Voor de meeste verplichtingen onder de EU AI Act geldt een simpele waarheid: ze tellen pas echt zwaar als uw AI-systeem hoog-risico is. Hoog-risico betekent een conformiteitsbeoordeling, technische documentatie, doorlopend risicobeheer, menselijk toezicht en registratie in een EU-databank. De boetes lopen op tot 35 miljoen euro of 7 procent van de wereldwijde jaaromzet. De eerste vraag die u moet beantwoorden is dus bepalend: valt mijn systeem onder hoog-risico? Voor precies die grijze gebieden publiceerde de Europese Commissie op 19 mei 2026 concept-richtsnoeren van 148 pagina's. Dit artikel vertaalt de classificatieregels van Artikel 6 naar een werkbaar stappenplan.
Het kader van vier risicocategorieen
De AI Act sorteert AI in vier niveaus. Bovenaan staat onaanvaardbaar risico: de verboden praktijken uit Artikel 5, zoals social scoring en ongerichte gezichtsscraping. Daaronder zit hoog risico, de categorie van Artikel 6 waar dit artikel over gaat. Dan volgt beperkt risico: systemen met enkel een transparantieplicht onder Artikel 50, denk aan chatbots en deepfakes. Onderaan minimaal risico, alle overige AI zonder verplichtingen op systeemniveau. Hoog-risico is dus iets anders dan verboden. Zo'n systeem mag op de markt, maar alleen onder strikte voorwaarden.
Twee routes naar hoog-risico onder Artikel 6
De wet kent twee manieren waarop een systeem in de hoog-risico categorie belandt.
Artikel 6 lid 1 gaat over AI in gereguleerde producten. Is uw AI een veiligheidscomponent van een product, of zelf een product, dat onder bestaande EU-productwetgeving uit Bijlage I valt en moet dat product een keuring door een derde partij ondergaan? Dan is de AI hoog-risico. Denk aan AI in medische hulpmiddelen onder de MDR, in machines of in speelgoed.
Artikel 6 lid 2 gaat over zelfstandige systemen die in Bijlage III staan. Dit is de route waar de meeste organisaties mee te maken krijgen. Bijlage III somt acht gebruiksgebieden op. Past het beoogde doel van uw systeem in die lijst, dan is het in beginsel hoog-risico.
De acht gebieden van Bijlage III
Biometrie
Bijlage III(1)Biometrische identificatie op afstand, categorisatie naar gevoelige kenmerken en emotieherkenning, voor zover niet al verboden onder Artikel 5.
Kritieke infrastructuur
Bijlage III(2)AI als veiligheidscomponent in het beheer van water, gas, elektriciteit, verwarming, digitale infrastructuur en wegverkeer.
Onderwijs en beroepsopleiding
Bijlage III(3)Toelating, beoordeling van leerresultaten, sturing van leertrajecten en proctoring tijdens examens.
Werk en personeelsbeheer
Bijlage III(4)Werving en selectie, cv-screening, beslissingen over promotie of ontslag, taaktoewijzing en prestatie-evaluatie.
Essentiele diensten
Bijlage III(5)Kredietbeoordeling, risico-inschatting bij levens- en ziektekostenverzekeringen en toegang tot uitkeringen of hulpdiensten.
Rechtshandhaving
Bijlage III(6)Risico-inschatting van personen, beoordeling van bewijs en opsporing, binnen de grenzen van Artikel 5.
Migratie en grenstoezicht
Bijlage III(7)Risicobeoordeling van personen, behandeling van asiel- en visumaanvragen en verificatie van documenten.
Rechtsbedeling en democratie
Bijlage III(8)AI die rechters ondersteunt bij het toepassen van recht en systemen die verkiezingen of stemgedrag beinvloeden.
Niet elk Bijlage III-systeem is automatisch hoog-risico
De wet bevat een belangrijke uitzondering, vaak de filter genoemd. Een systeem dat in Bijlage III staat, is toch niet hoog-risico wanneer het geen significant risico vormt voor gezondheid, veiligheid of grondrechten en de uitkomst van besluitvorming niet wezenlijk beinvloedt. Dat is het geval als aan minstens een van vier voorwaarden is voldaan.
Beperkte procedurele taak
Artikel 6 lid 3Het systeem doet strikt procedureel werk, zoals ongestructureerde data omzetten naar een tabel of binnenkomende documenten sorteren in categorieen.
Verbetering van menselijk werk
Artikel 6 lid 3Het systeem verbetert het resultaat van een al afgeronde menselijke activiteit, bijvoorbeeld het stilistisch oppoetsen van een geschreven tekst.
Detectie zonder vervanging
Artikel 6 lid 3Het systeem signaleert afwijkingen van eerdere besluitpatronen zonder het menselijk oordeel te vervangen of zonder passende toetsing.
Voorbereidende taak
Artikel 6 lid 3Het systeem bereidt een beoordeling voor zonder die beoordeling zelf te verrichten.
Een harde grens blijft overeind. Een systeem dat profilering van natuurlijke personen uitvoert, is altijd hoog-risico, hoe procedureel de architectuur ook oogt. Profilering is het geautomatiseerd verwerken van persoonsgegevens om aspecten van iemand te beoordelen of te voorspellen. Raakt uw systeem die drempel, dan biedt de filter geen uitweg meer. De Commissie benadrukt ook dat de filter een uitzondering is die u eng moet uitleggen, geen achterdeur om verplichtingen te ontlopen.
Wat de concept-richtsnoeren van mei 2026 toevoegen
De classificatieregels staan in de wet, maar de praktijk zit vol twijfelgevallen. Om die reden publiceerde de Europese Commissie op 19 mei 2026 concept-richtsnoeren over de classificatie van hoog-risico AI. Het document telt 148 pagina's en bevat uitleg van de kernbegrippen plus concrete voorbeelden van systemen die wel of niet hoog-risico zijn. De openbare consultatie liep tot 23 juni 2026. De definitieve richtsnoeren volgen daarna.
De richtsnoeren zijn nog niet bindend, maar ze tonen hoe de Commissie en de toezichthouders Artikel 6 willen uitleggen. Twee lijnen vallen op. De filter van lid 3 moet u eng lezen: een procedurele taak is pas beperkt als er geen inhoudelijke beoordeling van de zaak zelf aan te pas komt. En profilering trekt een systeem altijd terug naar hoog-risico. Wie nu al volgens deze lijn classificeert, voorkomt een kostbare correctie achteraf.
Hoog-risico hangt aan het systeem, niet aan uw sector
Een hardnekkig misverstand: ondernemers denken dat hoog-risico een kenmerk van bepaalde sectoren is. Dat klopt niet. De AI Act classificeert op basis van wat een systeem doet, het beoogde gebruiksdoel, niet op basis van de branche waarin u werkt. Een bank met een AI-chatbot voor veelgestelde vragen heeft geen hoog-risico systeem. Een tuinbouwbedrijf dat AI inzet om sollicitanten te ranken heeft dat wel, want werving valt onder Bijlage III.
Die regel werkt twee kanten op. En juist daar zit het risico. Ook in een ogenschijnlijk onschuldige context wordt AI hoog-risico zodra u het gebruikt voor werving, kredietbeoordeling of een ander Bijlage III-doel. Wie zich veilig waant omdat zijn sector niet op een lijstje staat, kijkt naar het verkeerde lijstje. Beoordeel de functie van het systeem, niet uw bedrijfstak.
Wanneer moeten de verplichtingen geregeld zijn?
De classificatie maakt u nu, want zonder die stap weet u niet welke regels gelden. De bijbehorende verplichtingen kennen wel een eigen tijdlijn. Voor zelfstandige hoog-risico systemen uit Bijlage III is de juridische deadline 2 augustus 2026. Het Digital Omnibus-pakket, waarop op 7 mei 2026 een voorlopig politiek akkoord is bereikt, stelt voor die datum naar 2 december 2027 te verschuiven. Voor hoog-risico AI in gereguleerde producten uit Bijlage I geldt 2 augustus 2027, met een voorgestelde verschuiving naar 2 augustus 2028. Aanname van het pakket wordt verwacht in juni of juli 2026. Tot publicatie in het Publicatieblad blijven juridisch de oorspronkelijke data gelden. Reken dus met de huidige deadlines en behandel het uitstel als buffer, niet als zekerheid. In Nederland houden de Autoriteit Persoonsgegevens en de Rijksinspectie Digitale Infrastructuur samen toezicht.
Zo bepaalt u de classificatie in vijf stappen
Inventariseer uw AI-systemen
Breng elk AI-systeem in kaart, inclusief de AI die verstopt zit in bestaande software. U kunt niet classificeren wat u niet ziet.
Check Artikel 5 eerst
Ga na of een systeem onder de verboden praktijken valt. Een verbod gaat voor op een hoog-risico classificatie.
Loop Bijlage I en III langs
Toets per systeem of het beoogde doel past in een productcategorie (lid 1) of in een van de acht gebruiksgebieden (lid 2).
Pas de filter van lid 3 toe
Staat het in Bijlage III, beoordeel dan of een van de vier uitzonderingen geldt. Onthoud de harde grens: profilering blijft altijd hoog-risico.
Leg de uitkomst vast
Documenteer de classificatie met onderbouwing in uw AI-register. Bij twijfel kiest u voorzichtig en herziet u later.
Twijfelt u of een specifiek systeem hoog-risico is? Dat is precies het grijze gebied waar de concept-richtsnoeren over gaan. De gratis AI Risicoscanner van AIComplianceHub loopt deze classificatie voor u langs. In vijf minuten ziet u per systeem de risicocategorie en de bijbehorende verplichtingen, op basis van het gebruiksdoel en niet van uw sector. Leg de uitkomst daarna vast in uw AI-register. Start de gratis risicoscan.