De meeste AI-toepassingen in het contactcenter vallen onder de categorie beperkt risico of minimaal risico volgens de EU AI Act. Toepassingen die echter besluiten nemen over toegang tot essentiële diensten of waarbij profilering van personen plaatsvindt, worden als hoog-risico aangemerkt en vereisen strikte naleving. In dit artikel beantwoorden we de meest gestelde vragen over AI-gedreven contactcentertechnologie en de AI Act, zodat je weet waar je organisatie aan toe is.
Welke risicocategorie valt contactcenter-AI onder de AI Act?
Contactcenter-AI valt doorgaans onder de categorie beperkt risico of minimaal risico, maar kan in specifieke gevallen als hoog-risico worden geclassificeerd. De risicocategorie hangt af van wat het systeem doet, niet van de technologie op zich. De AI Act kent vier niveaus: verboden toepassingen, hoog-risico AI, beperkt risico en minimaal risico.
De meeste chatbots, gesprekssamenvattingen en routeringssystemen die dagelijks in contactcenters worden ingezet, vallen onder beperkt of minimaal risico. Dat betekent niet dat er geen verplichtingen zijn, maar de eisen zijn aanzienlijk lichter dan bij hoog-risico toepassingen.
Hoog-risico wordt het pas wanneer je AI inzet voor beslissingen die directe gevolgen hebben voor mensen in kwetsbare situaties, zoals het beoordelen van kredietwaardigheid, het afhandelen van noodoproepen of het profileren van personen. Dat zijn situaties die in sommige contactcenters wel degelijk voorkomen, bijvoorbeeld bij verzekeraars, nutsbedrijven of overheidsdiensten.
Welke AI-toepassingen in het contactcenter worden als hoog-risico aangemerkt?
Een contactcenter-AI-toepassing is hoog-risico wanneer zij valt onder een van de acht domeinen van Annex III van de AI Act. Voor contactcenters zijn drie domeinen het meest relevant: toegang tot essentiële diensten, werkgelegenheid en personeelsbeheer, en biometrie. Systemen die profilering van natuurlijke personen uitvoeren, zijn altijd hoog-risico, zonder uitzondering.
Concreet betekent dit dat de volgende toepassingen als hoog-risico kunnen worden aangemerkt:
- AI die kredietwaardigheid of verzekeringsrisico beoordeelt op basis van klantgesprekken of gedragspatronen
- AI die noodoproepen prioriteert of afhandelt, waarbij vertragingen directe schade kunnen veroorzaken
- Biometrische identificatiesystemen die stemherkenning gebruiken om personen te identificeren of te categoriseren
- AI die medewerkers beoordeelt of monitort voor personeelsbeslissingen, zoals prestatiebeoordeling of ontslag
- Systemen die personen profileren op basis van gedrag, communicatiestijl of andere persoonskenmerken
Belangrijk is het onderscheid tussen een systeem dat informatie ondersteunt en een systeem dat daadwerkelijk beslist. Een AI die een medewerker adviseert over de beste oplossing voor een klant, is anders dan een AI die zelfstandig bepaalt of een klant recht heeft op een vergoeding. Het eerste kan buiten de hoog-risico-categorie vallen; het tweede vrijwel zeker niet.
Verboden zijn bovendien emotieherkenningssystemen op de werkvloer, tenzij er een medische of veiligheidsuitzondering van toepassing is. Een AI die de emotionele toestand van medewerkers of klanten analyseert om prestaties te beoordelen, is dus simpelweg niet toegestaan.
Welke AI-toepassingen vallen onder beperkt of minimaal risico?
De meeste gangbare contactcenter-AI-toepassingen vallen onder beperkt of minimaal risico. Beperkt risico brengt lichte transparantieverplichtingen met zich mee; minimaal risico kent vrijwel geen wettelijke verplichtingen. Het onderscheid zit in de mate van interactie met mensen en de mogelijke impact op hun beslissingen.
Toepassingen met beperkt risico zijn onder meer:
- Chatbots en virtuele assistenten die klanten te woord staan. Hiervoor geldt de verplichting dat gebruikers weten dat ze met een AI-systeem communiceren.
- AI-gegenereerde samenvattingen van gesprekken die aan klanten of medewerkers worden getoond
- Sentimentanalyse die wordt gebruikt voor rapportage, maar niet voor individuele beslissingen over personen
Toepassingen met minimaal of geen risico omvatten:
- Automatische gespreksroutering op basis van trefwoorden of keuzemenu’s
- AI-ondersteunde kennisbanken die medewerkers helpen sneller antwoorden te vinden
- Kwaliteitsmonitoring van gesprekken voor interne trainingen, mits er geen profilering plaatsvindt
- Voorspellende analyses voor personeelsplanning op geaggregeerd niveau
De transparantieverplichting bij beperkt risico is praktisch: klanten moeten weten dat ze met een AI praten. Dat is voor de meeste contactcenters eenvoudig in te richten, maar het is wel een wettelijke eis die niet over het hoofd gezien mag worden.
Welke verplichtingen gelden er voor hoog-risico AI in het contactcenter?
Voor hoog-risico AI in het contactcenter gelden uitgebreide verplichtingen die afhangen van de rol die je vervult: aanbieder (provider) of gebruiker (deployer). Aanbieders dragen de zwaarste last; deployers hebben minder verplichtingen, maar zijn zeker niet vrijgesteld.
Verplichtingen voor aanbieders van hoog-risico AI
Als je als organisatie een hoog-risico AI-systeem ontwikkelt of op de markt brengt, gelden onder meer de volgende eisen:
- Een continu risicomanagementsysteem gedurende de gehele levenscyclus van het systeem
- Technische documentatie conform Annex IV van de AI Act
- Automatische logging van gebeurtenissen, zodat het systeem achteraf te controleren is
- Een ontwerp dat effectief menselijk toezicht mogelijk maakt, inclusief bewustzijn van automatiseringsbias
- Een kwaliteitsmanagementsysteem, een conformiteitsbeoordeling en CE-markering
- Registratie in de EU-databank
Verplichtingen voor deployers van hoog-risico AI
Als je een hoog-risico AI-systeem van een externe aanbieder inzet in je contactcenter, ben je deployer. Jouw verplichtingen zijn beperkter, maar niet te verwaarlozen:
- Het systeem uitsluitend gebruiken conform de gebruiksaanwijzing van de aanbieder
- Menselijk toezicht toewijzen aan bekwame en getrainde personen
- Logs minimaal zes maanden bewaren
- Medewerkers informeren voordat het systeem in gebruik wordt genomen (Artikel 26(7))
- Waar van toepassing een gegevensbeschermingseffectbeoordeling (DPIA) uitvoeren
Klanten of medewerkers die aan een beslissing van een hoog-risico systeem zijn onderworpen, hebben bovendien het recht om op grond van Artikel 86 een uitleg te vragen over de bepalende factoren van die beslissing. Dat betekent dat je als contactcenter in staat moet zijn die uitleg te geven.
Wat moeten contactcenters nu concreet doen om AI Act-compliant te worden?
Contactcenters moeten in 2026 actief aan de slag met AI Act-compliance, ook al zijn niet alle verplichtingen al van kracht. De meest urgente stap is het inventariseren welke AI-systemen je inzet en in welke risicocategorie ze vallen. Zonder dat overzicht is gerichte actie onmogelijk.
Een praktische aanpak ziet er als volgt uit:
- Breng alle AI-toepassingen in kaart. Welke systemen gebruik je, wat doen ze precies, en wie heeft ze ontwikkeld? Maak onderscheid tussen systemen die je zelf bouwt en systemen die je van een leverancier afneemt.
- Classificeer elk systeem. Valt het onder minimaal, beperkt of hoog risico? Gebruik de criteria van Annex III als leidraad, met extra aandacht voor profilering en beslissingen over essentiële diensten.
- Controleer transparantieverplichtingen. Weten klanten dat ze met een AI-systeem communiceren? Zo niet, pas dan je scripts en interfaces aan.
- Stel menselijk toezicht in. Zorg dat er altijd een getrainde medewerker verantwoordelijk is voor het toezicht op hoog-risico toepassingen.
- Informeer medewerkers. Artikel 26(7) verplicht je medewerkers te informeren voordat hoog-risico AI in gebruik wordt genomen. Doe dit proactief en documenteer het.
- Bewaar logs. Voor hoog-risico toepassingen geldt een bewaartermijn van minimaal zes maanden.
- Werk samen met je leveranciers. Als deployer ben je afhankelijk van de documentatie en gebruiksaanwijzingen van je aanbieders. Vraag actief om de benodigde informatie en conformiteitsverklaringen.
De meeste verplichtingen voor hoog-risico Annex III-systemen gaan in per 2 augustus 2026. De verboden praktijken en de AI-geletterdheidsplicht zijn echter al van kracht sinds februari 2025. Wacht dus niet tot de deadline, maar begin nu met de inventarisatie.
Hoe Pegamento helpt met AI Act-compliance in het contactcenter
Navigeren door de AI Act is complex, zeker als je meerdere AI-toepassingen combineert in je contactcenteromgeving. Wij helpen organisaties bij het inrichten van AI-toepassingen die niet alleen effectief zijn, maar ook voldoen aan de geldende regelgeving. Onze aanpak is gebouwd op slimme combinaties van bewezen modules, zonder kostbare maatwerktrajecten, en alles onder één dak.
Wat wij concreet bieden voor contactcenters die AI Act-compliant willen werken:
- Transparante AI-communicatie: onze systemen zijn standaard ingericht om klanten te informeren dat ze met een AI-systeem communiceren
- Menselijk toezicht als uitgangspunt: onze Agentic AI-assistenten, de evolutie van traditionele RPA naar zelfdenkende assistenten die zelfstandig initiatief nemen, zijn ontworpen om menselijke medewerkers te ondersteunen en niet te vervangen
- Gecertificeerde beveiliging: wij zijn ISO 27001 gecertificeerd (informatiebeveiliging), aangevuld met ISO 9001 en ISO 26000, wat aansluit op de beveiligings- en documentatie-eisen van de AI Act
- Eén aanspreekpunt: van implementatie tot beheer en compliance-ondersteuning, je hoeft niet te schakelen tussen meerdere leveranciers
- Logging en rapportage: onze oplossingen bieden de bewaarmogelijkheden en rapportagestructuren die deployers nodig hebben voor hoog-risico toepassingen
Wil je weten hoe jouw huidige contactcenter-AI-toepassingen zich verhouden tot de AI Act? Neem contact op en we denken graag met je mee over een compliant en toekomstbestendige inrichting.
Veelgestelde vragen
Wat gebeurt er als mijn contactcenter niet voldoet aan de AI Act?
Bij niet-naleving van de AI Act kunnen toezichthouders boetes opleggen die oplopen tot 35 miljoen euro of 7% van de wereldwijde jaaromzet, afhankelijk van de ernst van de overtreding. Voor deployers die hoog-risico systemen onjuist inzetten, gelden lagere maar nog steeds aanzienlijke sancties. Naast financiële gevolgen loop je ook reputatierisico's, zeker als er sprake is van schendingen die klanten of medewerkers direct raken. Het is dus niet alleen een juridische kwestie, maar ook een bedrijfsrisico dat serieus genomen moet worden.
Geldt de AI Act ook voor kleine contactcenters of alleen voor grote organisaties?
De AI Act geldt in principe voor alle organisaties die AI-systemen inzetten of aanbieden binnen de EU, ongeacht hun omvang. Voor micro-ondernemingen en kleine bedrijven gelden wel enkele verlichte verplichtingen, met name aan de aanbiederskant. Als deployer — dus als je AI-systemen van een externe leverancier inzet — blijven de kernverplichtingen zoals transparantie, menselijk toezicht en logbeheer echter ook voor kleinere contactcenters van toepassing. De omvang van je organisatie bepaalt dus niet óf je moet voldoen, maar kan wel invloed hebben op de manier waarop bepaalde verplichtingen worden ingevuld.
Hoe weet ik of mijn AI-leverancier de juiste documentatie aanlevert voor compliance?
Vraag je leverancier expliciet om de technische documentatie conform Annex IV van de AI Act, de gebruiksaanwijzing (instructions for use) en, voor hoog-risico systemen, de EU-conformiteitsverklaring en bewijs van registratie in de EU-databank. Een betrouwbare aanbieder van hoog-risico AI kan deze documenten op verzoek overleggen. Als je leverancier deze informatie niet kan of wil verstrekken, is dat een serieus signaal dat je compliance als deployer in gevaar komt. Leg afspraken over documentatie en updates altijd contractueel vast.
Mijn contactcenter gebruikt sentimentanalyse op gesprekken. Is dat toegestaan onder de AI Act?
Sentimentanalyse is toegestaan, maar de toelaatbaarheid hangt sterk af van het doel waarvoor je het inzet. Gebruik je het uitsluitend voor geaggregeerde rapportage en kwaliteitsverbetering, dan valt het doorgaans onder beperkt of minimaal risico. Zodra de sentimentanalyse echter wordt gebruikt om individuele medewerkers of klanten te beoordelen, te profileren of om beslissingen over hen te nemen, kan het als hoog-risico worden aangemerkt of zelfs verboden zijn. Emotieherkenning op de werkvloer ter beoordeling van medewerkers is sowieso verboden onder de AI Act, dus zorg dat je het onderscheid goed documenteert en borgt.
Wat is de AI-geletterdheidsplicht en wat betekent dat praktisch voor mijn contactcentermedewerkers?
De AI-geletterdheidsplicht (Artikel 4 van de AI Act) is al van kracht sinds februari 2025 en verplicht organisaties om ervoor te zorgen dat medewerkers die met AI-systemen werken, voldoende kennis en begrip hebben van die systemen. In de praktijk betekent dit dat je contactcentermedewerkers getraind moeten worden in wat de AI-tools doen, wat hun beperkingen zijn en wanneer menselijk oordeel noodzakelijk is. Dit hoeft geen uitgebreide technische opleiding te zijn, maar een gerichte training die aansluit bij de rol van de medewerker is wel verplicht en moet worden gedocumenteerd.
Kunnen klanten bezwaar maken tegen een beslissing die door een AI-systeem in mijn contactcenter is genomen?
Ja, op grond van Artikel 86 van de AI Act hebben personen die zijn onderworpen aan een beslissing van een hoog-risico AI-systeem het recht om een betekenisvolle uitleg te vragen over de bepalende factoren van die beslissing. Als contactcenter moet je dus in staat zijn om op begrijpelijke wijze uit te leggen waarom een AI-systeem tot een bepaalde uitkomst is gekomen, zoals een afwijzing of prioritering. Dit vereist dat je systemen voldoende transparant en herleidbaar zijn ingericht. Combineer dit met een duidelijk intern escalatieproces zodat medewerkers weten hoe ze met dergelijke verzoeken omgaan.
Wat is het verschil tussen een aanbieder en een deployer, en welke rol heeft mijn contactcenter?
Een aanbieder (provider) is de partij die een AI-systeem ontwikkelt en op de markt brengt; een deployer is de organisatie die dat systeem in de eigen bedrijfsvoering inzet. De meeste contactcenters zijn deployer: ze kopen of licenseren AI-oplossingen van technologieleveranciers en zetten die in voor klantcontact. Als deployer ben je niet verantwoordelijk voor de ontwikkeling en certificering van het systeem, maar wel voor correct gebruik, menselijk toezicht, logbeheer en het informeren van medewerkers. In uitzonderlijke gevallen, bijvoorbeeld als je zelf AI-functionaliteit aanpast of intern ontwikkelt, kan je contactcenter ook als aanbieder worden aangemerkt, met aanzienlijk zwaardere verplichtingen als gevolg.


