoog-risico AI staat verspreid over twee bijlagen bij de AI Act: Bijlage II (veiligheidskritische producten die al CE-markeringen hebben) en Bijlage III (acht sectoren met specifieke hoog-risico gebruikstoepassingen). Voor het Nederlandse bedrijfsleven is Bijlage III het meest relevant.
De acht hoog-risico categorieën (Bijlage III)
Hoog risico 1. Biometrische identificatie en categorisering
Systemen voor identificatie op afstand en biometrische categorisering van personen. Realtime biometrische identificatie in openbare ruimte door overheden is zelfs volledig verboden (artikel 5). Post-hoc identificatie door opsporingsdiensten valt onder hoog-risico met strikte voorwaarden.
Hoog risico 2. Kritieke infrastructuur
AI in het beheer van energie-, water-, transport- en financiële netwerken. Denk aan algoritmen die de stroomverdeling regelen of verkeersstromen beheren. Storingen kunnen grote maatschappelijke gevolgen hebben.
Hoog risico 3. Onderwijs en beroepsopleiding
AI die toegang tot onderwijs bepaalt of studenten beoordeelt. Voorbeelden: geautomatiseerde toelating tot opleidingen, adaptieve examensoftware die prestatieniveaus bepaalt, of systemen die opleidingsadvies geven met directe gevolgen voor de loopbaan van studenten.
Hoog risico 4. Werkgelegenheid en HR
AI voor werving, selectie, promotie, ontslag en prestatiemanagement van medewerkers. Dit is de categorie die het meest voorkomt bij Nederlandse MKB-bedrijven: ATS-systemen met AI-scoring, LinkedIn Recruiter met geautomatiseerde shortlisting, en AI die cv's rankt of beoordeelt vallen hier allemaal onder.
Hoog risico 5. Toegang tot essentiële diensten
AI die bepaalt of iemand in aanmerking komt voor publieke of private essentiële diensten: krediet, verzekeringen, sociale uitkeringen, openbare diensten. Geautomatiseerde kredietscoring en AI-gestuurde verzekeringspremies vallen hieronder.
Hoog risico 6. Rechtshandhaving
AI gebruikt door politie en opsporingsdiensten voor misdaadanalyse, risicobeoordeling van verdachten of bewijs-evaluatie. Beperkt relevant voor private bedrijven, tenzij u software levert aan overheidsdiensten.
Hoog risico 7. Migratie, asiel en grenscontrole
AI voor risicobeoordeling van reizigers, verificatie van reisdocumenten of beslissingen over verblijfsvergunningen. Relevant voor bedrijven die technologie leveren aan grens- en immigratiediensten.
Hoog risico 8. Rechtsbedeling en democratisch proces
AI die rechterlijke beslissingen ondersteunt, juridische interpretaties geeft of verkiezingsprocessen beïnvloedt. Sterk beperkt voor private actoren door de aard van de toepassing.
Bijlage II: veiligheidskritische producten
Naast Bijlage III zijn er ook hoog-risico AI-systemen die zijn ingebouwd in producten die al een CE-markering hebben: medische hulpmiddelen, machines, luchtvaartuigen, voertuigen en speelgoed. Als uw product AI bevat en al CE-plichtig is, valt de AI automatisch onder de hoog-risico regels.
Welke verplichtingen gelden voor deployers van hoog-risico AI?
Als uw bedrijf een high-risk AI system inzet — ook als u het van een externe leverancier heeft gekocht — bent u een deployer met wettelijke verplichtingen. De belangrijkste:
- Menselijk toezicht inrichten: er moet altijd een persoon zijn die de AI-output kan begrijpen, controleren en zo nodig overrulen.
- Medewerkers die met de AI werken adequaat trainen in het gebruik en de beperkingen ervan.
- Een fundamentele rechten-impactbeoordeling uitvoeren vóór ingebruikname.
- Logs bijhouden van de werking van het systeem zolang dit redelijkerwijs van u verwacht kan worden.
- Bij AI-systemen die rechtstreeks op mensen gericht zijn: die personen informeren dat zij met een hoog-risico AI-systeem te maken hebben.
- Ernstige incidenten en niet-naleving melden aan de toezichthouder (AP) en de markttoezichthouder.
Veel MKB-bedrijven beseffen niet dat AI in hun HR-software — voor CV-screening, functieprofiel-matching of prestatiebeheer — automatisch als high-risk wordt aangemerkt. Als uw ATS-systeem AI-scores geeft aan kandidaten, valt dit onder bijlage III, categorie 4. De deadline voor naleving is 2 augustus 2026.
Hoe weet u of uw AI hoog-risico is?
Gebruik dit als sneltoets: als uw AI-systeem een significante invloed heeft op een beslissing die iemands toegang tot werk, opleiding, krediet, verzekering of publieke diensten bepaalt — dan is het bijna zeker hoog-risico. Twijfelt u? Gebruik de gratis checker op actcheck.nl voor een analyse van uw specifieke tools.
Uitzondering voor GPAI-modellen: Algemene grote taalmodellen (ChatGPT, Copilot, Gemini) zijn op zichzelf geen high-risk AI systems. Ze worden hoog-risico pas als u ze integreert in een toepassing die in een hoog-risico categorie valt — bijvoorbeeld als u een ChatGPT-plugin bouwt die cv's beoordeelt.
Gebruikt uw bedrijf hoog-risico AI?
De gratis checker analyseert uw AI-tools, bepaalt per tool het risiconiveau en toont welke compliance-stappen u moet zetten. In 10 minuten weet u waar u staat.
Start de gratis check