De AI Act verdeelt AI-systemen in vier risicocategorieën: verboden AI, hoog-risico AI, beperkt-risico AI en minimaal-risico AI. Hoe hoger de potentiële impact op grondrechten, veiligheid of maatschappij, hoe zwaarder de verplichtingen. Deze indeling bepaalt direct welke regels jouw organisatie moet volgen. In dit artikel beantwoorden we de meest gestelde vragen over de risicoclassificatie in de AI Act en wat die voor jou in de praktijk betekent.
Welke risicocategorieën onderscheidt de AI Act?
De AI Act onderscheidt vier risicocategorieën: onaanvaardbaar risico (verboden), hoog risico (zwaar gereguleerd), beperkt risico (transparantieverplichtingen) en minimaal risico (vrijwel geen verplichtingen). Deze gelaagde aanpak zorgt ervoor dat de zwaarste regels gelden voor toepassingen met de grootste potentiële schade, terwijl innovatie voor laag-risico AI zoveel mogelijk vrij blijft.
De indeling is gebaseerd op het principe dat de intensiteit van regulering evenredig moet zijn aan de risico’s die een AI-systeem meebrengt. Een spamfilter in je e-mailprogramma valt in een heel andere categorie dan een AI-systeem dat sollicitanten beoordeelt of medische diagnoses stelt. De verordening kijkt daarbij niet alleen naar het systeem zelf, maar ook naar de context waarin het wordt ingezet en de mensen die er direct door worden geraakt.
Belangrijk om te weten: de classificatie is niet statisch. Een systeem dat in één context minimaal risico vormt, kan in een andere context hoog-risico zijn. De beoogde toepassing en de sector waarin je opereert zijn dus bepalend voor welke categorie van toepassing is.
Welke AI-toepassingen zijn volledig verboden?
De AI Act verbiedt AI-toepassingen die een onaanvaardbaar risico vormen voor grondrechten en menselijke waardigheid. Het gaat om systemen die mensen manipuleren via onderbewuste technieken, kwetsbare groepen uitbuiten, sociale scores toekennen door overheden, en de meeste vormen van biometrische identificatie op afstand in openbare ruimten in real time.
Concreet verbiedt Artikel 5 van de AI Act de volgende categorieën:
- AI-systemen die gebruikmaken van subliminale technieken om gedrag te beïnvloeden buiten het bewustzijn van een persoon
- Systemen die kwetsbare groepen, zoals kinderen of mensen met een beperking, doelbewust manipuleren
- Sociale scoresystemen door of namens overheden die burgers beoordelen op gedrag in het dagelijks leven
- Real-time biometrische identificatie op afstand in openbare ruimten door wetshandhaving, met beperkte uitzonderingen
- AI die emoties herkent op de werkvloer of in onderwijsinstellingen, behalve voor medische of veiligheidsdoeleinden
- Systemen die biometrische categorisering gebruiken om gevoelige kenmerken zoals politieke opvattingen of seksuele geaardheid af te leiden
Deze verboden zijn als eerste in werking getreden, namelijk per 2 februari 2025. Organisaties die op dat moment al dergelijke systemen gebruikten, moesten direct actie ondernemen. De boetes voor overtredingen van deze verboden zijn ook het hoogst: tot 35 miljoen euro of 7% van de wereldwijde jaaromzet.
Hoe bepaal je of een AI-systeem hoog-risico is?
Een AI-systeem is hoog-risico als het valt onder de sectoren of toepassingen die zijn opgesomd in Bijlage III van de AI Act, of als het een veiligheidscomponent is van een product dat al onder bestaande EU-wetgeving valt (Bijlage I). De centrale vraag is altijd: kan het systeem significant negatieve gevolgen hebben voor de gezondheid, veiligheid of grondrechten van mensen?
Bijlage III bevat een concrete lijst van hoog-risico toepassingsgebieden:
- Biometrische identificatie en categorisering van personen
- Beheer van kritieke infrastructuur, zoals energie, water en transport
- Onderwijs en beroepsopleiding, inclusief toelating en beoordeling van studenten
- Werkgelegenheid, personeelsbeheer en toegang tot zelfstandig werk
- Toegang tot en gebruik van essentiële private en publieke diensten, zoals kredietscoring
- Rechtshandhaving, inclusief risicobeoordeling van personen
- Migratie, asiel en grenscontrole
- Rechtsbedeling en democratische processen
Er is een belangrijke uitzondering: als een systeem op het eerste gezicht in Bijlage III valt, maar in werkelijkheid geen significante impact heeft op de besluitvorming over mensen, kan de aanbieder beargumenteren dat het toch niet hoog-risico is. Dit vereist echter een gedocumenteerde beoordeling en is niet iets wat je zomaar aanneemt.
Wat zijn de verplichtingen voor hoog-risico AI-systemen?
Aanbieders van hoog-risico AI-systemen moeten voldoen aan een uitgebreid pakket aan eisen voordat zij hun systeem op de markt brengen. De kernverplichtingen omvatten een robuust risicobeheersysteem, technische documentatie, gegevensgovernance, transparantie richting gebruikers, menselijk toezicht, en registratie in een EU-database.
Concreet gaat het om de volgende verplichtingen:
- Risicobeheersysteem: een doorlopend proces dat risico’s identificeert, evalueert en mitigeert gedurende de hele levenscyclus van het systeem
- Technische documentatie: gedetailleerde beschrijving van het systeem, de werking, de testresultaten en de conformiteitsbeoordelingsprocedure
- Gegevenskwaliteit: trainings-, validatie- en testdata moeten relevant, voldoende representatief en zo vrij mogelijk van fouten zijn
- Transparantie en gebruikersinformatie: gebruikers moeten begrijpen wat het systeem doet, wat de beperkingen zijn en hoe zij het veilig kunnen gebruiken
- Menselijk toezicht: het systeem moet zo ontworpen zijn dat mensen het kunnen begrijpen, bewaken, onderbreken of corrigeren
- Nauwkeurigheid, robuustheid en cyberveiligheid: aantoonbaar consistent presteren, ook bij onverwachte invoer of aanvallen
- Conformiteitsbeoordeling en CE-markering: afhankelijk van het type systeem via zelfevaluatie of via een aangemelde instantie
- Registratie: aanmelding in de EU-database voor hoog-risico AI vóór marktintroductie
Deployers, dus organisaties die hoog-risico AI van anderen gebruiken, hebben ook verplichtingen. Zij moeten zorgen voor menselijk toezicht, het systeem gebruiken conform de instructies van de aanbieder, en incidenten melden. De verantwoordelijkheid is dus gedeeld tussen de partij die het systeem bouwt en de partij die het inzet.
Wat is het verschil tussen beperkt risico en minimaal risico?
Beperkt-risico AI valt onder specifieke transparantieverplichtingen: gebruikers moeten weten dat zij met een AI-systeem communiceren. Minimaal-risico AI heeft vrijwel geen verplichtingen vanuit de AI Act. Het onderscheid zit hem in de mate waarin het systeem interactie heeft met mensen en daarmee hun perceptie of beslissingen kan beïnvloeden.
Tot de beperkt-risico categorie behoren onder meer chatbots, deepfakes en AI-gegenereerde content. Als jouw organisatie een chatbot inzet voor klantenservice, moet de gebruiker altijd weten dat hij niet met een mens praat. Ditzelfde geldt voor synthetisch gegenereerde audio, video of tekst die bedoeld is om echte personen of gebeurtenissen na te bootsen.
Minimaal-risico AI omvat het leeuwendeel van alle AI-toepassingen die vandaag de dag in gebruik zijn: spamfilters, AI in videogames, aanbevelingssystemen voor content, en eenvoudige automatiseringstools. Voor deze categorie geldt geen wettelijke verplichting, al moedigt de AI Act aanbieders aan om vrijwillig gedragscodes te volgen.
Het praktische verschil voor jouw organisatie is dus groot. Gebruik je alleen minimaal-risico AI? Dan zijn de nalevingsverplichtingen minimaal. Zet je een chatbot in die zichzelf als mens zou kunnen voordoen? Dan geldt er een transparantieverplichting. En zodra je AI inzet voor personeelsbeoordeling of kredietbeslissingen, stap je al snel in de hoog-risico categorie.
Wanneer treedt de risicoclassificatie van de AI Act in werking?
De risicoclassificatie treedt gefaseerd in werking. De verboden voor onaanvaardbare risico’s (Artikel 5) gelden al vanaf 2 februari 2025. De verplichtingen voor hoog-risico systemen uit Bijlage III worden van kracht per 2 augustus 2026. Systemen die als veiligheidscomponent in gereguleerde producten worden gebruikt (Bijlage I) volgen pas op 2 augustus 2027.
De volledige inwerkingtreding verloopt als volgt:
- 2 februari 2025: verboden van Artikel 5 en de verplichting tot AI-geletterdheid (Artikel 4)
- 2 augustus 2025: verplichtingen voor GPAI-modellen, governancestructuur en boetebepalingen
- 2 augustus 2026: de meeste verplichtingen voor hoog-risico Bijlage III-systemen
- 2 augustus 2027: verplichtingen voor hoog-risico AI als veiligheidscomponent (Bijlage I) en conformiteitsdeadline voor GPAI-modellen die vóór augustus 2025 al op de markt waren
Voor 2026 betekent dit concreet dat organisaties die hoog-risico Bijlage III-systemen aanbieden of gebruiken, nu al bezig moeten zijn met hun conformiteitsvoorbereiding. De deadline staat voor de deur, en het opzetten van een risicobeheersysteem, het opstellen van technische documentatie en het inrichten van menselijk toezicht kost tijd.
Evaluaties van de verordening zijn voorzien in 2028 en 2029, met een eindrapportage over handhaving in 2031. De AI Act is dus geen statisch document, maar een levend kader dat meegroeit met de technologische ontwikkelingen.
Hoe Pegamento je helpt bij AI-compliance en verantwoorde inzet van AI
De AI Act stelt concrete eisen aan hoe je AI ontwikkelt, inzet en beheert. Dat vraagt om een partner die niet alleen technisch sterk is, maar ook begrijpt wat verantwoorde AI in de praktijk betekent. Bij Pegamento combineren we diepgaande AI-expertise met een heldere focus op ethische, mensgerichte technologie.
Wat wij voor je kunnen betekenen:
- Risicoclassificatie in kaart brengen: we helpen je bepalen in welke categorie jouw AI-toepassingen vallen en welke verplichtingen daaruit voortvloeien
- Verantwoorde implementatie van Agentic AI: onze Agentic AI-oplossingen voor customer service zijn ontworpen met menselijk toezicht als uitgangspunt, zodat je voldoet aan de transparantie- en toezichtseisen van de AI Act
- Alles onder één dak: van advies en ontwikkeling tot implementatie, beheer en ondersteuning, zonder complexe leveranciersstructuren
- Oplossingen op maat met standaard bouwblokken: geen kostbaar maatwerk, maar een slimme combinatie van bewezen modules die aansluiten op jouw situatie en sector
- Gecertificeerde kwaliteit: Pegamento is ISO 27001 gecertificeerd (informatiebeveiliging), aangevuld met ISO 9001 en ISO 26000, zodat je weet dat informatiebeveiliging en kwaliteit structureel geborgd zijn
Wil je weten hoe jouw organisatie er nu voor staat op het gebied van AI-compliance, of ben je benieuwd hoe je AI verantwoord kunt inzetten binnen de kaders van de AI Act? Neem contact op en we denken graag met je mee.
Veelgestelde vragen
Wat moet ik doen als mijn AI-systeem op de grens ligt tussen twee risicocategorieën?
Als het niet direct duidelijk is in welke categorie jouw systeem valt, is een gedocumenteerde risicobeoordeling de aangewezen route. Breng daarin de beoogde toepassing, de doelgroep, de sector en de potentiële impact op grondrechten in kaart. Bij twijfel is het verstandig om uit te gaan van de hogere risicocategorie en juridisch of technisch advies in te winnen, zodat je niet achteraf geconfronteerd wordt met non-compliance.
Geldt de AI Act ook voor AI-systemen die wij als organisatie inkopen bij een externe leverancier?
Ja, ook als deployer — de partij die een AI-systeem van een andere aanbieder inzet — heb je verplichtingen onder de AI Act. Je bent verantwoordelijk voor menselijk toezicht, het gebruik conform de instructies van de aanbieder, en het melden van ernstige incidenten. Het is daarom essentieel om bij inkoop van AI-systemen contractueel vast te leggen welke partij welke verplichtingen draagt en welke documentatie de aanbieder moet aanleveren.
Hoe vaak moet ik de risicocategorie van mijn AI-systeem opnieuw beoordelen?
De classificatie is geen eenmalige exercitie. Wanneer je het systeem significant aanpast, het in een nieuwe context inzet, of de doelgroep verandert, kan de risicocategorie wijzigen. Voor hoog-risico systemen schrijft de AI Act bovendien een doorlopend risicobeheersysteem voor, wat betekent dat monitoring en herbeoordeling structureel onderdeel moeten zijn van je AI-governance.
Wat zijn de meest gemaakte fouten bij het voorbereiden op AI Act-compliance?
Een veelgemaakte fout is dat organisaties te laat beginnen en de complexiteit van de vereiste documentatie en processen onderschatten — met name het opzetten van een risicobeheersysteem en het borgen van menselijk toezicht kost meer tijd dan verwacht. Daarnaast overschatten veel organisaties de reikwijdte van de uitzondering voor niet-significante impact: beargumenteren dat een Bijlage III-systeem toch niet hoog-risico is, vereist een gedegen en gedocumenteerde onderbouwing, geen aanname.
Moeten wij als kleine of middelgrote onderneming ook volledig voldoen aan de AI Act?
Ja, de AI Act maakt in principe geen onderscheid op basis van bedrijfsomvang als het gaat om de toepasselijkheid van de regels. Wel zijn er lichtere procedures beschikbaar voor kleine aanbieders bij de conformiteitsbeoordeling, en houden toezichthouders bij het opleggen van boetes rekening met de omvang van de organisatie. Toch is het voor mkb-organisaties verstandig om tijdig te beginnen, juist omdat de capaciteit om snel bij te sturen vaak beperkter is.
Hoe verhoudt de AI Act zich tot de AVG als mijn AI-systeem persoonsgegevens verwerkt?
De AI Act en de AVG vullen elkaar aan en zijn beide van toepassing als jouw AI-systeem persoonsgegevens verwerkt. Waar de AVG zich richt op de rechtmatigheid en bescherming van gegevensverwerking, stelt de AI Act eisen aan het systeem zelf — zoals gegevenskwaliteit, transparantie en menselijk toezicht. Praktisch betekent dit dat je voor hoog-risico AI-systemen zowel een gegevensbeschermingseffectbeoordeling (DPIA) onder de AVG als een conformiteitsbeoordeling onder de AI Act moet uitvoeren.
Hoe begin ik concreet met het in kaart brengen van de AI-toepassingen binnen mijn organisatie?
Een goede eerste stap is een AI-inventarisatie: breng alle systemen en tools in kaart die AI gebruiken of AI-componenten bevatten, inclusief ingekochte software en cloudoplossingen van derden. Beoordeel vervolgens per toepassing de beoogde functie, de sector, en de impact op mensen. Op basis daarvan kun je een voorlopige classificatie maken en bepalen welke systemen prioriteit verdienen voor verdere compliance-voorbereiding. Externe begeleiding bij deze stap helpt om blinde vlekken te voorkomen en de beoordeling juridisch solide te maken.


