Trusq

feitelijke duiding · herleidbaar naar primaire bronnen

Onderwerpen Kansen Doe de check Samenwerken LinkedIn NL·EN
Wegwijzer

Je AI-systemen inventariseren voor de AI Act: zo pak je het aan

Vastgesteld 2026-06-16 · ≈ 2 min lezen · Dirk Baaijen

Inventariseren begint met classificatie: bepaal per AI-systeem of het verboden, hoogrisico, beperkt-risico of minimaal risico is, op grond van artikel 6 en de bijlagen I en III. Daarna koppel je rol en verplichtingen aan elk systeem.

Kort antwoord: Het inventariseren van je AI-systemen voor de AI-verordening (Verordening (EU) 2024/1689) begint met classificatie: stel per systeem vast onder welke risicocategorie het valt. De verordening kent vier categorieën — verboden (artikel 5), hoogrisico (artikel 6 met bijlagen I en III), beperkt risico met transparantieverplichtingen (artikel 50), en minimaal risico zonder specifieke verplichtingen. Pas als die indeling vaststaat, kun je per systeem bepalen welke verplichtingen gelden en welke rol je organisatie speelt.

Begin met afbakenen: wat is een AI-systeem

De eerste stap is bepalen wat je überhaupt moet inventariseren. Artikel 3, punt 1 van de verordening definieert een AI-systeem als een machinaal systeem dat met een zekere mate van autonomie werkt, zich na uitrol kan aanpassen, en uit input afleidt hoe het output zoals voorspellingen, aanbevelingen of beslissingen genereert. Niet elke geautomatiseerde regel of klassiek statistisch model valt hieronder; de afbakening is daarom een feitelijke beoordeling per systeem.

Maak een lijst van alle systemen die mogelijk onder deze definitie vallen — zowel zelf ontwikkelde als ingekochte software, en zowel zelfstandige toepassingen als AI die in een product of dienst is ingebed. Leg per systeem het doel, de gebruikte data, de output en de context van gebruik vast. Die informatie heb je nodig voor de classificatie en, later, voor de technische documentatie die hoogrisicosystemen vereisen.

Classificeer per systeem: de vier categorieën

Voor elk systeem op je lijst bepaal je de risicocategorie. Begin bij artikel 5: praktijken zoals bepaalde vormen van manipulatie, social scoring en — onder voorwaarden — biometrische categorisering zijn verboden. Valt een systeem daaronder, dan mag het niet worden gebruikt.

Is het niet verboden, toets dan artikel 6. Een systeem is hoogrisico als het een veiligheidscomponent is van, of zelf een product is dat onder de in bijlage I genoemde harmonisatiewetgeving valt en een conformiteitsbeoordeling door derden vergt, of als het onder een van de toepassingsgebieden van bijlage III valt (zoals werving, kritieke infrastructuur of toegang tot essentiële diensten). Artikel 6, lid 3 voorziet in een uitzondering wanneer het systeem geen significant risico voor gezondheid, veiligheid of grondrechten vormt; die beoordeling moet worden gedocumenteerd.

Valt een systeem niet onder hoogrisico maar wel onder artikel 50 — bijvoorbeeld chatbots of systemen die synthetische content genereren — dan gelden transparantieverplichtingen. De rest is in beginsel minimaal risico, zonder specifieke verplichtingen onder de verordening.

Koppel rol en verplichtingen aan elk systeem

Classificatie alleen volstaat niet: de verplichtingen hangen ook af van je rol. De verordening onderscheidt onder meer aanbieder (degene die een systeem ontwikkelt of laat ontwikkelen en onder eigen naam in de handel brengt) en gebruiksverantwoordelijke (degene die het systeem onder eigen verantwoordelijkheid gebruikt). Voor ingekochte systemen ben je doorgaans gebruiksverantwoordelijke; bij eigen ontwikkeling of substantiële wijziging kun je aanbieder worden, met zwaardere verplichtingen.

Leg in je inventarisatie per systeem vast: de classificatie, de onderbouwing daarvan, je rol, en de daaruit volgende verplichtingen. Zo ontstaat een register dat de basis vormt voor verdere naleving en dat je kunt bijwerken wanneer systemen of het wettelijk kader veranderen. De exacte toepassingsdata van de hoogrisicoverplichtingen staan nog ter discussie; raadpleeg daarvoor de tijdlijn.

Lees ook: AI Act: de tijdlijn van verplichtingen.

Doe de scan.

Bronnen

  1. https://eur-lex.europa.eu/eli/reg/2024/1689/oj
    Verordening (EU) 2024/1689: artikel 3 (definities), artikel 5 (verboden), artikel 6 met bijlagen I en III (classificatie), artikel 50 (transparantie).
  2. https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
    Beleidspagina van de Europese Commissie over de AI-verordening, met de actuele stand van uitvoering en richtsnoeren.

Deel op LinkedIn

Lees ook

A

Welke AI-systemen zijn hoogrisico? De ontwerp-richtsnoeren bij artikel 6

Op 19 mei 2026 publiceerde de Commissie ontwerp-richtsnoeren over welke AI-systemen hoogrisico zijn onder artikel 6: de twee routes (bijlage I en III), de filterbepaling van lid 3 en praktijkvoorbeelden. Niet-bindend; de gerichte consultatie is verlengd tot 23 juli 2026.

U

AI in de rechtspraak en justitie: hoogrisico onder bijlage III

AI die rechterlijke autoriteiten ondersteunt bij feitenonderzoek of rechtstoepassing is hoogrisico onder bijlage III van de AI Act. Zuiver administratieve hulp valt erbuiten. De rechter blijft beslisser; AI mag adviseren, niet oordelen.

A

MDR en de AI Act: samenloop voor medische software

Medische software met AI-componenten valt tegelijkertijd onder de MDR en de AI Act; de hoog-risico-classificatie via de MDR-route (artikel 6, lid 1 AI Act) geldt pas vanaf 2 augustus 2027.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.