Hoog-risico AI classificatie onder de EU AI Act
Of jouw AI-systeem als hoog-risico wordt aangemerkt, bepaalt hoe zwaar de verplichtingen zijn die op je afkomen. De EU AI Act hanteert een risicogebaseerde aanpak: hoe groter de impact op mensen, hoe strenger de eisen. Het Europees AI Office coördineert de handhaving en heeft in 2026 richtlijnen gepubliceerd voor de classificatie. Op deze pagina loop je door de categorieën, de concrete voorbeelden uit Bijlage III en een praktische zelfcheck.
Als je nog niet weet welke AI-systemen je organisatie heeft, begin dan bij de AI-inventarisatie. Heb je al een overzicht, dan helpt deze pagina je te bepalen welke systemen extra aandacht verdienen in je AI-risicomanagement.
Twee routes naar hoog-risico
De AI Act kent twee routes waarlangs een AI-systeem als hoog-risico wordt aangemerkt.
Route 1: Bijlage I (gereguleerde producten). Als AI onderdeel is van een product dat al onder EU-productveiligheidsregels valt (medische hulpmiddelen, voertuigen, luchtvaartsystemen, machines), dan is het hoog-risico als het zelf een veiligheidscomponent is. Denk aan een AI-systeem dat remkrachten stuurt in een auto, of dat diagnoseondersteuning biedt in een medisch apparaat.
Route 2: Bijlage III (specifieke toepassingsgebieden). Ongeacht het product is AI hoog-risico als het valt in één van de acht categorieën hieronder, tenzij het systeem aantoonbaar geen significant risico voor mensen inhoudt.
De Europese Commissie heeft in 2026 classificatierichtlijnen gepubliceerd die helpen bij het beoordelen van de “geen significant risico”-uitzondering. Gebruik die als aanvullende leidraad.
Bijlage III: de acht categorieën
1. Biometrie
AI die mensen identificeert, categoriseert of emoties herkent op basis van biometrische kenmerken.
| Voorbeeld | Risiconiveau |
|---|---|
| Real-time gezichtsherkenning in publieke ruimtes door rechtshandhaving | Verboden (met beperkte uitzonderingen) |
| Gezichtsherkenning in kantooromgeving voor toegangscontrole | Hoog-risico |
| Emotieherkenning op de werkplek of in onderwijs | Verboden |
| Biometrische categorisatie op gevoelige kenmerken (religie, etniciteit) | Verboden |
2. Kritieke infrastructuur
AI gebruikt als veiligheidscomponent bij het beheer van kritieke digitale infrastructuur, verkeersnetwerken of energie- en watervoorziening.
Voorbeelden: AI die stroomnetwerken beheert, verkeersregelinstallaties aanstuurt of waterzuivering monitort.
3. Onderwijs en beroepsopleiding
AI die toegang tot onderwijs bepaalt of een significante invloed heeft op iemands toekomst.
Voorbeelden:
- Toelatingssoftware voor hogescholen en universiteiten
- AI die studenten beoordeelt of rangschikte op prestaties
- Systemen die verboden gedrag detecteren tijdens examens
4. Werving en werknemersbeheer
AI in het HR-domein is een van de meest voorkomende hoog-risico-categorieën voor bedrijven.
| Toepassing | Hoog-risico? |
|---|---|
| CV-screening en kandidaatsranking | Ja |
| Sollicitatiegesprekken analyseren (taal, mimiek) | Ja |
| Prestatiebeoordeling van medewerkers | Ja |
| Aanbevelingen voor promotie of ontslag | Ja |
| Gerichte vacatureadvertenties op basis van profiel | Ja |
| Werkroosters automatisch genereren (geen HR-beslissing) | Nee (beperkt risico) |
Als je een AI-systeem gebruikt dat meebeoordeelt bij werving, bevordering of ontslag, val je hoogstwaarschijnlijk onder hoog-risico. Dat geldt ook voor ingekochte HR-software met AI-functies.
5. Essentiële diensten en krediet
AI die toegang regelt tot fundamentele maatschappelijke diensten.
Voorbeelden:
- Kredietscoresystemen voor leningen en hypotheken
- AI-gestuurde beoordeling van uitkeringsaanvragen
- Risicoclassificatie voor verzekeringen
- Beoordeling van aanvragen voor sociale huisvesting
6. Rechtshandhaving
AI gebruikt door politie, OM of andere handhavende instanties.
Voorbeelden:
- Recidiverisico-inschatting bij verdachten
- Voorspelling van criminaliteitsgebieden (predictive policing)
- Betrouwbaarheidsbeoordeling van getuigenissen
- Profielering voor strafonderzoek
7. Grenscontrole en migratie
AI bij de beoordeling van visum- en asielaanvragen of bij grensbeveiliging.
Voorbeelden:
- Automatische screening van visumaanvragen
- Polygrafische systemen in migratiecontext
- AI die reisdocumenten verifieert bij grensovergangen
8. Rechtspleging en democratie
AI bij juridische besluitvorming of politieke processen.
Voorbeelden:
- AI die rechters ondersteunt bij het interpreteren van feiten
- Systemen die stemgedrag of verkiezingsuitkomsten proberen te beïnvloeden
Zelfcheck: is mijn AI hoog-risico?
Loop de stappen hieronder door voor elk AI-systeem in je AI-register. De eerste vraag die je met “ja” beantwoordt, bepaalt de categorie.
| Stap | Vraag | Als “ja” |
|---|---|---|
| 1 | Doet het systeem iets wat expliciet verboden is (social scoring, real-time biometrie in publieke ruimte, emotieherkenning op werk/school)? | Verboden — stop ermee |
| 2 | Is het systeem onderdeel van een gereguleerd product (medisch hulpmiddel, voertuig, machine) en stuurt het een veiligheidsfunctie aan? | Hoog-risico (Bijlage I) |
| 3 | Valt het systeem in één van de acht Bijlage III-categorieën? | Hoog-risico (Bijlage III) |
| 4 | Beïnvloedt het systeem mensen rechtstreeks maar valt het niet in bovenstaande categorieën? | Beperkt risico (transparantieplicht) |
| 5 | Geen van bovenstaande van toepassing | Minimaal risico |
Stap 3 bevat een uitzondering: als een Bijlage III-systeem aantoonbaar geen significant risico voor mensen inhoudt, hoeft het niet als hoog-risico behandeld te worden. Dit is een smalle uitzondering die je goed moet kunnen onderbouwen en documenteren.
Actuele deadlines voor hoog-risico AI
De deadlines voor hoog-risico AI zijn verschoven via het Digital Omnibus-pakket. Op 7 mei 2026 bereikten het Europees Parlement en de Raad een politiek akkoord. Formele publicatie moet nog volgen.
| Mijlpaal | Datum | Status |
|---|---|---|
| Verboden AI (Artikel 5) | 2 februari 2025 | Van kracht |
| AI-geletterdheidseis (Artikel 4) | 2 februari 2025 | Van kracht |
| Eisen GPAI-modellen | 2 augustus 2025 | Van kracht |
| Nationale handhavingsbevoegdheden | 2 augustus 2026 | Van kracht |
| Hoog-risico AI Bijlage III | 2 december 2027 | Politiek akkoord, formeel nog niet vastgelegd |
| Hoog-risico AI in gereguleerde producten | 2 augustus 2028 | Politiek akkoord, formeel nog niet vastgelegd |
Het uitstel naar december 2027 is een politiek akkoord, geen vastgestelde wet. Bouw je compliance-tijdlijn niet op het maximale uitstel. De handhaving door nationale toezichthouders begint al in augustus 2026.
Actuele informatie vind je bij de Rijksoverheid over de AI Act en het Europees AI Office .
Wat moet je doen als je hoog-risico AI hebt?
Aanbieders (degenen die de AI op de markt brengen) en in sommige gevallen ook gebruikers van hoog-risico AI moeten voldoen aan een uitgebreide set eisen. De kern:
- Risicomanagementsysteem opzetten en onderhouden
- Data governance en datakwaliteit waarborgen
- Technische documentatie bijhouden
- Logging en traceerbaarheid inbouwen
- Transparantie bieden aan gebruikers
- Menselijk toezicht mogelijk maken
- Robuustheid, nauwkeurigheid en cybersecurity garanderen
- Conformiteitsbeoordeling uitvoeren
- Registreren in de EU AI-database
ISO 42001 biedt een stevige basis voor al deze eisen, maar vervangt de formele conformiteitsprocedure niet. Die is een apart traject.
Meer lezen
- EU AI Act en ISO 42001 - De volledige relatie tussen wet en norm
- AI-inventarisatie - Stap 1: je AI-systemen in kaart brengen
- AI-risicomanagement - Risico’s per systeem beoordelen
- AI impact assessment - De maatschappelijke impact in kaart brengen
- Annex III bij artificialintelligenceact.eu - De officiële lijst hoog-risico AI
- Classificatierichtlijnen EC - Richtlijnen voor het bepalen van hoog-risico