De EU AI Act (Verordening 2024/1689) is op 1 augustus 2024 in werking getreden en wordt gefaseerd van kracht. Vanaf februari 2025 gelden de verboden op onaanvaardbare AI-systemen. Vanaf augustus 2025 zijn de regels voor general-purpose AI van toepassing. En vanaf augustus 2026 gelden de volledige verplichtingen voor hoog-risico AI-systemen. Voor organisaties die AI ontwikkelen, aanbieden of inzetten, is het zaak om nu te handelen.
Dit artikel beschrijft hoe de risicoclassificatie werkt, wat de verplichtingen zijn per categorie, en hoe een conformiteitsbeoordeling eruitziet.
Het risicogebaseerde kader
De AI Act deelt AI-systemen in vier risicocategorieen in. De eerste categorie is onaanvaardbaar risico. Dit zijn AI-systemen die verboden zijn omdat ze fundamentele rechten schenden. Voorbeelden zijn sociale scoring door overheden, real-time biometrische identificatie in openbare ruimten (met beperkte uitzonderingen voor rechtshandhaving), en manipulatieve AI die kwetsbare groepen uitbuit. Deze systemen mogen niet worden gebruikt binnen de EU, ongeacht waar ze zijn ontwikkeld.
De tweede categorie is hoog risico. Dit is de categorie waar de meeste verplichtingen gelden. Hoog-risico AI-systemen zijn systemen die worden ingezet in kritieke domeinen zoals biometrie, kritieke infrastructuur, onderwijs, werkgelegenheid, essentieel diensten, rechtshandhaving, migratie en rechtspraak. Daarnaast vallen AI-systemen die dienen als veiligheidscomponent van een product dat onder bestaande EU-productwetgeving valt (zoals medische hulpmiddelen of machines) automatisch in de hoog-risico categorie.
De derde categorie is beperkt risico. Dit betreft AI-systemen met transparantieverplichtingen, zoals chatbots en deepfake-generatoren. Gebruikers moeten worden geinformeerd dat ze met AI interacteren. De vierde categorie is minimaal risico. Dit omvat het merendeel van AI-toepassingen, zoals spamfilters en AI in videogames. Hiervoor gelden geen specifieke verplichtingen, hoewel de Europese Commissie vrijwillige gedragscodes aanmoedigt.
Verplichtingen voor hoog-risico AI
Organisaties die hoog-risico AI-systemen ontwikkelen of inzetten, moeten voldoen aan uitgebreide eisen. De eerste eis is een risicomanagementsysteem. Dit moet gedurende de gehele levenscyclus van het AI-systeem worden onderhouden. Het omvat het identificeren en analyseren van bekende en voorzienbare risico's, het schatten en evalueren van risico's die kunnen ontstaan wanneer het systeem conform zijn beoogde doel wordt gebruikt, en het treffen van passende maatregelen.
De tweede eis betreft data governance. Trainings-, validatie- en testdatasets moeten relevant, representatief en zo veel mogelijk vrij van fouten zijn. Er gelden specifieke eisen voor het omgaan met bias en het waarborgen van datakwaliteit.
Daarnaast zijn er eisen voor technische documentatie, logging en traceerbaarheid, transparantie en informatieverstrekking aan gebruikers, menselijk toezicht, nauwkeurigheid, robuustheid en cybersecurity.
De conformiteitsbeoordeling
Voordat een hoog-risico AI-systeem op de EU-markt mag worden gebracht, moet een conformiteitsbeoordeling worden uitgevoerd. Voor de meeste hoog-risico systemen kan de aanbieder deze beoordeling zelf uitvoeren op basis van interne controle (Bijlage VI van de verordening). Voor biometrische identificatiesystemen is een beoordeling door een aangemelde instantie (notified body) verplicht.
De conformiteitsbeoordeling omvat het verifiëren dat het kwaliteitsmanagementsysteem voldoet aan de eisen, het beoordelen van de technische documentatie, het controleren dat het risicomanagementsysteem adequaat is, en het testen van het systeem op nauwkeurigheid en robuustheid. Na succesvolle beoordeling stelt de aanbieder een EU-conformiteitsverklaring op en brengt de CE-markering aan.
De relatie met ISO 42001
ISO 42001 biedt een managementsysteemkader voor verantwoord AI-gebruik. Hoewel ISO 42001-certificering niet automatisch AI Act compliance betekent, is er aanzienlijke overlap. Een organisatie met een werkend AI-managementsysteem conform ISO 42001 heeft al veel van de structurele vereisten op orde: risicobeoordeling, governance, documentatie en monitoring.
Het verschil zit in de specificiteit. De AI Act stelt concrete, juridisch bindende eisen aan specifieke AI-systemen. ISO 42001 biedt het organisatorische raamwerk waarbinnen die eisen kunnen worden geimplementeerd. Wij adviseren organisaties om ISO 42001 te gebruiken als fundament en daar de AI Act-specifieke eisen bovenop te leggen.
Wat nu te doen
Begin met een AI-inventarisatie. Breng alle AI-systemen in kaart die je ontwikkelt, aanbiedt of inzet. Classificeer elk systeem volgens het risicomodel van de AI Act. Beoordeel vervolgens per hoog-risico systeem of je voldoet aan de vereisten. Stel een tijdlijn op om eventuele gaps te dichten voor augustus 2026.
Secure Audit helpt organisaties bij het classificeren van hun AI-systemen, het uitvoeren van gap-analyses tegen de AI Act vereisten, en het opzetten van een conform AI-managementsysteem. Neem contact op voor een AI Act readiness assessment.
Lees ook
De EU AI Act is van kracht en ISO 42001 biedt het managementsysteem om eraan te voldoen. Maar hoe verhouden ze zich tot elkaar? En waar zitten de hiaten?
Steeds meer bedrijven willen ISO 42001-gecertificeerd worden. Maar de praktijk is weerbarstiger dan de theorie. Dit zijn de zeven dingen die wij tegenkomen bij organisaties die hun AI-governance op orde willen brengen.
ISO 42001 biedt richtlijnen voor het beheren van AI-systemen op een veilige en verantwoorde manier. Ontdek wat dit betekent voor jouw organisatie.
Over de auteur
Partner | IT-auditor