Project Impact
Terug naar Woordenboek
intermediateBusiness & Strategie
5 min leestijd

Hoog-Risico AI

High-Risk AI System (EU AI Act Bijlage III)

Simpele Uitleg

Een hoog-risico AI-systeem is een AI-toepassing die grote impact kan hebben op mensen hun leven, rechten of veiligheid. Denk aan AI die bepaalt of je een lening krijgt, of je wordt aangenomen voor een baan, of welke medische behandeling je krijgt. Omdat de gevolgen zo groot zijn, stelt de EU AI Act strenge eisen aan deze systemen: documentatie, menselijk toezicht, transparantie, en regelmatige controles.

Technische Definitie

De EU AI Act classificeert AI-systemen als hoog-risico via twee routes. Route 1 (Bijlage II): AI als veiligheidscomponent van producten onder bestaande EU-wetgeving (medische apparaten, machines, speelgoed). Route 2 (Bijlage III): acht specifieke toepassingscategorieën — biometrie, kritieke infrastructuur, onderwijs, werkgelegenheid, essentiële diensten, rechtshandhaving, migratie, en rechtspraak. Hoog-risico systemen moeten voldoen aan uitgebreide eisen: risicobeheerssysteem (Art. 9), data governance (Art. 10), technische documentatie (Art. 11), logging (Art. 12), transparantie (Art. 13), menselijk toezicht (Art. 14), nauwkeurigheid en cyberveiligheid (Art. 15), kwaliteitsmanagementsysteem (Art. 17), conformiteitsbeoordeling (Art. 43), CE-markering (Art. 48), en registratie in de EU-database (Art. 49). Volledige compliance is verplicht vanaf 2 augustus 2026.

Waarom Dit Belangrijk Is

Als je organisatie AI inzet die onder hoog risico valt, sta je voor de grootste compliance-uitdaging van de EU AI Act. En meer organisaties dan je denkt worden geraakt: gebruik je AI voor het screenen van sollicitanten? Hoog risico. Algoritmes voor kredietbeoordeling? Hoog risico. AI-triage in de klantenservice? Mogelijk hoog risico.

De gevolgen van niet-compliance zijn serieus: boetes tot €15 miljoen of 3% van je wereldwijde omzet. Maar het gaat niet alleen om boetes — een AI-systeem dat onterecht leningen weigert of sollicitanten discrimineert, schaadt echte mensen en je reputatie.

De deadline van augustus 2026 klinkt ver weg, maar de eisen zijn omvangrijk: risicoanalyses, technische documentatie, menselijk toezicht, conformiteitsbeoordelingen. Bedrijven die nu beginnen met voorbereiden hebben een voorsprong. De ChatGPT, Claude & Gemini Masterclass helpt teams begrijpen hoe ze AI verantwoord inzetten binnen de hoog-risico kaders.

Hoe Het Werkt

De EU AI Act beschrijft acht categorieën van hoog-risico AI in Bijlage III. Per categorie zijn specifieke toepassingen benoemd.

Biometrie omvat gezichtsherkenning op afstand en emotieherkenning. Kritieke infrastructuur gaat over AI in energienetwerken, watervoorziening en verkeersbeheer. Onderwijs dekt AI die bepaalt of je wordt toegelaten of hoe je examen wordt beoordeeld.

Werkgelegenheid is voor veel bedrijven het meest relevant: AI voor werving en selectie, prestatiebeoordeling, en taaktoewijzing valt hieronder. Essentiële diensten omvat kredietbeoordeling, verzekeringsprijsbepaling, en het beoordelen van recht op uitkeringen.

Voor elk hoog-risico systeem moet je een risicobeheerssysteem opzetten dat de hele levenscyclus dekt. Je moet technische documentatie bijhouden over hoe het systeem werkt, waarmee het is getraind, en hoe het is getest. Er moet altijd een mens meekijken die kan ingrijpen. En voordat je het systeem in gebruik neemt, moet het een conformiteitsbeoordeling doorlopen — voor de meeste Bijlage III systemen mag dat intern, maar voor biometrie is een externe beoordeling nodig.

Na lancering stop je niet: post-market monitoring is verplicht. Je moet blijven controleren of het systeem correct functioneert.

Use Cases

Werving en selectie

CV-screeningsoftware, AI-ranking van kandidaten, en geautomatiseerde sollicitatiegesprekken zijn allemaal hoog-risico. HR-teams moeten documenteren hoe het algoritme werkt, bias-controles uitvoeren, en menselijke beslissing garanderen bij afwijzingen. De AI voor HR training helpt hierbij.

Kredietbeoordeling

Banken en fintechs die AI gebruiken voor credit scoring moeten voldoen aan alle hoog-risico eisen. Het systeem moet transparant zijn over waarom een aanvraag wordt afgewezen, en er moet altijd menselijk beroep mogelijk zijn.

Medische diagnose-AI

AI die medische beelden analyseert of diagnoses ondersteunt valt onder hoog risico via zowel Bijlage II (medische apparatuur) als Bijlage III. Dit vereist de strengste compliance: externe conformiteitsbeoordeling door een notified body.

Onderwijs en examinering

AI-systemen die examens nakijken, studenten beoordelen, of bepalen wie wordt toegelaten tot een opleiding zijn hoog-risico. Onderwijsinstellingen moeten transparant zijn over het gebruik en menselijke controle garanderen.

Voorbeelden

De acht categorieën van Bijlage III

De wet benoemt specifiek: 1) biometrie, 2) kritieke infrastructuur, 3) onderwijs, 4) werkgelegenheid, 5) essentiële diensten, 6) rechtshandhaving, 7) migratie en grenscontrole, 8) rechtspraak en democratische processen. De Europese Commissie kan deze lijst uitbreiden op basis van technologische ontwikkelingen.

Conformiteitsbeoordeling in de praktijk

Voor de meeste hoog-risico systemen mag je een interne beoordeling uitvoeren (zelfbeoordeling met documentatie). Voor biometrische identificatiesystemen is een externe beoordeling door een geaccrediteerde instantie verplicht. In alle gevallen moet je een CE-markering aanbrengen en het systeem registreren in de EU-database.

Verschil provider en deployer bij hoog risico

De provider (ontwikkelaar) draagt de zwaarste last: conformiteitsbeoordeling, technische documentatie, kwaliteitsmanagementsysteem. De deployer (gebruiker) moet zorgen voor menselijk toezicht, de gebruiksinstructies volgen, en afwijkingen melden. Beide partijen zijn aansprakelijk.

Veelgemaakte Fouten

"Onze AI maakt geen beslissingen, dus het is niet hoog-risico"

AI die beslissingen ondersteunt of voorbereidt kan ook hoog-risico zijn. Een systeem dat sollicitanten rankt maar de eindbeslissing aan een mens laat, valt nog steeds onder de werkgelegenheidscategorie als het de beslissing materieel beïnvloedt.

"We kopen AI in, dus de leverancier is verantwoordelijk"

Als deployer heb je eigen verplichtingen: menselijk toezicht organiseren, de gebruiksinstructies volgen, en afwijkingen aan de provider en autoriteiten melden. Je kunt compliance niet volledig uitbesteden.

"Augustus 2026 is nog ver weg"

De eisen zijn omvangrijk: risicobeheerssysteem, data governance, technische documentatie, conformiteitsbeoordeling. Dit kost maanden aan voorbereiding. Bedrijven die nu beginnen met een gap-analyse hebben een realistische tijdlijn. De AI-geletterdheid verplichting geldt al.

Tools Die Dit Gebruiken

alle AI-systemen in hoog-risico categorieën

Veelgestelde Vragen

Hoe weet ik of mijn AI-systeem hoog-risico is?
Check de acht categorieën in Bijlage III van de EU AI Act: biometrie, kritieke infrastructuur, onderwijs, werkgelegenheid, essentiële diensten, rechtshandhaving, migratie, rechtspraak. Als je AI-systeem binnen een van deze categorieën valt, is het waarschijnlijk hoog-risico.
Wat kost compliance voor een hoog-risico systeem?
Dat varieert sterk. Een interne conformiteitsbeoordeling is goedkoper dan een externe. De grootste kosten zitten in het opzetten van het risicobeheerssysteem, data governance, en technische documentatie. Reken op een investering van tienduizenden euro's voor middelgrote organisaties.
Kan een hoog-risico classificatie veranderen?
Ja, de Europese Commissie kan Bijlage III uitbreiden of aanpassen. Artikel 6 bevat ook een uitzonderingsmechanisme: als een AI-systeem weliswaar in een hoog-risico categorie valt maar aantoonbaar geen significant risico vormt, kan het onder voorwaarden worden vrijgesteld.
Wat gebeurt er als ik niet voldoe aan de eisen?
Boetes tot €15 miljoen of 3% van je wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Voor MKB-bedrijven geldt het lagere bedrag. Daarnaast kan de toezichthouder eisen dat je het systeem uit de markt haalt of het gebruik staakt.

Wil je deze term in de praktijk leren toepassen?

Bekijk TrainingenPlan Kennismaking