Hoog-risico AI onder de AI Act
Wanneer is een AI-systeem hoog-risico, en welke verplichtingen gelden dan? Alle dossiers over hoog-risico AI — classificatie (Annex III, art. 6), verplichtingen, documentatie en handhaving — bij elkaar, elk herleidbaar naar de primaire bron.
Het Digital Omnibus-dossier: wat er verschuift, wat vastligt en wat nog moet
Het politieke akkoord van 7 mei 2026 over de Digital Omnibus verschuift de zwaarste AI Act-data. Op 16 juni 2026 nam het Europees Parlement de tekst aan (423-57-174); alleen aanname door de Raad en publicatie in het Publicatieblad resten nog. Wat verschuift, wat vastligt en wat nog moet.
Recht op uitleg van een AI-besluit: wat artikel 86 AI Act je geeft
Word je geraakt door een besluit dat (mede) op een hoogrisico-AI-systeem berust, dan geeft artikel 86 AI Act je recht op een duidelijke uitleg van de rol van het AI-systeem en de hoofdelementen van het besluit — te vragen aan de gebruiksverantwoordelijke, naast je AVG-rechten.
AI bij onboarding en interne mobiliteit: waar ligt de grens?
Talent-marketplaces, skills-matching en loopbaanpaden met AI lijken neutraal, maar raken de hoog-risicogrens zodra ze promotie- of doorstroombeslissingen sturen (bijlage III, pt 4). Dan gelden AI Act, AVG, transparantie en gelijke kansen ook intern.
Aanbieder of gebruiksverantwoordelijke bij HR-AI: wie is wat?
Bij HR-AI is de bouwer van de ATS-/HR-tech meestal aanbieder en de werkgever gebruiksverantwoordelijke. Maar een werkgever kan zelf aanbieder worden bij eigen merk of substantiële wijziging (art. 25). De rol bepaalt welke plichten gelden.
HR-AI inkopen: de leverancier-checklist voor ATS- en wervingssoftware
Koop je HR-AI of ATS-software in, dan erf je verplichtingen onder de AI Act. Deze checklist geeft de vragen die je vóór ondertekening aan de leverancier stelt — hoog-risico of niet, CE-markering, documentatie, bias-tests, logging — plus de contractuele waarborgen.
DPIA voor HR-AI: wanneer verplicht en hoe combineer je het met de FRIA?
Een DPIA (art. 35 AVG) is verplicht bij grootschalig, systematisch monitoren en bij hoog-risico-AI in HR. Dit artikel legt uit wat erin moet en hoe je de DPIA combineert met de FRIA (grondrechtentoets, art. 27 AI Act) tot één traject. Met praktisch stappenplan.
HR-AI compliant maken: een stappenplan in zes fasen
Een praktisch stappenplan om HR-AI compliant te krijgen: inventariseer alle systemen, classificeer op risico, doe DPIA en FRIA, informeer werknemers en betrek de OR, regel menselijk toezicht, logging en bias-monitoring, en leg leveranciersafspraken vast.
AI-matching bij uitzendwerk en detachering: wie is waarvoor verantwoordelijk?
Matching-AI bij uitzenden en detachering is hoog-risico (werving). De toolleverancier is doorgaans provider, het uitzendbureau deployer; de inlener kan medeverantwoordelijk worden. De AVG vraagt een heldere rolverdeling.
AI-analyse van video-sollicitaties: mag dat?
Video-AI die gezicht, stem of "persoonlijkheid" beoordeelt is hoog-risico onder de AI Act. Inferentie van emoties op de werkvloer is bovendien verboden. De validiteit is twijfelachtig en de AVG-drempel hoog.
AI-fraudedetectie door de overheid: de lessen na SyRI
Na de SyRI-uitspraak (Rechtbank Den Haag, 2020) en de toeslagenaffaire is overheidsfraudedetectie met AI hoogrisico onder bijlage III. De lessen: geen ondoorzichtige risicoscores, geen proxy-discriminatie, wél proportionaliteit, uitlegbaarheid en grondrechtentoets.
Testen onder reële omstandigheden en regulatory sandboxes (artikelen 57-60)
De AI Act biedt twee gecontroleerde testroutes: regulatory sandboxes onder toezicht (artikelen 57-59) en testen onder reële omstandigheden buiten de sandbox (artikel 60). Beide kennen strikte waarborgen, zoals geïnformeerde toestemming en het recht om data te laten wissen.
De EU-conformiteitsverklaring onder de AI Act (artikel 47)
De EU-conformiteitsverklaring is de schriftelijke verklaring waarmee de aanbieder zelf bevestigt dat een hoogrisico-AI-systeem aan de AI Act voldoet. Artikel 47 schrijft inhoud, taal en bewaring voor; de aanbieder draagt er de volledige verantwoordelijkheid voor.
De gemachtigde voor aanbieders buiten de EU (artikel 22)
Een aanbieder van buiten de EU moet vóór het op de markt brengen van een hoogrisico-AI-systeem schriftelijk een gemachtigde in de Unie aanwijzen. Artikel 22 maakt die persoon het Europese aanspreekpunt voor toezichthouders, met eigen plichten en stopbevoegdheid.
Plichten van de distributeur onder de AI Act (artikel 24)
Een distributeur levert een hoogrisico-AI-systeem door zonder aanbieder of importeur te zijn. Artikel 24 vraagt een lichtere maar reële controle: nagaan of CE-markering, conformiteitsverklaring en documentatie aanwezig zijn, en niet doorleveren bij twijfel.
Plichten van de importeur onder de AI Act (artikel 23)
Wie een hoogrisico-AI-systeem van buiten de EU op de markt brengt, is importeur en moet vóór invoer controleren of de aanbieder de conformiteit heeft geregeld. Artikel 23 maakt de importeur een poortwachter, met eigen vastlegging-, bewaar- en stopplichten.
CE-markering en aangemelde instanties (notified bodies) voor hoogrisico-AI
Hoogrisico-AI krijgt na een geslaagde conformiteitsbeoordeling een CE-markering. Soms beoordeelt de aanbieder zelf, soms moet een onafhankelijke aangemelde instantie (notified body) meekijken. Dit artikel legt uit wanneer welke route geldt en wat de CE-markering betekent.
Gebruiksaanwijzing en transparantie naar de gebruiksverantwoordelijke: artikel 13
Artikel 13 eist dat hoogrisico-AI transparant genoeg werkt en met een gebruiksaanwijzing komt waarmee de gebruiksverantwoordelijke het systeem begrijpt en correct gebruikt. Die instructies moeten doel, prestaties, grenzen en toezichtmaatregelen bevatten. Dit artikel legt uit wat erin hoort.
Nauwkeurigheid, robuustheid en cyberbeveiliging: artikel 15 van de AI Act
Artikel 15 eist dat hoogrisico-AI een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging haalt over de hele levensduur. Het systeem moet bestand zijn tegen fouten, storingen en aanvallen zoals data poisoning en adversarial input. Dit artikel legt uit wat dat betekent.
Logging en registratie: wat eist artikel 12 van de AI Act?
Artikel 12 verplicht hoogrisico-AI-systemen om automatisch gebeurtenissen vast te leggen (logs) gedurende hun levensduur. Logging maakt risicobewaking, traceerbaarheid en onderzoek achteraf mogelijk. Dit artikel legt uit wat er minimaal in de logs moet en hoe lang je ze bewaart.
Menselijk toezicht ontwerpen: wat eist artikel 14 van de AI Act?
Artikel 14 verplicht aanbieders van hoogrisico-AI om effectief menselijk toezicht in te bouwen. Mensen moeten de output kunnen begrijpen, negeren, overrulen of de werking stoppen — en bestand zijn tegen automation bias. Dit artikel legt uit hoe je dat ontwerpt.
AI in verzekeringen: acceptatie en premiestelling
AI voor risicobeoordeling en premiestelling bij levens- en ziektekostenverzekeringen is hoog-risico onder bijlage III van de AI Act. Andere branches vallen er niet automatisch onder, maar AVG, solidariteitsregels en het discriminatieverbod gelden breed.
AI bij vastgoed en woningtoewijzing: essentiële diensten
AI die bepaalt wie toegang krijgt tot huisvesting raakt de kern van het hoogrisico-regime. Bijlage III van de AI Act noemt toegang tot essentiële private en publieke diensten; daarbovenop verbiedt de AVG discriminatie en stelt zij eisen aan geautomatiseerde besluiten.
Uitlegbaarheid en transparantie van overheidsalgoritmes: FRIA en algoritmeregister
Transparantie van overheidsalgoritmes loopt langs twee assen: collectieve openheid via het algoritmeregister en de FRIA, en individuele uitleg aan de burger via de Awb en AVG. De AI Act eist begrijpelijkheid en logging. Uitleg is een rechtsplicht, geen gunst.
Post-market monitoring (artikel 72) na ingebruikname
Artikel 72 van de AI Act verplicht aanbieders van hoog-risico-AI om systemen na ingebruikname actief te blijven volgen. Een post-market monitoringsysteem verzamelt en analyseert prestatiegegevens over de hele levensduur en voedt het risicobeheer terug. Conformiteit stopt niet bij de markt.
Registratie van hoog-risicosystemen in de EU-databank (artikel 49)
Artikel 49 van de AI Act verplicht aanbieders en bepaalde gebruiksverantwoordelijken om hoog-risicosystemen vóór ingebruikname te registreren in een openbare EU-databank. De registratie maakt zichtbaar welke systemen op de markt zijn en is een voorwaarde voor rechtmatig gebruik.
AI in de energiesector: kritieke infrastructuur en NIS2
AI die het beheer of de werking van energievoorziening aanstuurt, kan onder de AI Act hoogrisico zijn (bijlage III, kritieke infrastructuur). Tegelijk valt de energiesector onder NIS2 voor cyberbeveiliging. Twee regimes met deels overlappende eisen aan robuustheid en toezicht.
AI in de rechtspraak en justitie: hoogrisico onder bijlage III
AI die rechterlijke autoriteiten ondersteunt bij feitenonderzoek of rechtstoepassing is hoogrisico onder bijlage III van de AI Act. Zuiver administratieve hulp valt erbuiten. De rechter blijft beslisser; AI mag adviseren, niet oordelen.
Datakwaliteit en datagovernance (artikel 10): trainings-, validatie- en testdata
Artikel 10 van de AI Act stelt eisen aan de data waarmee hoog-risico-AI wordt getraind, gevalideerd en getest. Datasets moeten relevant, representatief, zo foutloos mogelijk en volledig zijn, met aandacht voor vertekening. Datagovernance maakt deze keuzes navolgbaar.
AI in de industrie: samenloop met de Machineverordening
AI in productie en machines raakt twee regimes tegelijk. Een AI-systeem dat de veiligheid van een machine bepaalt, is onder de AI Act hoogrisico (bijlage I) én moet voldoen aan de nieuwe Machineverordening. Eén product, twee conformiteitssporen die op elkaar moeten aansluiten.
Algoritmische besluitvorming bij de overheid: AI Act, Awb en AVG art. 22
Een geautomatiseerd overheidsbesluit valt onder drie regimes tegelijk: de AI Act (hoogrisico), het bestuursrecht (Awb-motivering en zorgvuldigheid) en AVG art. 22 (geen louter geautomatiseerd besluit met rechtsgevolg). Ze stapelen op, ze vervangen elkaar niet.
Het risicobeheersysteem (artikel 9) opzetten en onderhouden
Artikel 9 van de AI Act verplicht aanbieders van hoog-risico-AI tot een doorlopend risicobeheersysteem: risico's identificeren, inschatten, beperken en blijven volgen gedurende de hele levensduur. Het is een iteratief proces, geen eenmalige analyse, en vormt de kern van het complianceregime.
AI inkopen bij de overheid: AI Act-conformiteit als aanbestedingseis
Wie als overheid een AI-systeem inkoopt, wordt onder de AI Act gebruiksverantwoordelijke en soms zelf aanbieder. Maak conformiteit, documentatie en grondrechtentoets harde eisen in het bestek, niet sluitposten in de overeenkomst.
Technische documentatie (bijlage IV): wat erin moet voor hoog-risicosystemen
Aanbieders van hoog-risico-AI moeten technische documentatie opstellen volgens bijlage IV van de AI Act. Dit dossier beschrijft systeem, ontwerp, data, prestaties en risicobeheer en vormt de basis voor de conformiteitsbeoordeling. Het moet actueel blijven gedurende de hele levensduur.
AI bij kredietscoring: hoog risico onder de AI Act
AI die de kredietwaardigheid van consumenten beoordeelt is hoog-risico onder bijlage III van de AI Act. Daarbovenop gelden AVG-artikel 22 (geautomatiseerde besluiten) en het verbod op discriminatie. Drie regimes tegelijk dus, met bias-controle als kern.
AI in roosters, planning en payroll: taaktoewijzing is hoog-risico
AI die shifts toewijst, capaciteit plant of beloning berekent valt onder bijlage III zodra het taken verdeelt op basis van gedrag of kenmerken. Naast de AI Act spelen arbeidstijdregels, voorspelbaarheid van roosters en de AVG — en het risico dat dynamische planning bepaalde groepen benadeelt.
AI in opleiding en ontwikkeling (L&D): wanneer leren onder hoog-risico valt
AI die leeraanbod aanbeveelt lijkt onschuldig, maar zodra het bepaalt wie toegang krijgt tot opleiding of loopbaanpaden, raakt het bijlage III (toegang tot beroepsopleiding). Het risico is ongelijke ontwikkelkansen; de AVG en bias-toetsing horen erbij.
Algoritmisch management: AI die werk verdeelt en stuurt, ook buiten platformwerk
Algoritmisch management — AI die taken toewijst, prestaties stuurt en gedrag nudge't — is niet beperkt tot bezorgplatforms. In gewone organisaties valt het onder bijlage III (taaktoewijzing, beoordeling) en de AVG, met menselijk toezicht en transparantie als kern.
AI-assessments en games bij selectie: hoog-risico, validiteit en toegankelijkheid
Gamified en psychometrische AI-assessments beoordelen kandidaten en zijn daarmee hoog-risico (bijlage III). Drie vragen zijn beslissend: meet het echt wat ertoe doet, is het vrij van bias, en sluit het mensen met een beperking niet uit? Emotieanalyse via beeld of stem is bovendien verboden.
Sollicitatie-chatbots: transparantieplicht én hoog-risico zodra ze selecteren
Een wervingschatbot moet zich altijd als AI bekendmaken (art. 50). Zodra hij kandidaten voorselecteert, scoort of afwijst, is hij bovendien een hoog-risicosysteem (bijlage III), met menselijk toezicht en de AVG erbovenop. Een "handige assistent" wordt zo snel een beslis-instrument.
Gerichte vacature-advertenties met AI: hoog-risico én discriminatierisico
AI die vacatures gericht toont aan bepaalde groepen valt expliciet onder bijlage III van de AI Act als hoog-risico. Het grootste risico is discriminatie: een algoritme dat een vacature vooral aan jonge mannen toont, sluit anderen onzichtbaar uit. De AVG en de DSA stellen aanvullende grenzen.
Werknemers informeren over AI: de transparantieplicht van artikel 26
Voor je een hoog-risico-AI-systeem op de werkvloer inzet, verplicht artikel 26 van de AI Act je om de betrokken werknemers en hun vertegenwoordiging te informeren. Deze plicht staat naast de AVG-transparantie en het instemmingsrecht van de OR — en is een aparte, controleerbare stap.
AI bij beoordeling, promotie en ontslag: hoog-risico voorbij de werving
Bijlage III van de AI Act gaat verder dan werving: ook AI die meebeslist over arbeidsvoorwaarden, promotie, beëindiging, taaktoewijzing en prestatiebeoordeling is hoog-risico. Dat raakt performancetools en workforce-systemen die veel werkgevers al gebruiken.
CV-screening met AI: waarom het hoog-risico is en wat dat vraagt
AI die cv's filtert, parseert of sollicitanten rangschikt is de meest gebruikte HR-AI — en valt onder bijlage III van de AI Act als hoog-risico. Dat geldt ook voor ingekochte tools. Deze uitleg behandelt de plichten, de bias-risico's en de rol van de werkgever.
Het algoritmeregister: moeten overheden hun AI publiceren?
Nederlandse overheden publiceren hun algoritmes in het nationale Algoritmeregister (transparantie). Daarnaast verplicht de AI Act registratie van hoog-risico-AI in een EU-databank (art. 49/71), ook voor overheden. Twee registers, één doel: navolgbaarheid.
AI-proctoring en examensurveillance: mag online toezicht met AI?
AI-proctoring (online examensurveillance) detecteert ongeoorloofd gedrag tijdens toetsen: hoog-risico onder bijlage III. Meet het emoties, dan is het verboden (art. 5). De AVG eist grondslag, proportionaliteit en meestal een DPIA — zeker bij minderjarigen.
AI bij de overheid: wat geldt voor de publieke sector?
AI die de toegang tot publieke diensten of uitkeringen bepaalt, of wordt ingezet bij rechtshandhaving, migratie of rechtspraak, is hoog-risico onder de AI Act. Overheden moeten als gebruiksverantwoordelijke vaak een grondrechtentoets (FRIA) doen en transparant zijn naar burgers.
AI als medisch hulpmiddel: de dubbele conformiteit (MDR + AI Act)
Is je AI een medisch hulpmiddel, dan moet hij voldoen aan zowel de MDR (klinische evaluatie, CE) als de AI Act (hoog-risico-eisen). De verordeningen zijn bedoeld om samen te lopen via één conformiteitsbeoordeling en één aangemelde instantie — niet twee losse trajecten.
AI in het onderwijs: wat zegt de AI Act voor scholen en opleiders?
AI die de toegang tot onderwijs bepaalt, leerresultaten beoordeelt of toetsgedrag bewaakt, valt onder bijlage III en is hoog-risico. Emotieherkenning in het onderwijs is verboden. Daarnaast gelden de AVG (vaak gegevens van minderjarigen) en de AI-geletterdheidsplicht.
AI in de zorg: AI Act én Medical Device Regulation (MDR)
Medische AI valt vaak onder twee regimes: medisch hulpmiddel onder de MDR (CE-markering) én hoog-risico-AI onder de AI Act (bijlage I). De conformiteitsbeoordeling wordt zo veel mogelijk afgestemd. Gezondheidsdata is bovendien bijzondere persoonsgegevens (AVG).
Mag een algoritme een sollicitant afwijzen? Geautomatiseerde besluiten in werving
Een sollicitant volledig automatisch afwijzen mag in beginsel niet: AVG art. 22 verbiedt besluiten die uitsluitend op geautomatiseerde verwerking berusten en iemand aanmerkelijk treffen, tenzij met waarborgen. De AI Act eist daarbovenop menselijk toezicht en transparantie bij hoog-risico-werving.
Werknemers monitoren met AI: wat mag en wat niet?
AI-monitoring van werknemers botst snel met de regels: emotieherkenning op het werk is verboden (art. 5), prestatiemonitoring kan hoog-risico zijn (bijlage III), en de AVG eist grondslag, transparantie en proportionaliteit. Continue, ingrijpende monitoring is juridisch riskant.
AI en discriminatie bij werving: hoe voorkom je bias?
AI-wervingstools kunnen onbedoeld discrimineren. De AI Act eist voor hoog-risicosystemen representatieve, op bias gecontroleerde data (art. 10) en menselijk toezicht; daarnaast gelden het gelijkebehandelingsrecht en de AVG. Bias-mitigatie is geen keuze maar een verplichting.
AI bij werving en HR: wat moet elke werkgever weten?
AI in werving, selectie en personeelsbeheer valt onder bijlage III van de AI Act en geldt als hoog-risico — voor elke werkgever, ongeacht sector of omvang. Emotieherkenning op de werkvloer is verboden, AI-geletterdheid geldt nu, en de AVG loopt parallel bij geautomatiseerde besluiten.
Welke AI-systemen zijn hoogrisico? De ontwerp-richtsnoeren bij artikel 6
Op 19 mei 2026 publiceerde de Commissie ontwerp-richtsnoeren over welke AI-systemen hoogrisico zijn onder artikel 6: de twee routes (bijlage I en III), de filterbepaling van lid 3 en praktijkvoorbeelden. Niet-bindend; de gerichte consultatie is verlengd tot 23 juli 2026.
De ontbrekende geharmoniseerde normen: hoe de vertraging bij CEN-CENELEC de AI Act-tijdlijn verschoof
Het hoogrisicodeel van de AI Act rust op geharmoniseerde normen die een vermoeden van conformiteit geven. JTC 21 van CEN-CENELEC miste de deadline van 2025; noodmaatregelen van oktober 2025 mikken op levering in Q4 2026 — een reden waarom de Digital Omnibus bijlage III naar december 2027 schoof.
De stand van AI-regulering — overzicht 2026
Eén overzicht van waar AI-regulering in 2026 staat: de gefaseerde AI Act, de verschuivingen uit de Digital Omnibus, de vijf regimes en de internationale lijn van de Raad van Europa tot Californië en Korea — met doorverwijzing naar de verdieping per onderwerp.
Hoogrisico-AI in kaart: classificatie en verplichtingen in één overzicht
Het hoogrisicoregime is het zwaartepunt van de AI Act. Dit overzicht legt de twee classificatieroutes uit (bijlage I en bijlage III), de verplichtingen voor aanbieders en gebruiksverantwoordelijken, de filterbepaling van artikel 6, en wat het verwachte uitstel tot december 2027 wél en niet betekent.
Voor je eigen systemen
Deze kennisbank vertelt wat de wet zegt. Wil je per systeem zien wat er voor jóu geldt en verandert? Dat doet Trusq — gebouwd door hetzelfde team.