Voor hoog-risico AI-systemen gelden onder de Europese AI-wet (AI Act) uitgebreide verplichtingen op het gebied van technische documentatie, risicobeheer, transparantie, menselijk toezicht en conformiteitsbeoordeling. Deze eisen zijn van toepassing op zowel aanbieders als organisaties die dergelijke systemen inzetten. Op AI-gedreven intelligentie lees je hoe organisaties verantwoord met AI aan de slag kunnen. In dit artikel beantwoorden we de meest gestelde vragen over wat hoog-risico AI precies inhoudt en welke verplichtingen daarbij komen kijken.
Welke AI-systemen vallen precies onder de hoog-risico categorie?
Hoog-risico AI-systemen zijn systemen die worden ingezet in contexten waar de uitkomsten significante gevolgen kunnen hebben voor de gezondheid, veiligheid of grondrechten van mensen. De AI Act definieert twee hoofdcategorieën: systemen die worden gebruikt als veiligheidscomponent in producten die al onder bestaande EU-wetgeving vallen, en systemen die worden ingezet in specifieke, bij wet aangewezen toepassingsgebieden.
De aangewezen hoog-risico toepassingsgebieden omvatten onder andere:
- Kritieke infrastructuur zoals energie, water en transport
- Onderwijs en beroepsopleiding, bijvoorbeeld systemen die bepalen wie wordt toegelaten tot een opleiding
- Werkgelegenheid en personeelsbeheer, zoals geautomatiseerde sollicitatiescreening
- Toegang tot essentiële diensten zoals kredietverlening, sociale uitkeringen en zorgverzekeringen
- Rechtshandhaving en grenscontrole
- Rechtsbedeling en democratische processen
- Biometrische identificatie en categorisering van personen
Belangrijk is dat niet elk AI-systeem dat in een van deze sectoren wordt gebruikt automatisch als hoog-risico wordt aangemerkt. Het gaat er specifiek om of het systeem een beslissende rol speelt in processen die directe gevolgen hebben voor mensen. Een eenvoudig planningssysteem in de zorg valt doorgaans buiten de hoog-risico categorie; een systeem dat medische diagnoses stelt of patiëntopnames beoordeelt, valt er wel onder.
Welke technische eisen gelden voor hoog-risico AI-systemen?
Hoog-risico AI-systemen moeten voldoen aan een reeks technische eisen die zijn gericht op betrouwbaarheid, veiligheid en controleerbaarheid. De kern van deze eisen draait om robuustheid, nauwkeurigheid en het minimaliseren van risico’s gedurende de volledige levenscyclus van het systeem.
De voornaamste technische verplichtingen zijn:
- Risicobeheerssysteem: Een doorlopend proces dat risico’s identificeert, evalueert en beheerst gedurende de gehele levensduur van het systeem.
- Datakwaliteit: Trainings-, validatie- en testdata moeten relevant, representatief en vrij van fouten zijn. Bias in data moet actief worden beperkt.
- Robuustheid en nauwkeurigheid: Het systeem moet consistent en betrouwbaar presteren, ook bij onverwachte invoer of cyberaanvallen.
- Cyberveiligheid: Technische maatregelen om het systeem te beschermen tegen manipulatie en misbruik.
- Logging en registratie: Automatische vastlegging van gebeurtenissen gedurende de levenscyclus, zodat achteraf kan worden nagegaan hoe het systeem heeft gefunctioneerd.
- Menselijk toezicht: Het systeem moet zo zijn ontworpen dat mensen het effectief kunnen monitoren, begrijpen en indien nodig kunnen stopzetten of corrigeren.
Deze technische eisen zijn niet eenmalig van toepassing bij de lancering van het systeem. Ze gelden gedurende de volledige operationele levensduur en vereisen periodieke evaluatie en bijsturing.
Wat moet er in de technische documentatie van een hoog-risico AI-systeem staan?
De technische documentatie van een hoog-risico AI-systeem moet aantonen dat het systeem voldoet aan alle toepasselijke eisen van de AI Act. Deze documentatie wordt opgesteld door de aanbieder voordat het systeem op de markt wordt gebracht en moet gedurende ten minste tien jaar worden bewaard.
De documentatie bevat minimaal:
- Een algemene beschrijving van het systeem, inclusief het beoogde doel en de gebruikte technologie
- Een gedetailleerde beschrijving van de architectuur en de logica van het systeem
- Informatie over trainingsdata, validatiemethoden en testresultaten
- Een beschrijving van het risicobeheerssysteem en de genomen beheersmaatregelen
- De prestatiemetrieken, inclusief nauwkeurigheidsdrempels en bekende beperkingen
- Maatregelen voor menselijk toezicht en de wijze waarop gebruikers het systeem kunnen controleren
- Een beschrijving van de cyberveiligheidsmaatregelen
- De conformiteitsverklaring en, waar van toepassing, de CE-markering
Naast de technische documentatie moeten aanbieders ook gebruikersinstructies opstellen. Deze zijn bedoeld voor de organisaties die het systeem inzetten en bevatten praktische informatie over correcte ingebruikname, monitoring en het herkennen van risico’s.
Hoe werkt de conformiteitsbeoordeling voor hoog-risico AI-systemen?
Een conformiteitsbeoordeling is het proces waarmee een aanbieder aantoont dat een hoog-risico AI-systeem voldoet aan de eisen van de AI Act. Voor de meeste hoog-risico systemen kan de aanbieder deze beoordeling zelf uitvoeren via een interne procedure. Voor specifieke categorieën, zoals biometrische identificatiesystemen, is tussenkomst van een aangemelde instantie verplicht.
Zelfbeoordeling versus externe beoordeling
Bij zelfbeoordeling doorloopt de aanbieder een gestructureerde interne procedure aan de hand van de geharmoniseerde normen die zijn gepubliceerd ter ondersteuning van de AI Act. De aanbieder stelt de technische documentatie op, voert het risicobeheerssysteem uit en legt de resultaten vast. Na succesvolle afronding wordt een conformiteitsverklaring opgesteld en, voor zover van toepassing, een CE-markering aangebracht.
Registratie in de EU-database
Hoog-risico AI-systemen moeten vóór marktintroductie worden geregistreerd in een centrale EU-database. Deze database is publiek toegankelijk en bevordert transparantie en toezicht. De registratie bevat kerngegevens over het systeem, de aanbieder en het beoogde gebruik. Aanbieders buiten de EU zijn verplicht een gemachtigde vertegenwoordiger binnen de EU aan te wijzen die namens hen aan deze verplichtingen voldoet.
Wat zijn de verplichtingen voor organisaties die hoog-risico AI inzetten?
Organisaties die hoog-risico AI-systemen inzetten, de zogeheten deployers, hebben onder de AI Act eigen verplichtingen. Ze zijn niet verantwoordelijk voor de technische ontwikkeling, maar wel voor een verantwoord gebruik in de praktijk.
De voornaamste verplichtingen voor organisaties die hoog-risico AI inzetten zijn:
- Gebruiksinstructies naleven: Het systeem mag alleen worden gebruikt op de wijze die de aanbieder heeft voorgeschreven.
- Menselijk toezicht organiseren: Er moeten concrete maatregelen zijn om menselijk toezicht te waarborgen, inclusief de aanwijzing van verantwoordelijke medewerkers.
- Fundamentele rechtenimpactbeoordeling: Overheden en bepaalde andere organisaties moeten vooraf beoordelen wat de mogelijke impact is op de grondrechten van betrokkenen.
- Logging bewaren: Automatisch gegenereerde logbestanden moeten worden bewaard voor de periode die de aanbieder aangeeft, en minimaal zes maanden.
- Incidenten melden: Ernstige incidenten of storingen met mogelijk gevaarlijke gevolgen moeten worden gemeld bij de bevoegde nationale autoriteit.
- Transparantie naar betrokkenen: Wanneer het systeem wordt gebruikt bij beslissingen over individuen, moeten die individuen hiervan op de hoogte worden gesteld.
Let op: een organisatie die een hoog-risico AI-systeem aanpast, er haar eigen naam op zet, of het systeem inzet voor een doel waarvoor het niet was bedoeld, wordt juridisch gezien zelf aanbieder. In dat geval gelden alle verplichtingen die ook voor de oorspronkelijke aanbieder gelden.
Wat zijn de gevolgen als niet aan de hoog-risico AI-verplichtingen wordt voldaan?
Non-conformiteit met de verplichtingen voor hoog-risico AI-systemen kan leiden tot aanzienlijke boetes. De AI Act kent een gelaagde boetestructuur die in werking is getreden per 2 augustus 2025, waarbij de hoogte afhankelijk is van de aard van de overtreding.
De drie boetetreden zijn:
- Verboden AI-praktijken (Artikel 5): Maximaal 35 miljoen euro of 7% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.
- Overige non-conformiteit, inclusief hoog-risico verplichtingen: Maximaal 15 miljoen euro of 3% van de wereldwijde jaaromzet.
- Onjuiste of misleidende informatie aan toezichthouders: Maximaal 7,5 miljoen euro of 1% van de wereldwijde jaaromzet.
Voor kleine en middelgrote ondernemingen geldt telkens het laagste van het vaste bedrag of het percentage, wat enige bescherming biedt. Toezicht op hoog-risico AI berust bij nationale markttoezichtautoriteiten. Finland was in januari 2026 de eerste lidstaat die handhavingsbevoegdheden krachtens de AI Act aan zijn nationale autoriteit toekende. Verwacht wordt dat andere lidstaten snel volgen, waardoor de handhaving in de loop van 2026 verder wordt aangescherpt.
Naast financiële sancties kunnen autoriteiten ook eisen dat een systeem van de markt wordt gehaald of dat het gebruik ervan wordt opgeschort totdat de non-conformiteit is hersteld. De reputatieschade die gepaard gaat met publieke handhavingsmaatregelen kan voor veel organisaties even ingrijpend zijn als de boetes zelf.
Hoe Pegamento helpt met hoog-risico AI compliance
Navigeren door de verplichtingen rondom hoog-risico AI vraagt om technische kennis, juridisch inzicht en praktische implementatie-ervaring. Wij helpen organisaties om AI verantwoord en compliant in te zetten, zonder dat dit ten koste gaat van snelheid of innovatiekracht.
Wat wij voor je kunnen betekenen:
- Inventarisatie en risicoklassificatie: We brengen in kaart welke AI-toepassingen binnen jouw organisatie onder de hoog-risico categorie vallen en welke verplichtingen daaruit voortvloeien.
- Agentic AI binnen compliance-kaders: Onze Agentic AI voor customer service is ontworpen met menselijk toezicht als uitgangspunt. Waar traditionele RPA bots uitvoerden op basis van vaste instructies, nemen onze zelfdenkende Agentic AI-assistenten zelfstandig initiatief en handelen ze proactief, maar altijd binnen de kaders die jij instelt.
- Technische documentatie en risicobeheer: We ondersteunen bij het opstellen van de vereiste documentatie en het inrichten van een doorlopend risicobeheerssysteem.
- Alles onder één dak: Van advies en implementatie tot beheer en ondersteuning, je hebt één aanspreekpunt voor het volledige traject, zonder complexe leverancierscoördinatie.
- Gecertificeerde werkwijze: Onze aanpak is gebaseerd op ISO 27001 (informatiebeveiliging), ISO 9001 (kwaliteitsmanagement) en ISO 26000 (maatschappelijk verantwoord ondernemen), wat aansluit bij de compliance-eisen van de AI Act.
Wil je weten hoe jouw organisatie er nu voor staat en welke stappen nodig zijn om compliant te worden? Neem contact op en we kijken samen naar de beste aanpak voor jouw situatie.
Veelgestelde vragen
Hoe weet ik of mijn bestaande AI-systeem als hoog-risico wordt geclassificeerd onder de AI Act?
Begin met een grondige inventarisatie van alle AI-toepassingen binnen je organisatie en toets ze aan de toepassingsgebieden die de AI Act aanwijst als hoog-risico. Kijk daarbij niet alleen naar de sector, maar specifiek naar de rol die het systeem speelt: heeft het een directe invloed op beslissingen die mensen raken op het gebied van werk, zorg, krediet of veiligheid? Als je twijfelt, is het verstandig om juridisch of technisch advies in te winnen, want een verkeerde classificatie kan leiden tot non-conformiteit en bijbehorende boetes.
Wat is het verschil tussen een aanbieder en een deployer, en waarom is dat onderscheid zo belangrijk?
Een aanbieder is de partij die een hoog-risico AI-systeem ontwikkelt en op de markt brengt; een deployer is de organisatie die het systeem in de praktijk inzet. Het onderscheid is cruciaal omdat beide partijen eigen, niet-overdraagbare verplichtingen hebben onder de AI Act. Bijzonder aandachtspunt: zodra een deployer het systeem aanpast, er zijn eigen naam op zet of het buiten het beoogde doel gebruikt, wordt die partij juridisch gezien zelf aanbieder en gelden alle bijbehorende verplichtingen volledig.
Hoe begin ik met het opzetten van een risicobeheerssysteem voor een hoog-risico AI-toepassing?
Een goed risicobeheerssysteem start met het systematisch identificeren van alle mogelijke risico's gedurende de volledige levenscyclus van het systeem, van ontwikkeling tot buiten gebruik stelling. Vervolgens beoordeel je de kans en impact van elk risico en stel je beheersmaatregelen op, zoals technische beperkingen, gebruikersinstructies en toezichtprocedures. Belangrijk is dat dit geen eenmalige exercitie is: het systeem vereist periodieke herziening, zeker wanneer het model wordt bijgewerkt, de data verandert of het gebruik wordt uitgebreid.
Moet ik als deployer ook iets regelen als mijn medewerkers het AI-systeem dagelijks gebruiken?
Ja, menselijk toezicht is een van de kernverplichtingen voor deployers en gaat verder dan alleen een technische instelling. Je moet concreet vastleggen wie binnen de organisatie verantwoordelijk is voor het monitoren van het systeem, hoe medewerkers worden getraind om de output kritisch te beoordelen, en hoe zij het systeem kunnen stopzetten of corrigeren als dat nodig is. Zorg er ook voor dat medewerkers begrijpen wat het systeem wel en niet kan, zodat ze niet blind varen op de uitkomsten.
Wat is een fundamentele rechtenimpactbeoordeling en wanneer is die verplicht?
Een fundamentele rechtenimpactbeoordeling (FRIA) is een voorafgaande analyse van de mogelijke effecten van een hoog-risico AI-systeem op de grondrechten van betrokkenen, zoals het recht op privacy, non-discriminatie en eerlijk proces. Deze beoordeling is verplicht voor overheidsinstanties en voor private organisaties die hoog-risico AI inzetten in publiek toegankelijke diensten, zoals kredietverlening of verzekeringen. De uitkomst moet worden gedocumenteerd en kan aanleiding geven tot aanvullende beheersmaatregelen voordat het systeem in gebruik wordt genomen.
Wat gebeurt er als mijn hoog-risico AI-systeem een ernstig incident veroorzaakt?
Bij een ernstig incident, zoals een systeemstoring met gevaarlijke gevolgen of een significante schending van grondrechten, ben je als deployer verplicht dit te melden bij de bevoegde nationale markttoezichtautoriteit. Doe dit zo snel mogelijk en documenteer het incident gedetailleerd, inclusief de oorzaak, de gevolgen en de genomen herstelmaatregelen. Bewaar ook de automatisch gegenereerde logbestanden, want die zijn essentieel voor het onderzoek en kunnen aantonen dat je systeem en processen correct waren ingericht.
Hoe lang duurt het gemiddeld om een hoog-risico AI-systeem volledig compliant te maken?
De doorlooptijd hangt sterk af van de complexiteit van het systeem, de kwaliteit van de bestaande documentatie en de volwassenheid van de interne processen. Voor organisaties die al werken met frameworks zoals ISO 27001 of ISO 9001 is de stap naar AI Act-compliance aanzienlijk kleiner, omdat veel bouwstenen al aanwezig zijn. In de praktijk varieert een volledig compliancetraject, inclusief risicobeoordeling, documentatie en implementatie van toezichtprocedures, van enkele maanden voor eenvoudigere systemen tot meer dan een jaar voor complexe, grootschalige toepassingen.


