Een AI-risicoanalyse is een essentieel onderdeel van compliance met de EU AI Act. Maar wat houdt zo'n analyse precies in, wanneer is het verplicht en hoe voert u het uit? In dit artikel doorlopen we het volledige proces stap voor stap, zodat u direct aan de slag kunt.
Wat is een AI-risicoanalyse?
Een AI-risicoanalyse (ook wel AI-risicobeoordeling genoemd) is een gestructureerde beoordeling van de risico's die een AI-systeem met zich meebrengt. U brengt in kaart welke schade het systeem kan veroorzaken voor individuen, groepen of de samenleving als geheel. Denk aan risico's op het gebied van discriminatie, privacy, veiligheid en transparantie.
De EU AI Act verplicht organisaties om deze beoordeling uit te voeren voor AI-systemen die in de categorie hoog risico vallen. Maar ook voor systemen met een lager risicoprofiel is het verstandig om een risicoanalyse uit te voeren. Het geeft u inzicht in mogelijke problemen voordat ze zich voordoen en laat aan toezichthouders zien dat u zorgvuldig handelt.
Wanneer is een AI-risicoanalyse verplicht?
De AI Act hanteert een risicogebaseerde aanpak. Niet elk AI-systeem vereist dezelfde mate van analyse. De verplichting tot een uitgebreide risicoanalyse geldt specifiek voor hoog-risico AI-systemen. Dit zijn systemen die worden ingezet in gevoelige domeinen zoals gezondheidszorg, onderwijs, personeelswerving, kredietbeoordeling, rechtshandhaving en kritieke infrastructuur.
Ook als u twijfelt of uw systeem als hoog risico kwalificeert, is het verstandig om een basisanalyse uit te voeren. Hiermee voorkomt u dat u onbewust in overtreding bent en bouwt u een solide dossier op voor het geval een toezichthouder vragen stelt.
De vier risicocategorieen van de AI Act
Voordat u een risicoanalyse uitvoert, moet u begrijpen hoe de AI Act risico's classificeert. De wet onderscheidt vier niveaus.
Onaanvaardbaar risico
VerbodenVerboden sinds 2 februari 2025
Sociale kredietsystemen, realtime biometrische identificatie in openbare ruimtes, manipulatieve AI gericht op kwetsbare groepen, emotieherkenning op de werkplek of in het onderwijs.
Bron: Artikel 5
Hoog risico
Strenge eisenJuridisch 2 augustus 2026; Digital Omnibus-voorstel: 2 december 2027
AI voor kredietbeoordeling, werving en selectie, beoordeling in het onderwijs, medische apparatuur en kritieke infrastructuur. Strenge verplichtingen: conformiteitsbeoordeling, technische documentatie, menselijk toezicht, doorlopend risicobeheer.
Bron: Bijlage III + Bijlage I
Beperkt risico
TransparantieJuridisch 2 augustus 2026; Digital Omnibus-voorstel: eind 2026
Chatbots, AI die tekst, beeld of geluid genereert, deepfakes. Gebruikers moeten weten dat ze met AI te maken hebben en AI-gegenereerde content moet als zodanig herkenbaar zijn.
Bron: Artikel 50
Minimaal risico
Geen specifieke eisenGeen aanvullende verplichtingen
Het overgrote deel van AI-toepassingen valt hieronder: spamfilters, AI in videogames, aanbevelingsalgoritmes voor entertainment. Algemene beginselen blijven gelden, maar er zijn geen specifieke nalevingseisen.
Bron: Algemene beginselen
Stap 1: Inventariseer uw AI-systemen
De eerste stap is het opstellen van een compleet overzicht van alle AI-systemen die uw organisatie gebruikt. Dit klinkt eenvoudig, maar in de praktijk onderschatten veel bedrijven hoeveel AI ze inzetten. AI zit tegenwoordig ingebouwd in tal van standaardsoftware: uw CRM, boekhoudsysteem, marketingtools en zelfs uw e-mailclient.
Loop elke afdeling langs en vraag welke tools en software er worden gebruikt. Controleer per tool of er AI-functionaliteit in zit. Documenteer voor elk systeem de naam, leverancier, het doel waarvoor het wordt ingezet en welke data het verwerkt.
Stap 2: Classificeer elk systeem in een risicocategorie
Voor elk geinventariseerd AI-systeem bepaalt u in welke risicocategorie het valt. Stel uzelf de volgende vragen. Wordt het systeem gebruikt om beslissingen te nemen die mensen direct raken? Verwerkt het systeem bijzondere persoonsgegevens zoals gezondheidsdata of biometrische gegevens? Wordt het ingezet in een domein dat de AI Act als hoog risico aanmerkt? Kan het systeem schade veroorzaken als het fouten maakt?
Als u op een of meer van deze vragen ja antwoordt, is de kans groot dat het om een hoog-risico systeem gaat en dat een uitgebreide risicoanalyse verplicht is.
De Artikel 6 guidelines: wanneer is een systeem echt hoog-risico?
In februari 2026 publiceerde de Europese Commissie de langverwachte guidelines bij Artikel 6 van de AI Act. Deze richtlijnen verduidelijken wanneer een AI-systeem dat in een hoog-risico domein wordt ingezet, daadwerkelijk als hoog-risico kwalificeert. Want niet elk systeem in een gevoelig domein is automatisch hoog-risico.
De guidelines bevatten een belangrijke uitzondering. Een AI-systeem dat valt onder Bijlage III (de lijst met hoog-risico domeinen) hoeft niet als hoog-risico te worden behandeld als het geen significant risico vormt voor de gezondheid, veiligheid of grondrechten van personen. Concreet: als het systeem slechts een ondersteunende rol speelt bij menselijke besluitvorming, als het geen invloed heeft op de uitkomst van een beslissing, of als het puur administratieve taken automatiseert zonder mensen te raken.
Praktijkvoorbeelden: wel of niet hoog-risico?
Deze vraag is voor veel bedrijven het lastigste onderdeel van de risicoanalyse. Een paar concrete voorbeelden helpen.
Wel hoog-risico: een AI-systeem dat cv's screent en kandidaten rangschikt voor een recruiter. Het systeem beinvloedt direct wie er wordt uitgenodigd voor een gesprek. Een AI-tool die kredietaanvragen beoordeelt en automatisch goedkeurt of afwijst. AI in een medisch apparaat dat diagnoses voorstelt aan een arts.
Niet hoog-risico (ondanks gevoelig domein): een AI-spellingscontrole die wordt gebruikt in een ziekenhuis. Het systeem valt weliswaar in de zorgsector, maar het neemt geen medische beslissingen. Een AI-chatbot die veelgestelde vragen beantwoordt op de website van een uitzendbureau. Het systeem helpt met informatie, maar selecteert geen kandidaten. Een AI-tool die vergadernotities samenvat voor een HR-afdeling. Het systeem verwerkt mogelijk personeelsdata, maar neemt geen beslissingen over mensen.
De kern is steeds: heeft het AI-systeem een materiele invloed op beslissingen die mensen raken? Zo ja, dan is het waarschijnlijk hoog-risico. Zo nee, dan kunt u dit documenteren en het systeem als beperkt of minimaal risico classificeren. Leg uw redenering vast. Bij een eventuele inspectie is een onderbouwde classificatie veel sterker dan geen classificatie.
Stap 3: Voer de risicoanalyse uit
Voor elk hoog-risico systeem voert u een gedetailleerde analyse uit. Een goede AI-risicoanalyse omvat de volgende onderdelen.
- Systeembeschrijving: wat doet het systeem, hoe werkt het en waarvoor wordt het ingezet?
- Gegevensverwerking: welke data gaan er in en komen er uit? Zijn er bijzondere persoonsgegevens bij betrokken?
- Risicoidentificatie: welke risico's zijn er op het gebied van bias en discriminatie, privacy en gegevensbescherming, veiligheid en betrouwbaarheid, transparantie en uitlegbaarheid en impact op grondrechten?
- Risicobeoordeling: hoe waarschijnlijk is het dat elk geidentificeerd risico zich voordoet en wat is de potentiele ernst?
- Beheersmaatregelen: welke maatregelen neemt u om de geidentificeerde risico's te beperken?
- Restrisico: welke risico's blijven over na het nemen van beheersmaatregelen en zijn deze aanvaardbaar?
Stap 4: Documenteer uw bevindingen
Alles wat u tijdens de risicoanalyse vaststelt, moet worden gedocumenteerd. Dit is niet alleen een wettelijke verplichting, maar ook uw beste verdediging bij een eventuele inspectie. Leg per systeem vast welke risico's u heeft geidentificeerd, hoe u deze heeft beoordeeld, welke maatregelen u heeft genomen, wie verantwoordelijk is voor het toezicht en wanneer de analyse voor het laatst is herzien.
Bewaar deze documentatie in uw AI-register, zodat alles centraal beschikbaar is.
Stap 5: Monitor en herzie periodiek
Een risicoanalyse is geen eenmalige exercitie. AI-systemen veranderen, uw gebruik ervan evolueert en de regelgeving ontwikkelt zich. Plan minimaal een jaarlijkse herziening van uw risicoanalyses. Voer tussentijds een nieuwe analyse uit als er significante wijzigingen plaatsvinden, bijvoorbeeld wanneer een systeem wordt geupgraded, wanneer u het voor een nieuw doel gaat inzetten, of wanneer er incidenten of klachten zijn.
Tools die u helpen
Het uitvoeren van een AI-risicoanalyse hoeft geen ingewikkeld handmatig proces te zijn. Er zijn tools beschikbaar die u door het proces begeleiden en zorgen dat u niets over het hoofd ziet.
De AI Risicoscanner van AIComplianceHub is een goed startpunt. In vijf minuten beantwoordt u een reeks gerichte vragen over uw AI-gebruik. Op basis daarvan ontvangt u een risicoprofiel per systeem, inclusief een indicatie van de risicocategorie en de verplichtingen die daarbij horen. Van daaruit kunt u in het AIComplianceHub-platform uw volledige risicoanalyse documenteren en opnemen in uw AI-register.
Begin vandaag nog met uw eerste AI-risicoanalyse. Voor hoog-risico Bijlage III-systemen geldt juridisch de deadline van 2 augustus 2026; het Digital Omnibus-voorstel verschuift deze naar verwachting naar 2 december 2027 mits het pakket tijdig wordt aangenomen. AI-geletterdheid is al verplicht. Met de gratis Risicoscanner heeft u binnen enkele minuten een eerste beeld van uw risicoprofiel en weet u precies waar u aan toe bent.