Kritieke infrastructuur
AI die veiligheidscomponenten bestuurt van netwerken voor water, energie, transport of digitale infrastructuur.
Kennisartikel · AI Act, AVG & governance
De EU AI Act onderscheidt gewone AI van systemen met een hoog risico. Voor die laatste categorie gelden zwaardere eisen. Maar wat is hoog-risico AI precies, en valt uw organisatie eronder?
Laatste bijgewerkt 14 juni 2026 · door Arjan Woldring.
Hoog-risico AI zijn systemen die mensen significant kunnen raken, bijvoorbeeld bij werving, onderwijs, kredietverlening, kritieke infrastructuur of bepaalde toepassingen in de zorg. De EU AI Act stelt aan deze systemen zwaardere eisen dan aan gewone AI. Die eisen gaan via de Digital Omnibus pas in op 2 december 2027 (Annex III) of 2 augustus 2028 (Annex I).
Implementa
01 · Definitie
De EU AI Act (Verordening 2024/1689) verdeelt AI-systemen in vier risicocategorieën: onaanvaardbaar risico, hoog risico, beperkt risico en minimaal risico. Hoog-risico AI is de categorie waarvoor de zwaarste verplichtingen gelden, na de categorie die volledig verboden is.
Een AI-systeem valt in de hoog-risico categorie als het behoort tot één van de twee groepen die de wet noemt:
Het gaat dus niet om hoe slim of complex een systeem is, maar om het domein en de impact op mensen.
02 · Annex III
Annex III somt de toepassingen op waarbij de wetgever ervan uitgaat dat de impact op mensen zo groot is dat altijd zwaardere regels gelden. Hieronder de acht gebieden, met voorbeelden.
AI die veiligheidscomponenten bestuurt van netwerken voor water, energie, transport of digitale infrastructuur.
Systemen die beslissen over toegang tot onderwijs, studieresultaten of gedrag van studenten beoordelen.
AI voor het screenen van cv's, rangschikken van kandidaten of beoordelen van sollicitanten tijdens gesprekken.
Kredietverlening, verzekeringen of overheidsdiensten waarbij AI de beoordeling of het besluit neemt.
AI die politie of justitie ondersteunt bij risicobeoordelingen, detectie of bewijsanalyse.
Systemen voor asielverzoeken, visumaanvragen of grenscontroles waarbij AI een rol speelt in de beslissing.
AI die rechters of arbiters ondersteunt bij het onderzoeken van feiten of het toepassen van wetgeving.
AI die invloed uitoefent op verkiezingen, politieke campagnes of meningsvorming op grote schaal.
03 · Eisen
Voor aanbieders (providers) van hoog-risico systemen gelden de zwaarste eisen van de AI Act. De voornaamste verplichtingen zijn:
Deployers (organisaties die het systeem inzetten maar zelf niet bouwen) hebben lichtere maar wel degelijke plichten: monitoren, medewerkers informeren, logbestanden bijhouden en een fundamentele-rechtenimpactbeoordeling uitvoeren als dat vereist is.
04 · MKB
De EU AI Act kent geen algemene vrijstelling op basis van bedrijfsomvang. Een kleine zorginstelling die een hoog-risico AI-systeem inzet, valt onder dezelfde regels als een groot bedrijf. Wel is de wetgever zich bewust van de lasten voor kleinere organisaties en zijn er enkele proportionele bepalingen.
Een belangrijk onderscheid in de wet is dat tussen de aanbieder (provider) en de gebruiker (deployer):
Voor de meeste MKB-bedrijven is de vraag dus niet alleen of het systeem hoog-risico is, maar ook welke rol zij spelen. Wie een kant-en-klaar hoog-risico systeem van een leverancier inkoopt, is deployer. Wie een eigen systeem laat bouwen voor een van de Annex III-toepassingen, is aanbieder.
05 · Tijdlijn
Via de zogenoemde Digital Omnibus, een Europese wijzigingsverordening, zijn de deadlines voor hoog-risico AI aanzienlijk uitgesteld ten opzichte van de oorspronkelijke planning. Dit is de actuele stand op 14 juni 2026:
Dit betekent dat u de tijd heeft om zich goed voor te bereiden. Maar wacht niet te lang: conformiteitsbeoordelingen, technische documentatie en risicomanagementsystemen bouwen kost tijd. Organisaties die nu beginnen met een gestructureerde aanpak, staan straks niet voor verrassingen.
06 · Bepalen
Er is geen eenvoudige ja/nee-test, maar de beoordeling is wel systematisch aan te pakken. Stel uzelf de volgende vragen per AI-toepassing:
Twijfelt u? Dan is een gestructureerde risico-inventarisatie de aangewezen weg. Die helpt u per toepassing vast te stellen welke categorie van toepassing is en welke stappen u moet zetten.
Veelgestelde vragen
Hoog-risico AI zijn systemen die een significante impact kunnen hebben op de gezondheid, veiligheid of grondrechten van mensen. De EU AI Act benoemt twee categorieen: AI in gereguleerde producten (Annex I, zoals medische hulpmiddelen) en AI voor specifieke toepassingen (Annex III, zoals werving, krediet of onderwijs).
Dat hangt af van de toepassing. AI die als medisch hulpmiddel kwalificeert of die bijdraagt aan diagnostische beslissingen, valt waarschijnlijk onder Annex I of Annex III. Ondersteunende toepassingen, zoals administratieve AI voor verslaglegging, vallen daar meestal niet onder. Laat dit per toepassing beoordelen.
Hoog-risico systemen moeten voldoen aan eisen voor risicomanagementsystemen, datakwaliteit, technische documentatie, transparantie, menselijk toezicht, nauwkeurigheid en robuustheid. Aanbieders moeten ook een conformiteitsbeoordeling uitvoeren en het systeem registreren in de EU-database.
Via de Digital Omnibus zijn de hoog-risicoregels uitgesteld. Standalone hoog-risico AI (Annex III) geldt vanaf 2 december 2027. Hoog-risico AI in gereguleerde producten (Annex I) geldt vanaf 2 augustus 2028. Andere verplichtingen, zoals de AI-geletterdheidsplicht, gelden al sinds 2 februari 2025.
Ja, de EU AI Act maakt geen uitzondering op basis van bedrijfsomvang voor hoog-risico AI. Wel zijn er proportionele verplichtingen. Als u als gebruiker (deployer) een hoog-risico systeem inzet, gelden andere verplichtingen dan voor de aanbieder (provider) die het systeem op de markt brengt.
Controleer of uw toepassing valt onder een gereguleerd product (Annex I) of onder een van de acht toepassingsgebieden van Annex III, zoals werving, kredietverlening, onderwijs of bepaalde zorgcontexten. Twijfelt u, dan helpt een gestructureerde risico-inventarisatie om dit per toepassing vast te stellen.
Als een hoog-risico systeem niet voldoet aan de eisen, kan de markttoezichthouder optreden. Boetes kunnen oplopen tot 15 miljoen euro of 3 procent van de mondiale jaaromzet. Bovendien loopt u reputatierisico en riskeert u schade voor de mensen die uw systeem gebruikt.
Over de auteur
Arjan Woldring
oprichter Implementa
Arjan Woldring is oprichter van Implementa en begeleidt zorgorganisaties bij verantwoorde AI-implementatie. Hij combineert diepgaande kennis van de EU AI Act en AVG met praktijkervaring in de GGZ-sector. Zijn uitgangspunt: AI werkt het best als het mensen echt ondersteunt en aantoonbaar in control blijft.
Lees ook
De wet in begrijpelijke taal, stand 2026.
Lees verderVooraf de risico's van een toepassing wegen.
Lees verderDe verschoven hoog-risico-deadlines op een rij.
Lees verder