AI Act risicoclassificatie: in welke categorie valt jouw AI-toepassing?
De AI Act deelt alle AI-systemen in vier categorieën in: verboden, hoog risico, beperkt risico en minimaal risico. In welke categorie jouw toepassing valt, bepaalt welke verplichtingen voor je gelden.
De AI Act (Verordening EU 2024/1689) werkt met een risicogebaseerde aanpak: hoe groter het potentiële gevaar voor mensen, hoe zwaarder de eisen. Voor MKB-bedrijven die AI inzetten of overwegen in te zetten, is de eerste vraag altijd: wat voor AI is dit en welke categorie hoort daarbij?
Dit artikel geeft een volledig overzicht van de vier categorieën, met concrete voorbeelden die relevant zijn voor het MKB.
Categorie 1: Verboden AI-toepassingen (AI Act art. 5)
De zwaarste categorie: deze systemen zijn per 2 februari 2025 volledig verboden in de EU. Geen uitzonderingen voor commerciële toepassingen.
| Verboden toepassing | Waarom verboden |
|---|---|
| Social scoring door overheden of bedrijven | Rangschikking van mensen op basis van gedrag schaadt fundamentele rechten |
| Realtime biometrische identificatie in openbare ruimte | Massamassasurveillance is onacceptabel (beperkte uitzonderingen voor politie) |
| Manipulatieve AI die mensen onbewust beïnvloedt | Ondermijnt autonomie en bewuste keuze |
| AI die kwetsbare groepen uitbuit | Kinderen, ouderen of personen met beperking manipuleren |
| Emotieherkenning op de werkvloer of in onderwijs | Schending van persoonlijke sfeer zonder rechtvaardiging |
| Voorspelling van toekomstig crimineel gedrag | Veroordeelt mensen voor wat ze niet hebben gedaan |
Voor MKB-bedrijven is de meest relevante verbodsbepaling: emotieherkenning op de werkvloer. Sommige HR-tools die claimen emoties of persoonlijkheidskenmerken te herkennen via camera of stem vallen hieronder. Gebruik ze niet.
Categorie 2: Hoog-risico AI (Bijlage III AI Act)
Hoog-risico AI mag worden gebruikt maar vereist zware verplichtingen voor zowel aanbieders (bouwers) als gebruikers (deployers). De categorieën staan in Bijlage III van de AI Act.
| Domein | Concrete voorbeelden |
|---|---|
| Biometrische identificatie en categorisering | Gezichtsherkenning voor toegangsbeheer |
| Kritieke infrastructuur | AI in energiebeheer, watersystemen, transport |
| Onderwijs en beroepsopleiding | AI-beoordeling van studenten, toelatingssystemen |
| Werkgelegenheid en personeelsbeheer | CV-screening, presattiebewaking, promotiebesluiten |
| Toegang tot essentiële diensten | Kredietscoring, verzekerbaarheid, overheidsvoordelen |
| Rechtshandhaving | Risicoprofilering, polygrafie, criminaliteitsvoorspelling |
| Migratie en grensbeheer | Documentverificatie, asielrisico-analyse |
| Rechtsbedeling | Juridische beslissingsondersteuning |
Voor MKB het meest relevant:
- HR-software met AI-screening van sollicitanten (Bijlage III, 4a)
- Tools die prestaties van medewerkers monitoren en beoordelen (4b)
- Kredietscoring bij klanten of leveranciers (5b)
Verplichtingen bij hoog-risico AI
Als je hoog-risico AI gebruikt (als deployer/gebruiker):
| Verplichting | Wat het betekent in de praktijk |
|---|---|
| Menselijk toezicht | Elke AI-beslissing wordt door een mens beoordeeld voor ze effect heeft |
| Conformiteitsdocumentatie opvragen | Vraag de aanbieder om technische documentatie en CE-markering |
| Logboekbewaring | Bewaar de automatisch gegenereerde logs van het systeem |
| Invoerdata bewaken | Controleer of je de juiste data invoert voor het beoogde gebruik |
| Incidentmelding | Ernstige incidenten meld je aan de aanbieder én de toezichthouder |
| Transparantie naar betrokkenen | Informeer medewerkers of klanten als AI een rol speelt in een beslissing over hen |
Boetes voor gebruikers bij niet-naleving: tot €15 miljoen of 3% van de wereldwijde jaaromzet (hoogste bedrag).
Categorie 3: Beperkt-risico AI
Beperkt-risico AI mag worden ingezet maar vereist transparantie naar de persoon die ermee interacteert. De regels gelden per 2 augustus 2025.
| Toepassing | Transparantieverplichting |
|---|---|
| Chatbots en virtuele assistenten | Melden dat de gebruiker met een AI communiceert |
| Deepfake-afbeeldingen of -video's | Labelen als kunstmatig gecreëerd |
| AI-gegenereerde tekst die als menselijk zou kunnen worden gelezen | Aangeven dat het AI-gegenereerde content is |
| Emotieherkenning buiten de verboden contexten | Informeren dat emoties worden geanalyseerd |
Voor MKB-bedrijven met een AI-chatbot in hun klantenservice geldt: de klant moet altijd weten dat hij met een AI praat én moet kunnen overschakelen naar een menselijke medewerker.
Categorie 4: Minimaal-risico AI
De grootste groep: AI-systemen met minimaal risico vallen niet onder specifieke verplichtingen van de AI Act. Vrijwillig een gedragscode toepassen wordt wel aangemoedigd.
| Voorbeelden minimaal risico |
|---|
| Spamfilters en e-mailsortering |
| AI-aanbevelingssystemen voor producten (zonder profilering) |
| AI voor tekstverbetering (spelchecker, grammaticacheck) |
| AI-vertalingen intern |
| Voorspellingsmodellen voor voorraadbeheer (intern gebruik) |
| AI-ondersteunde zoekmachines intern |
De meeste AI-tools die medewerkers dagelijks gebruiken (ChatGPT, Copilot voor tekstwerk, Grammarly) vallen in de praktijk onder minimaal risico zolang ze niet worden ingezet voor beslissingen die betrokkenen direct raken.
Beslisboom: in welke categorie valt jouw toepassing?
Vraag 1: is de toepassing vermeld in art. 5 (verboden lijst)?
Ja: niet gebruiken. Nee: ga naar vraag 2.
Vraag 2: valt de toepassing in Bijlage III (hoog-risico sectoren) en is het bedoeld voor beslissingen over mensen?
Ja: hoog-risico, zware verplichtingen van toepassing. Nee: ga naar vraag 3.
Vraag 3: interacteert de toepassing direct met mensen (chatbot, emotieherkenning, deepfake)?
Ja: beperkt risico, transparantieplicht van toepassing. Nee: ga naar vraag 4.
Vraag 4: heeft de toepassing minimaal effect op mensenrechten of veiligheid?
Ja: minimaal risico, geen specifieke verplichtingen. Twijfel: behandel als beperkt risico.
Praktijkscenario: HR-manager beoordeelt haar toolset
Een HR-manager bij een productiebedrijf met 90 medewerkers checkt haar AI-tools langs de classificatie:
| Tool | Classificatie | Actie |
|---|---|---|
| LinkedIn Recruiter (AI-suggesties) | Hoog risico (bijlage III, 4a) | Menselijk toezicht instellen, conformiteitsdoc opvragen |
| Teams (transcriptie vergaderingen) | Minimaal risico | Geen actie vereist |
| Applicant tracking met AI-score | Hoog risico (bijlage III, 4a) | Leverancier vragen om AI Act-compliance |
| ChatGPT voor vacatureteksten | Minimaal risico | Geen actie vereist |
| Klanttevredenheidsanalyse met AI | Minimaal risico | Geen actie vereist |
Resultaat: 2 van de 5 tools vereisen actie. De HR-manager schat de compliance-inspanning op 16 uur intern werk en circa 2.000 euro aan externe juridische review voor de leverancierscontracten. De HR-manager stelt menselijk toezicht in voor beide en vraagt conformiteitsdocumentatie op bij de leveranciers.
Stappenplan: jouw AI-tools classificeren
Stap 1: maak een inventarisatie
Lijst alle tools met een AI-component op. Denk ook aan: CRM, HRM, financiële software, klantenservicesoftware, marketing-automation.
Stap 2: doorloop de beslisboom per tool
Verboden? Hoog risico? Beperkt risico? Minimaal risico?
Stap 3: documenteer je classificatie
Noteer per tool je classificatiebeslissing en de redenering. Dit is je verdediging bij een controle.
Stap 4: neem acties per categorie
Verboden: stop onmiddellijk. Hoog risico: stel menselijk toezicht in, vraag conformiteitsdocumentatie op. Beperkt risico: zorg voor transparantie. Minimaal risico: geen actie vereist.
Stap 5: houd de classificatie actueel
Als een tool een nieuwe functie krijgt (AI-scoring van medewerkers, emotieherkenning), herbeoordeel de classificatie.
Tijdlijn: wanneer geldt welke verplichting?
| Datum | Verplichting |
|---|---|
| 2 februari 2025 | Verboden AI-toepassingen (art. 5) volledig van kracht |
| 2 augustus 2025 | GPAI-modellen (GPT-4, Gemini) vallen onder AI Act, gedragscodes actief |
| 2 augustus 2026 | Hoog-risico AI (bijlage III) volledig onderworpen aan alle verplichtingen |
| 2 augustus 2027 | Hoog-risico AI ingebed in producten (bijlage I, CE-markering) volledig van kracht |
Bestaande systemen die voor 2 augustus 2026 al in gebruik zijn, kunnen overgangsperiodes van 12 tot 36 maanden krijgen. Gartner schat dat in 2026 meer dan 40% van de grote organisaties in Europa actief AI-governance-processen heeft ingericht. Vraag je leverancier naar de specifieke situatie per product.
Risicocategorie bepalen: beslisboom
| Vraag | Ja → | Nee → |
|---|---|---|
| Valt de AI-toepassing in de verboden lijst (art. 5)? | Verboden AI — niet gebruiken | Volgende vraag |
| Valt het in bijlage I (veiligheidscomponenten van producten)? | Hoog risico | Volgende vraag |
| Valt het in bijlage III (HR, krediet, biometrie, overheid, onderwijs)? | Hoog risico | Volgende vraag |
| Interageert het met mensen zonder dat het duidelijk AI is? | Beperkt risico | Minimaal risico |
Concrete voorbeelden per risicocategorie voor MKB
| AI-toepassing | Risicocategorie | Reden |
|---|---|---|
| ChatGPT voor e-mails schrijven | Minimaal risico | Geen bijlage I of III toepassing |
| HR-chatbot die vragen beantwoordt (niet selecteert) | Beperkt risico | Interactie met mensen, transparantie vereist |
| AI-systeem voor CV-selectie | Hoog risico | Bijlage III: werkgelegenheid |
| Medisch diagnose-AI | Hoog risico | Bijlage I: medische hulpmiddelen |
| AI voor creditscoring van klanten | Hoog risico | Bijlage III: toegang tot financiële diensten |
| AI-bewaking op werkplek (emotion recognition) | Verboden | Art. 5: verboden praktijken |
| AI die beelden genereert voor marketing | Minimaal risico | Niet in bijlage I of III |
| Deepfake video voor entertainmentdoeleinden | Beperkt risico | Transparantieverplichting |
Tijdlijn naleving AI Act per risicocategorie
| Verplichting | Inwerkingtreding | Voor wie |
|---|---|---|
| Verboden AI-praktijken (art. 5) | 2 augustus 2025 | Alle aanbieders en gebruikers EU |
| Transparantie beperkt-risico AI | 2 augustus 2025 | Aanbieders van chatbots, deepfakes |
| GPAI-modelverplichtingen | 2 augustus 2025 | Aanbieders Foundation Models |
| Hoog-risico AI bijlage III | 2 augustus 2026 | Aanbieders + deployers hoog-risico |
| Hoog-risico AI bijlage I (producten) | 2 augustus 2027 | Fabrikanten producten met AI |
| Bestaande AI-systemen bijlage I | 2 augustus 2027 | Bestaande hoog-risico systemen |
Veelgestelde vragen
Is ChatGPT hoog risico?
Nee, niet voor normaal gebruik. ChatGPT als assistent voor tekstwerk of informatie zoeken is minimaal risico. Als je ChatGPT gebruikt om beslissingen te nemen over mensen (CV-beoordeling, kredietbeslissingen) verandert de context en kun je als gebruiker verantwoordelijkheden krijgen.
Valt mijn webshop-aanbevelingssysteem onder de AI Act?
Doorgaans niet als hoog risico, tenzij het systeem mensen profileert op beschermde kenmerken. Standaard "andere klanten kochten ook" valt onder minimaal risico.
Wanneer worden de verplichtingen voor hoog-risico AI actief?
Per 2 augustus 2026 voor de meeste hoog-risico AI-toepassingen. Bestaande systemen die vóór die datum al worden gebruikt krijgen soms overgangsperiodes. Controleer per systeem bij de aanbieder.
*Zie ook: AI Act voor het MKB | AI Act verplichtingen voor gebruikers | AI Act verplichtingen voor aanbieders | AI en AVG privacy | ChatGPT zakelijk | AI risico's MKB | AI beleid opstellen*