Hoog-risico hangt af van wat een AI-systeem dóét, niet van uw sector. Hier vindt u alle gebruiksgebieden van Bijlage III, de Bijlage I-route en de uitzonderingen, met voorbeelden voor het MKB.
De AI Act hanteert een risicogebaseerde aanpak. AI-systemen die significante risico's kunnen vormen voor de gezondheid, veiligheid of grondrechten van personen, worden als hoog-risico geclassificeerd. De classificatie volgt uit de functie en het beoogde doel van het systeem, niet uit de sector waarin u werkt.
Er zijn twee routes waarlangs een AI-systeem als hoog-risico wordt aangemerkt: via Bijlage I (AI in gereguleerde producten) of via Bijlage III (AI in specifieke gebruiksgebieden).
AI die als veiligheidscomponent in, of zelf een product is dat al onder bestaande EU-veiligheidswetgeving valt en een conformiteitsbeoordeling door een derde vereist. Denk aan medische hulpmiddelen, machines, liften en speelgoed. Juridische deadline 2 augustus 2027; het Digital Omnibus-akkoord van 7 mei 2026 verschuift dit naar 2 augustus 2028 (door het Parlement aangenomen op 16 juni 2026, OJ-publicatie verwacht vóór 2 augustus 2026).
AI die wordt ingezet in een van de acht gebruiksgebieden die de wetgever heeft aangewezen. Dit is de route die voor de meeste organisaties relevant is. Juridische deadline 2 augustus 2026; het Digital Omnibus-akkoord verschuift deze naar 2 december 2027, mits formeel aangenomen vóór publicatie in het Publicatieblad.
Op 19 mei 2026 publiceerde de Europese Commissie concept-richtsnoeren voor de classificatie van hoog-risico AI-systemen onder Artikel 6. Ze veranderen de regels niet. Ze leggen uit hoe je Artikel 6 in de praktijk toepast en geven concrete voorbeelden van systemen die wél en niet hoog-risico zijn.
De openbare consultatie loopt tot 23 juni 2026, daarna volgt een definitieve versie. Wat betekent dit voor u? De logica op deze pagina blijft leidend: Bijlage III, de Bijlage I-route en de Artikel 6(3)-uitzonderingen. De richtsnoeren maken vooral grensgevallen scherper.
Een AI-systeem waarvan de functie onder een van deze gebieden valt, is hoog-risico. Per gebied staan de sub-punten met hun artikelverwijzing.
Identificatie en analyse van personen op basis van lichaamskenmerken.
Grens met Artikel 5: real-time biometrische identificatie in publieke ruimten door rechtshandhaving en emotieherkenning op de werkplek of in het onderwijs zijn juist verboden, niet hoog-risico.
MKB-voorbeeld: Gezichtsherkenning voor toegangscontrole op kantoor.
AI als veiligheidscomponent in het beheer en de exploitatie van kritieke infrastructuur.
Het gaat om de veiligheidscomponent, niet om elke AI in de sector. Een klantchatbot van een energiebedrijf valt hier niet onder.
MKB-voorbeeld: AI-gestuurde netbalancering of een verkeersregelsysteem.
AI die de toegang tot of de uitkomst van onderwijs bepaalt.
MKB-voorbeeld: Geautomatiseerde examenbeoordeling of toelatingsselectie.
AI die beslist over mensen in een arbeidsrelatie. Dit komt in elke sector voor.
MKB-voorbeeld: CV-screening en geautomatiseerde kandidaatselectie. Dezelfde tool is hoog-risico bij een fabriek, een ziekenhuis of een bank.
AI die de toegang tot essentiële publieke en private diensten bepaalt.
Twee veelgemaakte fouten: fraudedetectie en KYC/AML vallen onder de uitzondering van 5(b). En 5(c) ziet alleen op leven en ziektekosten, niet op schade-, auto- of reisverzekeringen.
MKB-voorbeeld: Kredietscoring bij een BNPL-aanbieder.
AI gebruikt door of namens rechtshandhavingsinstanties.
MKB-voorbeeld: Predictive policing. In de praktijk vrijwel uitsluitend politie en justitie.
AI gebruikt door bevoegde instanties bij migratie- en grensprocessen.
MKB-voorbeeld: Geautomatiseerde beoordeling van visumaanvragen. Vooral overheid en grensdiensten.
AI in de rechtspraak en in democratische processen.
Punt 8(a) ziet op gebruik door of namens de rechterlijke macht. Een advocatenkantoor dat AI voor research gebruikt, valt hier doorgaans niet onder.
MKB-voorbeeld: AI die rechters ondersteunt bij juridische analyse.
Valt uw systeem onder een gebied hierboven, dan is het niet automatisch hoog-risico. Vormt het geen significant risico voor gezondheid, veiligheid of grondrechten én voldoet het aan minstens een van deze voorwaarden, dan valt het buiten de hoog-risico categorie:
Het systeem voert een smalle, procedurele taak uit.
Het verbetert het resultaat van een eerder afgeronde menselijke activiteit.
Het detecteert beslispatronen of afwijkingen daarvan, zonder de eerdere menselijke beoordeling te vervangen of te beïnvloeden zonder behoorlijke menselijke toetsing.
Het voert een voorbereidende taak uit voor een beoordeling.
Eén harde uitzondering op de uitzondering: zodra het systeem profilering van natuurlijke personen uitvoert, is het altijd hoog-risico. Ook als het verder een procedurele of voorbereidende taak lijkt.
Zit AI als veiligheidscomponent in een product dat al onder EU-productwetgeving valt, of is de AI zelf zo'n product, en is een conformiteitsbeoordeling door een derde vereist? Dan is het hoog-risico via Bijlage I. Veelvoorkomende productcategorieën:
Voor zorg en life sciences loopt dit vaak samen met MDR of IVDR; zie de sectorpagina's Zorg en Pharma & Life Sciences.
Risicomanagementsysteem: een doorlopend proces om risico's te identificeren, analyseren en beperken.
Data governance: eisen aan de kwaliteit, representativiteit en relevantie van trainings- en testdata.
Technische documentatie: gedetailleerde documentatie over het systeem, de werking en de beperkingen.
Registratie en logging: automatische registratie van gebeurtenissen gedurende de levenscyclus.
Transparantie: duidelijke instructies voor deployers over het gebruik en de beperkingen.
Menselijk toezicht: het systeem moet effectief door mensen kunnen worden overzien.
Nauwkeurigheid en robuustheid: het systeem moet bestand zijn tegen fouten en manipulatie.
Conformiteitsbeoordeling: een formele beoordeling vóór het op de markt brengen of in gebruik nemen.
AIComplianceHub helpt u bij het voldoen aan deze verplichtingen. Van AI-beleid tot documentatie: wij genereren de benodigde documenten automatisch.
Een hoog-risico AI-systeem is een AI-toepassing die significante risico's kan vormen voor de gezondheid, veiligheid of grondrechten van personen. De EU AI Act bepaalt dit op basis van wat het systeem dóét: het valt onder een van de acht gebruiksgebieden van Bijlage III, of het zit als veiligheidscomponent in een gereguleerd product (Bijlage I).
Toets de functie van uw systeem tegen Bijlage III (de acht gebieden hierboven) en Bijlage I. Het gaat om het beoogde doel, niet om uw sector: dezelfde wervings-AI is hoog-risico bij elke werkgever. Gebruik onze gratis risicoscan om dit per systeem te bepalen.
Nee. Artikel 6(3) kent een uitzondering: vormt het systeem geen significant risico en voert het slechts een smalle procedurele, verbeterende of voorbereidende taak uit, dan is het niet hoog-risico. Eén harde grens: zodra het systeem profileert (profilering van natuurlijke personen), is het altijd hoog-risico.
In de regel niet. Fraudedetectie is expliciet uitgezonderd van de kredietwaardigheid-categorie van Bijlage III (punt 5b). KYC/AML-screening valt daar doorgaans onder. Let op: biometrische identiteitsverificatie kan wél punt 1 raken, en de AVG blijft sowieso gelden.
Voor hoog-risico AI gelden uitgebreide verplichtingen: een risicomanagementsysteem, datakwaliteitseisen, technische documentatie, registratie en logging, transparantie, menselijk toezicht, nauwkeurigheid en robuustheid, en een conformiteitsbeoordeling vóór ingebruikname.
ChatGPT zelf is niet automatisch hoog-risico. Het is een general-purpose AI-systeem (GPAI). Het kan wél hoog-risico worden als u het inzet in een hoog-risico context, bijvoorbeeld als onderdeel van een sollicitatiescreening of kredietbeoordeling. Het hangt af van hoe u het gebruikt.
Doe de gratis risicoscan en ontdek of uw AI-systemen als hoog-risico worden geclassificeerd. AIComplianceHub bepaalt automatisch het risiconiveau en geeft u een concreet actieplan.
