De meeste omnichannel AI-toepassingen in contactcenters vallen onder de categorie beperkt risico of zijn volledig ongereguleerd onder de EU AI Act. Alleen systemen die profilering uitvoeren, besluiten nemen over toegang tot essentiële diensten, of kwetsbare groepen bedienen, worden als hoog risico aangemerkt. In dit artikel lees je precies hoe de risicocategorieën werken, welke AI-toepassingen voor customer service waar landen, en wat jouw organisatie nu al moet regelen.
Wat zijn de risicocategorieën van de AI Act?
De AI Act verdeelt alle AI-systemen in vier risiconiveaus: verboden, hoog risico, beperkt risico en minimaal risico. De meeste AI-toepassingen in het bedrijfsleven vallen in de categorie minimaal risico en zijn daarmee volledig ongereguleerd. Hoe hoger het potentiële risico voor grondrechten of veiligheid, hoe zwaarder de verplichtingen.
De vier niveaus werken als volgt:
- Verboden (onaanvaardbaar risico): Toepassingen die volledig verboden zijn, zoals social scoring door overheden, manipulatieve technieken die buiten iemands bewustzijn gedrag sturen, emotieherkenning op de werkvloer buiten medische of veiligheidsuitzonderingen, en real-time biometrische identificatie in openbare ruimten voor rechtshandhaving. Deze verboden zijn sinds 2 februari 2025 van kracht.
- Hoog risico: Systemen die vallen onder de acht domeinen van Annex III, waaronder biometrie, kritieke infrastructuur, werkgelegenheid, toegang tot essentiële diensten en rechtshandhaving. Voor deze systemen gelden strenge verplichtingen.
- Beperkt risico: Systemen zoals chatbots en AI die synthetische inhoud genereert. Hier gelden lichtere transparantieverplichtingen, zoals de plicht om gebruikers te informeren dat ze met een AI communiceren.
- Minimaal of geen risico: De grote meerderheid van huidige AI-toepassingen, zoals spamfilters of aanbevelingsalgoritmen. Er zijn geen specifieke verplichtingen van toepassing.
Naast deze vier niveaus introduceert de wet een apart regime voor General Purpose AI (GPAI)-modellen, zoals grote taalmodellen. Alle aanbieders van zulke modellen moeten technische documentatie bijhouden en downstream-aanbieders informeren over capaciteiten en beperkingen. Modellen die een bepaalde rekencapaciteitsdrempel overschrijden (meer dan 1025 FLOP aan trainingscompute) worden aangemerkt als modellen met systeemrisico en krijgen aanvullende verplichtingen opgelegd.
Welke omnichannel AI-toepassingen vallen onder ‘beperkt risico’?
Omnichannel AI-toepassingen die direct communiceren met klanten vallen doorgaans onder de categorie beperkt risico. Concreet gaat het om chatbots, virtuele assistenten en AI-gegenereerde content. De voornaamste verplichting is transparantie: gebruikers moeten weten dat ze met een AI-systeem communiceren, tenzij dit in de context vanzelfsprekend is.
Typische voorbeelden uit de omnichannel contactcenteromgeving die onder beperkt risico vallen:
- Chatbots op websites, WhatsApp of andere kanalen die klantvragen beantwoorden
- Virtuele telefoonassistenten die gesprekken openen of routeren
- AI-systemen die automatisch e-mailantwoorden opstellen ter beoordeling door een medewerker
- Sentimentanalyse die medewerkers ondersteunt tijdens een gesprek, zonder zelfstandig beslissingen te nemen
- Agentic AI-assistenten die repeterende taken automatiseren binnen een vooraf gedefinieerd kader
Voor deze toepassingen hoef je geen conformiteitsbeoordeling in te dienen of een risicomanagementsysteem op te zetten. Wel moet je in de gebruikersinterface duidelijk maken dat de klant met een AI-systeem te maken heeft. Dit geldt voor alle kanalen binnen je omnichannel setup, of het nu gaat om chat, telefonie of e-mail.
Wanneer wordt een contactcenter AI-systeem als hoog risico geclassificeerd?
Een contactcenter AI-systeem wordt als hoog risico geclassificeerd wanneer het valt onder één van de acht domeinen van Annex III van de AI Act, of wanneer het profilering van personen uitvoert. Systemen die beslissingen ondersteunen of nemen over toegang tot essentiële diensten, kredietwaardigheid of verzekeringen zijn altijd hoog risico, ongeacht de sector.
Concreet betekent dit voor omnichannel contactcenters dat je extra alert moet zijn bij de volgende situaties:
- Profilering van klanten: Elk systeem dat natuurlijke personen profileert, valt automatisch in de hoog-risico categorie. Dit geldt ook als het primaire doel een andere taak is.
- Toegang tot essentiële diensten: AI die mede bepaalt of een klant toegang krijgt tot noodopvang, sociale uitkeringen of vergelijkbare diensten valt onder hoog risico.
- Krediet- en verzekeringsbeslissingen: Contactcenter AI die input levert voor kredietwaardigheidsbeoordelingen of verzekeringspremies valt eveneens in deze categorie.
- Werkgelegenheid en personeelsbeheer: AI die sollicitanten screent of medewerkers beoordeelt op basis van hun prestaties in het contactcenter is hoog risico.
Een Annex III-systeem kan buiten de hoog-risico-categorie vallen als het uitsluitend een enge procedurele of voorbereidende taak vervult en geen significant risico voor grondrechten vormt. De aanbieder moet dit dan wel onderbouwd documenteren. Systemen die profileren, komen hier nooit voor in aanmerking.
De meeste verplichtingen voor hoog-risico Annex III-systemen gelden vanaf 2 augustus 2026. Dat lijkt ver weg, maar gezien de omvang van de vereiste documentatie en processen is het verstandig om nu al te inventariseren welke systemen in jouw omgeving mogelijk in deze categorie vallen.
Wat zijn de verplichtingen voor aanbieders versus gebruikers van AI?
De AI Act maakt een duidelijk onderscheid tussen aanbieders (de partij die een AI-systeem ontwikkelt en op de markt brengt) en deployers (de organisatie die het systeem onder eigen gezag gebruikt). Aanbieders dragen de zwaarste verplichtingen; deployers hebben minder verplichtingen, maar zijn zeker niet vrij van verantwoordelijkheid.
Verplichtingen voor aanbieders van hoog-risico AI
Als aanbieder van een hoog-risico AI-systeem moet je onder meer:
- Een continu risicomanagementsysteem opzetten en onderhouden gedurende de gehele levenscyclus
- Werken met trainings-, validatie- en testdata die representatief en zo vrij mogelijk van bias zijn
- Technische documentatie opstellen conform Annex IV van de AI Act
- Automatische logging van gebeurtenissen mogelijk maken
- Een ontwerp hanteren dat effectief menselijk toezicht mogelijk maakt
- Een conformiteitsbeoordeling uitvoeren, een EU-conformiteitsverklaring opstellen en het systeem registreren in de EU-databank
Verplichtingen voor deployers (gebruiksverantwoordelijken)
Als deployer, dus als organisatie die een AI-systeem van een externe aanbieder inzet in jouw contactcenter, gelden lichtere maar concrete verplichtingen:
- Het systeem inzetten overeenkomstig de gebruiksaanwijzing van de aanbieder
- Menselijk toezicht toewijzen aan bekwame en getrainde personen
- Logs minimaal zes maanden bewaren
- Medewerkers informeren vóór ingebruikname van het systeem (Artikel 26(7))
- Waar van toepassing een gegevensbeschermingseffectbeoordeling (DPIA) uitvoeren
Let op: als je als organisatie je naam op een systeem zet, een substantiële wijziging aanbrengt, of het beoogde doel zodanig wijzigt dat het systeem hoog risico wordt, word je zelf aanbieder met alle bijbehorende verplichtingen. Dit is een punt dat in de praktijk regelmatig over het hoofd wordt gezien.
Hoe bereid je je organisatie voor op AI Act-naleving?
Voorbereiding op AI Act-naleving begint met een volledige inventarisatie van alle AI-systemen die je organisatie gebruikt of overweegt in te zetten. Vervolgens classificeer je elk systeem op basis van de risicocategorieën, stel je vast of je aanbieder of deployer bent, en richt je de benodigde processen in. Begin ruim vóór de deadlines, want met name hoog-risico systemen vragen om aanzienlijke documentatie en governance.
Een praktische aanpak in stappen:
- Maak een AI-inventaris: Breng alle AI-toepassingen in kaart, inclusief chatbots, routeringssystemen, sentimentanalyse en automatiseringstools over alle kanalen.
- Classificeer elk systeem: Bepaal per toepassing het risiconiveau op basis van de Annex III-domeinen en de vraag of er profilering plaatsvindt.
- Bepaal je rol: Ben je aanbieder of deployer? Dit bepaalt welke verplichtingen op jou rusten.
- Controleer transparantieverplichtingen: Zorg dat klanten weten wanneer ze met AI communiceren, op elk kanaal binnen je omnichannel setup.
- Richt logging en toezicht in: Stel vast wie menselijk toezicht houdt op AI-beslissingen en zorg dat logs minimaal zes maanden bewaard worden.
- Train medewerkers: AI-geletterdheid is verplicht sinds 2 februari 2025. Medewerkers die met AI-systemen werken, moeten begrijpen wat het systeem doet en waar de grenzen liggen.
- Houd de tijdlijn in de gaten: De meeste verplichtingen voor hoog-risico Annex III-systemen gelden vanaf 2 augustus 2026. Voor GPAI-modellen gelden de verplichtingen al vanaf 2 augustus 2025.
De boetestructuur geeft aan hoe serieus de wetgever dit neemt: overtredingen van de verboden praktijken kunnen leiden tot maximaal 35 miljoen euro of 7% van de wereldwijde jaaromzet. Non-conformiteit met overige verplichtingen kan oplopen tot 15 miljoen euro of 3%. Voor kleinere organisaties geldt telkens het laagste bedrag van het percentage of het vaste bedrag, maar ook dat kan aanzienlijk zijn.
Hoe Pegamento helpt met AI Act-naleving in jouw contactcenter
Navigeren door de AI Act terwijl je tegelijkertijd je klantcontact wilt verbeteren, vraagt om een partner die beide werelden begrijpt. Wij bij Pegamento combineren AI-gedreven intelligentie met een aanpak die transparantie en menselijk toezicht centraal stelt. Zo zorg je voor een betere klantbeleving zonder onnodige compliance-risico’s.
Wat wij concreet bieden:
- Omnichannel AI-oplossingen die standaard voldoen aan de transparantieverplichtingen voor beperkt-risico systemen
- Agentic AI-assistenten die repeterende taken overnemen binnen een kader dat menselijk toezicht borgt, wat aansluit op de deployer-verplichtingen van de AI Act
- Alles onder één dak: van implementatie tot beheer en documentatie, zodat je niet met meerdere leveranciers hoeft te schakelen over compliance-vraagstukken
- Oplossingen op maat met standaard bouwblokken, gecertificeerd onder ISO 27001 (informatiebeveiliging), ISO 9001 en ISO 26000, zodat je op een solide basis werkt
- Inzicht in welke systemen in jouw omgeving als hoog risico kunnen worden aangemerkt en hoe je dat praktisch aanpakt
Wil je weten hoe jouw huidige of geplande AI-toepassingen zich verhouden tot de AI Act? Neem contact op en we denken graag met je mee over een aanpak die past bij jouw organisatie.
Veelgestelde vragen
Geldt de AI Act ook voor kleine en middelgrote ondernemingen die AI inzetten in hun contactcenter?
Ja, de AI Act is van toepassing op alle organisaties die AI-systemen gebruiken of aanbieden binnen de EU, ongeacht hun omvang. Voor kleinere organisaties geldt bij boetes wel het laagste bedrag van het vaste bedrag of het percentage van de jaaromzet, wat in de praktijk enige bescherming biedt. Toch zijn de basisverplichtingen — zoals transparantie naar klanten en AI-geletterdheid bij medewerkers — ook voor mkb-bedrijven verplicht en al van kracht sinds 2 februari 2025.
Wat als onze AI-leverancier claimt dat hun systeem compliant is — zijn wij dan automatisch ook compliant als deployer?
Nee, de compliance van je leverancier (aanbieder) dekt niet automatisch jouw verplichtingen als deployer. Als deployer blijf je zelf verantwoordelijk voor zaken zoals het inrichten van menselijk toezicht, het bewaren van logs gedurende minimaal zes maanden, het informeren van medewerkers vóór ingebruikname, en het uitvoeren van een DPIA waar vereist. Vraag je leverancier altijd om de benodigde technische documentatie en gebruiksaanwijzing, zodat jij jouw eigen deployer-verplichtingen kunt nakomen.
Hoe weet ik zeker of ons AI-systeem aan profilering doet en daarmee hoog risico is?
Profilering in de zin van de AI Act betekent het geautomatiseerd verwerken van persoonsgegevens om aspecten van een natuurlijk persoon te evalueren, zoals gedrag, voorkeuren of betrouwbaarheid. Als jouw systeem klantdata combineert om voorspellingen of segmentaties per individu te maken — ook als dat een bijproduct is van een andere functie — is er sprake van profilering en geldt automatisch hoog risico. Raadpleeg bij twijfel een juridisch adviseur of neem contact op met je AI-leverancier om de werking van het systeem te toetsen aan deze definitie.
Moeten we klanten ook informeren dat ze met AI communiceren als de AI enkel intern wordt gebruikt, zoals voor het routeren van gesprekken?
De transparantieverplichting voor beperkt-risico systemen geldt specifiek voor AI-systemen die direct met mensen communiceren, zoals chatbots en virtuele assistenten. Puur interne routeringssystemen waarbij de klant geen directe interactie heeft met de AI zelf, vallen hier doorgaans niet onder. Toch is het verstandig om ook interne systemen te documenteren en te beoordelen, zeker als zij input leveren voor beslissingen die de klant raken.
Wat is de grootste praktische fout die organisaties maken bij het voorbereiden op de AI Act?
De meest gemaakte fout is het onderschatten van de scope van de AI-inventarisatie: veel organisaties denken alleen aan hun primaire chatbot, maar vergeten routeringssystemen, sentimentanalysetools, automatische e-mailoplossingen en eventuele AI-functies binnen hun CRM of WFM-platform. Een tweede veelvoorkomende fout is ervan uitgaan dat je als deployer geen eigen verplichtingen hebt. Begin daarom met een brede inventarisatie over alle kanalen en systemen, en betrek zowel IT, juridische zaken als operationele teams bij de classificatie.
Geldt de AI-geletterdheidsplicht voor alle medewerkers in ons contactcenter, of alleen voor specifieke functies?
De AI-geletterdheidsplicht (Artikel 4 van de AI Act, van kracht sinds 2 februari 2025) geldt voor medewerkers die met AI-systemen werken of deze beheren, afgestemd op hun specifieke rol en de systemen waarmee zij in aanraking komen. Dat betekent in de praktijk dat zowel agents die dagelijks met een AI-ondersteund systeem werken als teamleiders en beheerders een passend basisniveau van AI-begrip moeten hebben. Een one-size-fits-all training volstaat niet; stem de inhoud af op wat elke groep medewerkers daadwerkelijk moet begrijpen over het systeem dat zij gebruiken.
Wat gebeurt er als we een bestaand AI-systeem significant aanpassen — moeten we dan opnieuw beoordelen of het nog steeds beperkt risico is?
Ja, een substantiële wijziging aan een AI-systeem vereist een hernieuwde risicoclassificatie. Bovendien kan een significante aanpassing ertoe leiden dat jouw organisatie juridisch gezien van deployer naar aanbieder verschuift, met alle bijbehorende zwaardere verplichtingen. Leg daarom wijzigingen altijd vast in je documentatie en toets elke aanpassing expliciet aan de risicocriteria van de AI Act voordat je deze in productie neemt.


