Hoog-risico AI: Verplichtingen en Compliance

Wanneer is een AI-systeem hoog-risico?

Een AI-systeem is hoog-risico in twee situaties:

Route 1: Veiligheidscomponent (Annex I)

Het AI-systeem is een veiligheidscomponent van een product dat valt onder EU-productregelgeving in Annex I, zoals:

• Machines
• Speelgoed
• Liften
• Medische hulpmiddelen
• Voertuigen
• Radioapparatuur

Route 2: Annex III categorieën

Het AI-systeem valt in een van de categorieën in Annex III:

1. Biometrie - identificatie en categorisatie
2. Kritieke infrastructuur - verkeer, water, gas, elektriciteit
3. Onderwijs - toegang, beoordeling, examentoezicht
4. Werkgelegenheid - werving, selectie, promotie, ontslag
5. Essentiële diensten - krediet, verzekeringen, nooddiensten
6. Rechtshandhaving - risicobeoordeling, leugendetectie
7. Migratie - visa, asiel, grensbewaking
8. Rechtspraak - onderzoek van feiten, toepassing van recht

Beslisregel

Als je AI-systeem (a) een veiligheidscomponent is van een Annex I product, of (b) valt onder een Annex III categorie, dan is het hoog-risico en gelden alle verplichtingen uit Hoofdstuk III Sectie 2.

Verplichtingen voor providers

1. Risicobeheer systeem (Art. 9)

• Identificeer en analyseer bekende en voorzienbare risico's
• Schat risico's in bij correct én verkeerd gebruik
• Evalueer risico's op basis van post-market data
• Pas risicobeperkende maatregelen toe

Praktijkvoorbeeld

Een aanbieder van een AI-systeem voor medische diagnose identificeert het risico op vals-negatieve uitslagen. Als risicobeperkende maatregel implementeert hij een waarschuwingssysteem dat artsen adviseert handmatig te verifiëren bij grensgevallen.

2. Data governance (Art. 10)

• Gebruik relevante, representatieve trainingsdata
• Identificeer mogelijke biases
• Pas data quality management toe
• Documenteer de datacollectie en -verwerking

Template: Data governance checklist

□ Databronnen gedocumenteerd
□ Representativiteit geëvalueerd (geografisch, demografisch)
□ Bias-analyse uitgevoerd
□ Data kwaliteitscontroles geïmplementeerd
□ Verwerking conform GDPR
□ Data lineage traceerbaar

3. Technische documentatie (Art. 11)

• Maak documentatie vóór marktintroductie
• Houd deze actueel gedurende levensduur
• Volg de vereisten uit Annex IV

4. Logging (Art. 12)

• Automatische logging van gebeurtenissen
• Traceerbaarheid van beslissingen
• Bewaar logs gedurende passende periode

5. Transparantie & informatie (Art. 13)

• Heldere gebruiksinstructies voor deployers
• Informatie over capaciteiten en beperkingen
• Uitleg over menselijk toezicht

6. Menselijk toezicht (Art. 14)

• Ontwerp voor effectief menselijk overzicht
• Maak ingrijpen door mensen mogelijk
• Voorkom "automation bias"

7. Nauwkeurigheid & robuustheid (Art. 15)

• Passend niveau van nauwkeurigheid
• Robuust tegen fouten en aanvallen
• Cybersecurity maatregelen

Conformiteitsbeoordeling

Wanneer zelf, wanneer extern?

CE-markering

Na succesvolle conformiteitsbeoordeling mag je de CE-markering aanbrengen. Dit geeft aan dat het systeem voldoet aan de eisen.

EU Database registratie

Hoog-risico AI-systemen moeten worden geregistreerd in de EU database vóór marktintroductie. Dit omvat:

• Aanbiedersinformatie
• Systeembeschrijving
• Gebruiksdoel
• Conformiteitsinformatie

Checklist hoog-risico compliance

• Classificatie bevestigd en gedocumenteerd
• Risicobeheer systeem opgezet
• Data governance geïmplementeerd
• Technische documentatie opgesteld (Annex IV)
• Logging systeem geïmplementeerd
• Gebruiksinstructies geschreven
• Menselijk toezicht mechanismen ingebouwd
• Nauwkeurigheid en robuustheid getest
• Conformiteitsbeoordeling uitgevoerd
• EU database registratie voltooid
• CE-markering aangebracht
• EU conformiteitsverklaring opgesteld

Bronnen

• AI Act Hoofdstuk III Sectie 2
• AI Act Annex III
• AI Act Annex IV - Technische documentatie

Changelog:

• 12 januari 2026 - Eerste publicatie