Direct naar inhoud

Kennisartikel · AI Act, AVG & governance

Hoog-risico AI: wat valt eronder?

De EU AI Act onderscheidt gewone AI van systemen met een hoog risico. Voor die laatste categorie gelden zwaardere eisen. Maar wat is hoog-risico AI precies, en valt uw organisatie eronder?

Laatste bijgewerkt 14 juni 2026 · door Arjan Woldring.

Hoog-risico AI zijn systemen die mensen significant kunnen raken, bijvoorbeeld bij werving, onderwijs, kredietverlening, kritieke infrastructuur of bepaalde toepassingen in de zorg. De EU AI Act stelt aan deze systemen zwaardere eisen dan aan gewone AI. Die eisen gaan via de Digital Omnibus pas in op 2 december 2027 (Annex III) of 2 augustus 2028 (Annex I).

Implementa

01 · Definitie

Wat is hoog-risico AI?

De EU AI Act (Verordening 2024/1689) verdeelt AI-systemen in vier risicocategorieën: onaanvaardbaar risico, hoog risico, beperkt risico en minimaal risico. Hoog-risico AI is de categorie waarvoor de zwaarste verplichtingen gelden, na de categorie die volledig verboden is.

Een AI-systeem valt in de hoog-risico categorie als het behoort tot één van de twee groepen die de wet noemt:

  • Annex I: AI ingebed in gereguleerde producten waarvoor al een CE-markering of conformiteitsbeoordeling geldt. Denk aan medische hulpmiddelen, machines, speelgoed, luchtvaartcomponenten of auto's.
  • Annex III: AI voor specifieke toepassingen die per definitie als hoog risico worden beschouwd, ongeacht het product waarin ze zitten.

Het gaat dus niet om hoe slim of complex een systeem is, maar om het domein en de impact op mensen.

02 · Annex III

Acht toepassingsgebieden die altijd hoog-risico zijn

Annex III somt de toepassingen op waarbij de wetgever ervan uitgaat dat de impact op mensen zo groot is dat altijd zwaardere regels gelden. Hieronder de acht gebieden, met voorbeelden.

Kritieke infrastructuur

AI die veiligheidscomponenten bestuurt van netwerken voor water, energie, transport of digitale infrastructuur.

Onderwijs en beroepsopleiding

Systemen die beslissen over toegang tot onderwijs, studieresultaten of gedrag van studenten beoordelen.

Werving en selectie

AI voor het screenen van cv's, rangschikken van kandidaten of beoordelen van sollicitanten tijdens gesprekken.

Toegang tot essentiële diensten

Kredietverlening, verzekeringen of overheidsdiensten waarbij AI de beoordeling of het besluit neemt.

Rechtshandhaving

AI die politie of justitie ondersteunt bij risicobeoordelingen, detectie of bewijsanalyse.

Migratie en grensbeheer

Systemen voor asielverzoeken, visumaanvragen of grenscontroles waarbij AI een rol speelt in de beslissing.

Rechtsbedeling

AI die rechters of arbiters ondersteunt bij het onderzoeken van feiten of het toepassen van wetgeving.

Democratische processen

AI die invloed uitoefent op verkiezingen, politieke campagnes of meningsvorming op grote schaal.

03 · Eisen

Welke verplichtingen gelden voor hoog-risico AI?

Voor aanbieders (providers) van hoog-risico systemen gelden de zwaarste eisen van de AI Act. De voornaamste verplichtingen zijn:

  • Risicomanagementsysteem: een doorlopend proces om risico's te identificeren, beoordelen en beheersen gedurende de hele levensduur van het systeem.
  • Datakwaliteit en -beheer: trainingsdata, validatiedata en testdata moeten voldoen aan kwaliteitscriteria en zijn gedocumenteerd.
  • Technische documentatie: uitgebreide documentatie over het systeem, zijn prestaties en zijn grenzen, zodat toezichthouders kunnen controleren.
  • Transparantie en informatieplicht: gebruikers (deployers) moeten voldoende informatie krijgen om het systeem verantwoord in te zetten.
  • Menselijk toezicht: het systeem moet zo ontworpen zijn dat mensen de werking kunnen volgen, corrigeren of stilleggen.
  • Nauwkeurigheid, robuustheid en cyberbeveiliging: het systeem moet stabiel en betrouwbaar presteren en weerstand bieden aan aanvallen.
  • Conformiteitsbeoordeling en registratie: aanbieders moeten een beoordeling uitvoeren en het systeem registreren in de Europese AI-database.

Deployers (organisaties die het systeem inzetten maar zelf niet bouwen) hebben lichtere maar wel degelijke plichten: monitoren, medewerkers informeren, logbestanden bijhouden en een fundamentele-rechtenimpactbeoordeling uitvoeren als dat vereist is.

Bron: Autoriteit Persoonsgegevens over de EU AI Act.

04 · MKB

Geldt hoog-risico AI ook voor het MKB?

De EU AI Act kent geen algemene vrijstelling op basis van bedrijfsomvang. Een kleine zorginstelling die een hoog-risico AI-systeem inzet, valt onder dezelfde regels als een groot bedrijf. Wel is de wetgever zich bewust van de lasten voor kleinere organisaties en zijn er enkele proportionele bepalingen.

Een belangrijk onderscheid in de wet is dat tussen de aanbieder (provider) en de gebruiker (deployer):

  • De aanbieder brengt het systeem op de markt of in gebruik. Op hem rusten de zwaarste eisen: de conformiteitsbeoordeling, de technische documentatie en de registratie.
  • De deployer zet het systeem in binnen zijn eigen organisatie. De eisen zijn minder zwaar, maar niet nul. Een deployer in de publieke sector of bij kwetsbare groepen (zoals in de zorg of het onderwijs) heeft extra verplichtingen, waaronder een fundamentele-rechtenimpactbeoordeling.

Voor de meeste MKB-bedrijven is de vraag dus niet alleen of het systeem hoog-risico is, maar ook welke rol zij spelen. Wie een kant-en-klaar hoog-risico systeem van een leverancier inkoopt, is deployer. Wie een eigen systeem laat bouwen voor een van de Annex III-toepassingen, is aanbieder.

05 · Tijdlijn

Wanneer gaan de hoog-risicoregels in?

Via de zogenoemde Digital Omnibus, een Europese wijzigingsverordening, zijn de deadlines voor hoog-risico AI aanzienlijk uitgesteld ten opzichte van de oorspronkelijke planning. Dit is de actuele stand op 14 juni 2026:

  • Verbod op onaanvaardbaar risico (artikel 5): geldt al sinds 2 februari 2025.
  • AI-geletterdheidsplicht (artikel 4): geldt al sinds 2 februari 2025.
  • Hoog-risico AI, standalone (Annex III): de verplichtingen gaan in op 2 december 2027.
  • Hoog-risico AI in gereguleerde producten (Annex I): de verplichtingen gaan in op 2 augustus 2028.

Dit betekent dat u de tijd heeft om zich goed voor te bereiden. Maar wacht niet te lang: conformiteitsbeoordelingen, technische documentatie en risicomanagementsystemen bouwen kost tijd. Organisaties die nu beginnen met een gestructureerde aanpak, staan straks niet voor verrassingen.

06 · Bepalen

Hoe bepaal je of jouw toepassing hoog-risico is?

Er is geen eenvoudige ja/nee-test, maar de beoordeling is wel systematisch aan te pakken. Stel uzelf de volgende vragen per AI-toepassing:

  1. Is het systeem ingebed in een gereguleerd product? Controleer of het product onder Annex I valt (medisch hulpmiddel, machine, voertuig, enzovoort). Als ja, is het systeem vrijwel zeker hoog-risico.
  2. Valt de toepassing onder één van de acht Annex III-gebieden? Loop de lijst door: infrastructuur, onderwijs, werk, diensten, rechtshandhaving, migratie, rechtsbedeling, democratie.
  3. Welke rol speelt u? Aanbieder (bouwt of brengt op de markt) of deployer (zet in gebruik binnen de eigen organisatie)?
  4. Is er een veiligheidscomponent of direct effect op mensen? Als het systeem beslissingen neemt die mensen direct raken, of als het een veiligheidscomponent vormt, is het risico groter.

Twijfelt u? Dan is een gestructureerde risico-inventarisatie de aangewezen weg. Die helpt u per toepassing vast te stellen welke categorie van toepassing is en welke stappen u moet zetten.

Veelgestelde vragen

Vragen over hoog-risico AI

Wat is hoog-risico AI?

Hoog-risico AI zijn systemen die een significante impact kunnen hebben op de gezondheid, veiligheid of grondrechten van mensen. De EU AI Act benoemt twee categorieen: AI in gereguleerde producten (Annex I, zoals medische hulpmiddelen) en AI voor specifieke toepassingen (Annex III, zoals werving, krediet of onderwijs).

Valt AI in de zorg onder hoog-risico?

Dat hangt af van de toepassing. AI die als medisch hulpmiddel kwalificeert of die bijdraagt aan diagnostische beslissingen, valt waarschijnlijk onder Annex I of Annex III. Ondersteunende toepassingen, zoals administratieve AI voor verslaglegging, vallen daar meestal niet onder. Laat dit per toepassing beoordelen.

Welke eisen gelden voor hoog-risico AI-systemen?

Hoog-risico systemen moeten voldoen aan eisen voor risicomanagementsystemen, datakwaliteit, technische documentatie, transparantie, menselijk toezicht, nauwkeurigheid en robuustheid. Aanbieders moeten ook een conformiteitsbeoordeling uitvoeren en het systeem registreren in de EU-database.

Wanneer gaan de regels voor hoog-risico AI in?

Via de Digital Omnibus zijn de hoog-risicoregels uitgesteld. Standalone hoog-risico AI (Annex III) geldt vanaf 2 december 2027. Hoog-risico AI in gereguleerde producten (Annex I) geldt vanaf 2 augustus 2028. Andere verplichtingen, zoals de AI-geletterdheidsplicht, gelden al sinds 2 februari 2025.

Moet een MKB-bedrijf rekening houden met hoog-risico AI-regels?

Ja, de EU AI Act maakt geen uitzondering op basis van bedrijfsomvang voor hoog-risico AI. Wel zijn er proportionele verplichtingen. Als u als gebruiker (deployer) een hoog-risico systeem inzet, gelden andere verplichtingen dan voor de aanbieder (provider) die het systeem op de markt brengt.

Hoe weet ik of mijn AI-toepassing hoog-risico is?

Controleer of uw toepassing valt onder een gereguleerd product (Annex I) of onder een van de acht toepassingsgebieden van Annex III, zoals werving, kredietverlening, onderwijs of bepaalde zorgcontexten. Twijfelt u, dan helpt een gestructureerde risico-inventarisatie om dit per toepassing vast te stellen.

Wat zijn de gevolgen als ik niets doe?

Als een hoog-risico systeem niet voldoet aan de eisen, kan de markttoezichthouder optreden. Boetes kunnen oplopen tot 15 miljoen euro of 3 procent van de mondiale jaaromzet. Bovendien loopt u reputatierisico en riskeert u schade voor de mensen die uw systeem gebruikt.

Over de auteur

Arjan Woldring

oprichter Implementa

Arjan Woldring is oprichter van Implementa en begeleidt zorgorganisaties bij verantwoorde AI-implementatie. Hij combineert diepgaande kennis van de EU AI Act en AVG met praktijkervaring in de GGZ-sector. Zijn uitgangspunt: AI werkt het best als het mensen echt ondersteunt en aantoonbaar in control blijft.

Volg op LinkedIn Vakinhoudelijk gecontroleerd op Vakinhoudelijk gecontroleerd op 14 juni 2026

Lees ook

Lees ook.

EU AI Act uitgelegd voor het MKB

De wet in begrijpelijke taal, stand 2026.

Lees verder

Risico-inventarisatie voor AI

Vooraf de risico's van een toepassing wegen.

Lees verder

Zijn de AI Act-deadlines uitgesteld?

De verschoven hoog-risico-deadlines op een rij.

Lees verder