Sinds 1 augustus 2024 is de Europese AI Act van kracht. Deze wet zorgt ervoor dat organisaties AI veilig en verantwoord inzetten, met respect voor de rechten van burgers. Omdat het om een grote en complexe wet gaat, voert de EU deze stap voor stap in. De volgende fase gaat in op 2 augustus 2026: vanaf dan moeten AI-systemen met een hoog risico aan strengere regels voldoen.
Voor overheden extra relevant, want veel AI-toepassingen binnen overheidsorganisaties vallen in de categorie hoog risico. Bijvoorbeeld systemen voor uitkeringscontrole, fraudedetectie of geautomatiseerde besluitvorming
In deze blog lees je wat hoog-risico AI is, welke nieuwe verplichtingen komen en hoe je dit concreet aanpakt als organisatie.
Tijdlijn van alle fases AI Act
De AI Act nadert zijn meest ingrijpende fase. Na het verbod op onacceptabele AI-systemen (fase 1), de gedragscodes voor general purpose AI (fase 2) en de transparantie-eisen voor beperkt risico AI (fase 3), volgt nu fase 4: de verplichtingen voor hoog-risico AI-systemen. Hieronder zetten we overzichtelijk de tijdlijn van begin tot eind:
- Fase 1: het verbod op AI-systemen met een onacceptabel risico en de verplichting tot AI-geletterdheid (1 februari 2025).
- Fase 2: het vaststellen van gedragsregels van General Purpose AI (GPAI) (1 mei 2025).
- Fase 3: verplichtingen voor AI-systemen met een beperkt risico (1 augustus 2025).
- Fase 4: de verplichtingen voor AI-systemen met een hoog risico gaan gelden. Grootschalige IT-systemen (Large Scale IT Systems) zijn in deze fase nog uitgezonderd (2 augustus 2026).
- Fase 5: ook grootschalige IT-systemen moeten voldoen aan de verplichtingen voor hoog-risico AI (2 augustus 2027).
Wat zijn hoog-risico AI-systemen?
Hoog-risico AI zijn systemen die door hun doel of toepassing een groot risico kunnen vormen voor de gezondheid, veiligheid of rechten van mensen. Fouten, vooroordelen of verkeerd gebruik van deze systemen kunnen ernstige gevolgen hebben. Daarom beschouwt de AI Act ze als hoog risico. Voorbeelden van gebieden waar hoog-risico AI voorkomt, zijn:
- Werk en personeelsbeheer, zoals werving en beoordeling;
- Toegang tot belangrijke publieke of private diensten, zoals het beoordelen van aanvragen voor uitkeringen of vergunningen;
- Veiligheid en handhaving, zoals het gebruiken van AI bij politieonderzoeken of surveillance;
- AI als onderdeel van de veiligheid van producten of systemen, zoals het toepassen van AI in zelfrijdende auto's of medische apparaten.
Het gaat niet om alle AI binnen deze domeinen, maar specifiek om systemen die onder bijlage III van de AI Act[1] als hoog risico zijn aangemerkt.
Voorbeelden binnen de overheid
Voor overheidsorganisaties is vooral de categorie 'essentiële diensten' relevant. Denk aan:
- Algoritmes voor uitkeringscontrole of fraudedetectie
- Systemen die bepalen of iemand in aanmerking komt voor toeslagen of subsidies
- AI die bepaalt welke aanvragen eerst worden behandeld
- Geautomatiseerde besluitvorming over vergunningen
Daarnaast kunnen HR-afdelingen te maken krijgen met hoog-risico AI bij werving en selectie, bijvoorbeeld tools die CV's screenen of sollicitatiegesprekken analyseren.
De nieuwe verplichtingen vanaf 2 augustus 2026
De AI Act stelt eisen aan het hele proces rondom hoog-risico AI: van ontwikkeling en ingebruikname tot doorlopend gebruik. Als gebruiksverantwoordelijke organisatie ben je aan de volgende verplichtingen gebonden.
Risico’s in kaart brengen en beperken
Organisaties moeten de risico's van het AI-systeem identificeren, beoordelen en beperken. Dit moet vanaf de ingebruikname en zolang het AI-systeem wordt ingezet. Zo voorkom je schade aan mensen en hun rechten, en maak je het systeem veiliger
Betrouwbare en goede data
De data die het systeem gebruikt, moet betrouwbaar, representatief en relevant zijn. Organisaties moeten ervoor zorgen dat de gegevens goed aansluiten bij het doel van het systeem en geen vooroordelen of fouten veroorzaken.
Menselijke controle en ingrijpen
Er moet altijd een mogelijkheid zijn voor mensen om te controleren wat het systeem doet. Medewerkers moeten kunnen ingrijpen als dat nodig is. Zo voorkom je volledig automatische beslissingen zonder menselijke controle.
Uitleg over het systeem
Gebruikers moeten voldoende informatie krijgen over de werking en beperkingen van het systeem, zodat zij het verantwoord kunnen gebruiken.
Betrouwbare werking en beveiliging van het systeem
Het systeem moet consistent correcte beslissingen maken, beschermd zijn tegen cyberaanvallen en bestand zijn tegen storingen of misbruik.
Beslissingen en systeemgedrag vastleggen
Het systeem moet belangrijke gebeurtenissen en beslissingen vastleggen. Zo kun je later begrijpen wat er is gebeurd en waarom. Dit is essentieel voor transparantie en controle.
Monitoring en melden van risico’s
Je moet het systeem doorlopend monitoren. Wanneer afwijkingen, fouten of risico’s worden vastgesteld, moeten deze tijdig worden doorgegeven aan de juiste personen of organisaties.
Incidentmelding en rapportage
Je moet duidelijk vastleggen wat je als een ernstig incident beschouwt, wie het signaleert en hoe je het rapporteert aan leveranciers en autoriteiten. Dit is nodig om te voldoen aan de meldplicht.
Registratie en FRIA (Fundamental Rights Impact Assessment)
Overheidsorganisaties en organisaties die publieke diensten leveren moeten voor hoog-risico AI een Fundamental Rights Impact Assessment (FRIA) uitvoeren vóór ingebruikname. Dit is een analyse van de impact op grondrechten. De toets brengt in kaart:
- Welke grondrechten het systeem kan raken
- Welke risico's er zijn voor discriminatie
- Hoe het systeem de privacy van burgers beïnvloedt
- Welke maatregelen de risico's beperken
De FRIA is een aanvulling op de bestaande DPIA (Data Protection Impact Assessment) onder de AVG. Je kunt beide assessments combineren, maar elk kader moet volledig zijn afgedekt. Sommige systemen moet je ook registreren in de EU-database voor gebruik.
Transparantie richting gebruikers en betrokkenen
Als je AI gebruikt voor toepassingen zoals biometrie of interactie met gebruikers (zoals chatbots of emotieherkenning), moet je voldoen aan de regels voor transparantie. Dit betekent dat je gebruikers informeert over wat het systeem doet en welke gegevens het
Wat kun je doen om te voldoen aan de nieuwe verplichtingen?
Inventariseer welke AI-systemen hoog-risico zijn
Maak een overzicht van alle AI-systemen die je gebruikt bij besluitvorming die invloed heeft op inwoners, ondernemers of medewerkers. Bepaal of deze systemen onder ‘hoog-risico AI’ vallen volgens bijlage III van de AI Act[1]. Gebruik hiervoor de [Beslishulp AI-verordening].
Bepaal je rol: aanbieder of gebruiksverantwoordelijke
Koop je AI-systemen in? Dan ben je meestal gebruiksverantwoordelijke en is de leverancier de aanbieder. Beide partijen hebben verplichtingen onder de AI Act, maar deze verschillen. Stem af met je leverancier wie waarvoor verantwoordelijk is.
Stel dat je een systeem inkoopt voor fraudedetectie: de leverancier moet technische documentatie leveren, jij moet de FRIA uitvoeren en menselijk toezicht inrichten. Stem daarom af wie de logging verzorgt, hoe lang data bewaard blijft en hoe het systeem menselijk ingrijpen mogelijk maakt.
Regel menselijk toezicht op AI-beslissingen
Zorg dat medewerkers de uitkomsten van AI-systemen kunnen beoordelen en indien nodig kunnen aanpassen. Leg vast wie verantwoordelijk is voor deze controle en hoe ingrijpen in de praktijk werkt.
Controleer de kwaliteit van de data
Zorg dat de gegevens die het systeem gebruikt relevant, representatief en van goede kwaliteit zijn. Zijn de gegevens actueel? Ontbreken er groepen in de dataset?
Implementeer monitoring en meld afwijkingen
Zet monitoring op die de prestaties van het AI-systeem bijhoudt. Bepaal welke afwijkingen gemeld moeten worden en door wie.
Stel een meldprocedure op voor incidenten
Stel vast wat als een ernstig incident wordt beschouwd, wie het signaleert en hoe het gerapporteerd wordt aan leveranciers en autoriteiten.
Bewaar systeemlogbestanden minimaal zes maanden
Configureer het systeem zo dat alle handelingen automatisch worden vastgelegd in logbestanden. Stel de bewaartermijn in op minimaal 6 maanden en controleer of andere wetgeving langere bewaring vereist.
Registreer hoog-risico systemen in de EU-database
Zorg ervoor dat je systemen die onder de ‘hoog-risico’ categorie vallen, vóór gebruik zijn geregistreerd in de EU-database. Dit geldt ook voor publieke organisaties.
Voer een grondrechtentoets uit (FRIA)
Als jouw toepassing onder de FRIA-plicht valt, voer dan voor gebruik een analyse uit die de impact op grondrechten in kaart brengt.
Hulpmiddelen
De VNG en het ministerie van Binnenlandse Zaken bieden hulpmiddelen voor overheidsorganisaties:
AI Governance Framework - Praktische tools voor gemeenten
Beslishulp AI-verordening - Bepaal of en hoe de AI Act op jouw systeem van toepassing is
Algoritmekader - Overzicht van vereisten, maatregelen en instrumenten voor algoritmes en AI
Algoritmeregister - Registreer en publiceer informatie over je algoritmes
FRIA Guide ECNL/DIHR - Uitgebreide gids voor het uitvoeren van een Fundamental Rights Impact Assessment
AI Act wetgeving (EUR-Lex) - Officiële tekst van de Europese AI-verordening
EU-database voor hoog-risico AI - Registratie van hoog-risico AI-systemen (wordt beheerd door de Europese Commissie, artikel 71 AI Act[3])
Start nu met je voorbereiding
De deadline van 2 augustus 2026 is dichterbij dan je denkt. Begin vandaag nog met het inventariseren van je AI-systemen en bepaal welke onder de hoog-risico categorie vallen. Hoe eerder je begint, hoe meer tijd je hebt om de benodigde maatregelen te treffen.
Bronvermelding
[3] Artikel 71 'EU-databank voor in bijlage III vermelde AI-systemen met een hoog risico' van de AI Act