_edited.png)
Is jouw AI-systeem "hoog risico"? Nieuwe EU-richtlijnen leggen de regels van de AI Act uit
- 12 uur geleden
- 7 minuten om te lezen
Op 19 mei 2026 publiceerde de Europese Commissie nieuwe concept-richtlijnen die uitleggen wanneer een AI-systeem onder de AI Act als "hoog risico" wordt aangemerkt. Voor elke ondernemer die AI ontwikkelt, inkoopt, doorverkoopt of inzet, is dit cruciale informatie: hoog-risico-classificatie brengt zware verplichtingen met zich mee en forse boetes bij overtreding. In deze blog leggen wij uit wanneer uw AI-systeem onder de regels valt, waar de valkuilen liggen en wanneer de regels precies gaan gelden. Onze IT-recht specialisten helpen u graag verder.
(Bron: Draft Commission guidelines on the classification of high-risk AI systems under Article 6 of Regulation (EU) 2024/1689, gepubliceerd 19 mei 2026)
Waar gaat dit over?
De AI Act (Verordening (EU) 2024/1689) is sinds 1 augustus 2024 van kracht en is de eerste alomvattende AI-wetgeving ter wereld. De verordening hanteert een risicogebaseerde aanpak: hoe groter het risico dat een AI-systeem vormt voor gezondheid, veiligheid of grondrechten, hoe strenger de regels.
De zwaarste categorie naast de verboden AI-toepassingen is die van de hoog-risico AI-systemen. Voor deze systemen gelden uitgebreide verplichtingen rond risicomanagement, datakwaliteit, technische documentatie, transparantie, menselijk toezicht en conformiteitsbeoordeling. De vraag óf uw systeem in deze categorie valt, is dus van levensbelang voor uw bedrijfsvoering.
Precies op dat punt was er lange tijd onduidelijkheid. De nieuwe concept-richtlijnen van de Commissie geven daarom met praktische voorbeelden —antwoord op de vraag: wanneer is een AI-systeem hoog risico? Een vraag waar wij als IT-recht juristen dagelijks mee bezig zijn.
Eerst: is uw systeem überhaupt een "AI-systeem"?
Voordat de classificatie aan de orde komt, moet uw systeem kwalificeren als een AI-systeem in de zin van artikel 3(1) AI Act. De definitie: een machinaal systeem dat met een zekere mate van autonomie werkt, zich na uitrol kan aanpassen, en dat uit input afleidt hoe het output (voorspellingen, content, aanbevelingen of beslissingen) genereert die fysieke of virtuele omgevingen kan beïnvloeden.
Niet elke softwaretoepassing of geautomatiseerd besluitvormingssysteem valt hieronder. Een simpele rekenmodule of een vast geprogrammeerd "als-dan"-script is geen AI-systeem. Twijfelt u of uw software onder de AI Act valt? Laat dit juridisch toetsen — het scheelt mogelijk een hoop compliance-werk.
Twee routes naar "hoog risico"
De AI Act kent twee manieren waarop een AI-systeem als hoog risico wordt geclassificeerd. Het is essentieel om beide te begrijpen.
Route 1: AI als product of veiligheidscomponent (artikel 6(1))
Deze route geldt voor AI die onderdeel is van — of zélf — een product is dat valt onder bestaande Europese productveiligheidswetgeving (opgesomd in Annex I). Denk aan machines, speelgoed, liften, medische hulpmiddelen, radioapparatuur, drukapparatuur, voertuigen en luchtvaart.
Voor classificatie als hoog risico gelden twee cumulatieve voorwaarden:
De AI is een veiligheidscomponent van zo'n product, óf is zelf zo'n product.
Dat product moet een conformiteitsbeoordeling door een derde partij ondergaan.
Route 2: AI in een gelijste toepassing (artikel 6(2) en Annex III)
De tweede route geldt als uw AI-systeem valt onder één van de specifieke gebruikssituaties in Annex III — bijvoorbeeld AI in werving en selectie, kredietbeoordeling, onderwijs, biometrie of rechtshandhaving. Voor werkgevers die AI inzetten bij sollicitaties of personeelsbeoordeling is dit bijzonder relevant.
Wat is een "veiligheidscomponent"? De intentie versus het gevolg
Bij Route 1 draait alles om het begrip veiligheidscomponent (artikel 3(14) AI Act). De richtlijnen onderscheiden twee scenario's waarin uw AI hieronder valt:
Scenario | Waar draait het om? | Wie bepaalt het? |
Veiligheidsfunctie | Wat is de AI bedoeld te doen? Het beoogde doel moet zijn om veiligheidsrisico's te voorkomen of te beperken. | De aanbieder (via handleiding, documentatie, reclame). |
Falen of storing | Wat gebeurt er als de AI faalt? Als een storing de gezondheid, veiligheid of eigendommen in gevaar brengt. | De systeemarchitectuur en risicoanalyse. |
Het cruciale inzicht: zelfs als uw AI niet bedoeld is als veiligheidsfunctie, kan het tóch een veiligheidscomponent zijn als een storing tot gevaar leidt.
Sprekende voorbeelden uit de richtlijnen
wel hoog risico:
Een AI-systeem dat menselijke aanwezigheid in een robotcel detecteert en de machine stillegt (veiligheidsfunctie).
Een AI die gasconcentraties bewaakt en bij gevaar uitschakelt.
Een AI die de deursluiting van een lift regelt — bedoeld voor efficiëntie, maar bij storing levensgevaarlijk.
Rijstrookassistentie in een auto — bedoeld voor comfort, maar bij storing kan een onverwachte stuurbeweging een aanrijding veroorzaken.
Geen hoog risico:
Een AI die muziek aanbeveelt in een connected speelgoed.
Een slimme thermostaat die het verwarmingsschema optimaliseert voor comfort en energiebesparing — een storing leidt enkel tot ongemak of een hogere energierekening.
Een AI die de oogstopbrengst voorspelt of irrigatie optimaliseert in de landbouw.
Het verschil zit dus in de gevolgen van een storing: leidt het tot fysiek gevaar, of slechts tot ongemak en hogere kosten? Voor bedrijven die AI in fysieke producten verwerken, is deze afweging bepalend. Onze bedrijfsjuristen denken hierin graag mee.
De grootste valkuilen voor ondernemers
Valkuil 1: het "beoogde doel" wordt te ruim omschreven
Het beoogde doel (intended purpose) van uw AI-systeem speelt een sleutelrol. De aanbieder bepaalt dit via handleidingen, contracten, voorwaarden en marketingmateriaal. Maar let op: als u uw AI-systeem (of general-purpose AI) breed in de markt zet — toepasbaar in allerlei contexten — zónder hoog-risico-toepassingen consequent uit te sluiten, dan wordt aangenomen dat het beoogde doel óók die hoog-risico-toepassingen omvat. En dan is uw systeem hoog risico.
Valkuil 2: een disclaimer in de voorwaarden is niet genoeg
Veel ondernemers denken: "Ik zet wel even in mijn algemene voorwaarden dat hoog-risico-gebruik is uitgesloten." Dat werkt niet. De richtlijnen zijn glashelder: een loutere bewering dat hoog-risico-gebruik is uitgesloten is onvoldoende als uw bredere presentatie, voorbeelden of productpositionering dat gebruik feitelijk wél mogelijk maakt of promoot. Beperkingen moeten duidelijk, concreet en consistent in álle materialen worden doorgevoerd. Laat uw voorwaarden en documentatie juridisch toetsen om deze valkuil te vermijden.
Valkuil 3: u wordt onbedoeld zélf "aanbieder"
Dit is een onderschat risico. Op grond van artikel 25(1) AI Act kunnen distributeurs, importeurs, afnemers (deployers) of andere derden zélf de zware verplichtingen van een aanbieder krijgen als zij:
Hun eigen naam of merk op een bestaand hoog-risico AI-systeem plaatsen.
Een ingrijpende wijziging aanbrengen in een hoog-risico AI-systeem.
Het beoogde doel van een AI-systeem zo wijzigen dat het daardoor hoog risico wordt.
Koopt u AI in en past u die aan voor uw eigen toepassing? Dan kunt u juridisch in de schoenen van de fabrikant stappen — met alle verplichtingen van dien. Dit raakt vooral ondernemers die AI-oplossingen integreren in hun eigen producten of diensten.
Wanneer gaan de regels precies gelden?
Goed nieuws voor wie nog niet klaar is: de invoeringsdata zijn door het zogenoemde AI Omnibus-pakket uitgesteld:
Categorie | Oorspronkelijk | Nu (na AI Omnibus) |
Annex III-toepassingen (art. 6(2)) | 2 augustus 2026 | 2 december 2027 |
Annex I-producten (art. 6(1)) | 2 augustus 2027 | 2 augustus 2028 |
Voor AI-systemen die door overheden worden gebruikt en voor bepaalde grootschalige IT-systemen gelden afwijkende, latere termijnen (tot uiterlijk 2030).
Let op: dit uitstel is géén reden om achterover te leunen. Compliance met de AI Act vergt maanden voorbereiding — risicomanagementsystemen, technische documentatie, conformiteitsbeoordelingen. Wie nu begint, loopt straks voorop. Onze juristen helpen u een realistische routekaart op te stellen.
Let op: de richtlijnen zijn (nog) niet bindend
Twee belangrijke nuances. Ten eerste zijn dit concept-richtlijnen, gepubliceerd voor een stakeholderconsultatie. De definitieve versie kan op punten afwijken. Ondernemers en brancheorganisaties kunnen tot de sluiting van de consultatie input leveren.
Ten tweede zijn de richtlijnen, ook na vaststelling, niet juridisch bindend. Alleen het Hof van Justitie van de EU kan een bindende uitleg van de AI Act geven. De richtlijnen zijn dus een belangrijk interpretatiehulpmiddel — geen wet. Voor een juridisch onderbouwde inschatting van úw specifieke situatie is persoonlijk advies onmisbaar.
Wat moet u nu doen? Een praktisch stappenplan
Inventariseer uw AI-systemen. Welke AI ontwikkelt, verkoopt, koopt of gebruikt u? Maak een overzicht.
Bepaal of het AI-systemen zijn in de zin van artikel 3(1) AI Act.
Classificeer per systeem of het hoog risico is via Route 1 (product/veiligheidscomponent) of Route 2 (Annex III).
Controleer uw beoogde doel en de manier waarop u dit communiceert — pas marketing, voorwaarden en documentatie consistent aan.
Beoordeel uw rol in de AI-waardeketen: bent u aanbieder, distributeur, importeur of deployer — en loopt u risico op artikel 25(1)?
Stel een compliance-routekaart op richting de deadlines van 2027 en 2028.
Schakel tijdig juridische expertise in.
Veelgestelde vragen
Geldt de AI Act ook voor mijn kleine onderneming? Ja. De AI Act kent geen algemene uitzondering voor het MKB. Wel zijn er mechanismen om de nalevingslast te beperken, zoals het integreren van AI-risico's in bestaande risicomanagementsystemen. Onze bedrijfsjuristen helpen u dit efficiënt in te richten.
Is alle AI automatisch hoog risico? Nee, juist niet. De AI Act hanteert een proportionele, risicogebaseerde aanpak. Veel consumentenproducten met AI — zoals slimme thermostaten, wasmachines of televisies — vallen buiten de hoog-risico-categorie omdat hun doel comfort of optimalisatie is en een storing geen veiligheidsgevaar oplevert.
Mijn AI zit in een product dat al CE-gekeurd wordt. Ben ik dan hoog risico? Niet automatisch. Beslissend is of dat product een conformiteitsbeoordeling door een derde partij moet ondergaan. Mag de fabrikant volstaan met interne controle (zonder verplichte geharmoniseerde normen), dan valt het mogelijk buiten de hoog-risico-classificatie. Dit is een technisch-juridische beoordeling waar wij u bij helpen.
Wat als ik AI inkoop en onder mijn eigen merk verkoop? Dan kunt u op grond van artikel 25(1) AI Act zélf als aanbieder worden aangemerkt, met alle verplichtingen van dien. Dit is een veelvoorkomende valkuil voor ondernemers die AI-oplossingen "white-labelen".
Kan ik hoog-risico-gebruik uitsluiten in mijn algemene voorwaarden? Een enkele disclaimer is onvoldoende. De uitsluiting moet duidelijk, concreet en consistent in al uw materialen — voorwaarden, marketing, handleidingen — zijn doorgevoerd. Laat dit juridisch controleren.
Wanneer moet ik klaar zijn? Voor Annex III-toepassingen geldt nu 2 december 2027, voor Annex I-producten 2 augustus 2028. Maar gezien de voorbereidingstijd raden wij aan nu al te beginnen.
Wat zijn de boetes bij overtreding van de AI Act? De AI Act kent forse boetes, oplopend tot tientallen miljoenen euro's of een percentage van de wereldwijde jaaromzet, afhankelijk van de overtreding. Compliance is dus geen vrijblijvende exercitie.
Klaar voor de AI Act? Wij helpen u verder
De AI Act verandert het speelveld voor elke onderneming die met kunstmatige intelligentie werkt. Of u nu AI ontwikkelt, integreert, inkoopt of inzet — een verkeerde inschatting van de risicoclassificatie kan leiden tot zware verplichtingen of forse boetes.
Van der Burg Juristen ondersteunt ondernemers, tech-bedrijven en MKB in Groningen en heel Nederland bij:
Het beoordelen of uw systeem een AI-systeem en/of hoog risico is onder de AI Act.
Het opstellen van een compliance-routekaart richting de deadlines van 2027 en 2028.
Het juridisch waterdicht formuleren van het beoogde doel, voorwaarden en productdocumentatie.
Het beoordelen van uw rol in de AI-waardeketen (aanbieder, distributeur, deployer).
AI-vraagstukken bij werving, selectie en personeelsbeoordeling.
Contracten, licenties en aansprakelijkheid rond AI en software.
Doorlopende juridische ondersteuning via ons Ondernemers Lidmaatschap.
Plan vandaag nog uw gratis strategiegesprek wij reageren binnen 2 uur, ook in het weekend via WhatsApp. Bel 085 - 4017515 of mail info@vanderburg-recht.nl.
Meer weten over onze IT-recht praktijk? Bekijk onze pagina over IT-recht, lees over Justin van der Burg of bekijk onze recente zaken.
Bron: Draft Commission guidelines on the classification of high-risk AI systems under Article 6 of Regulation (EU) 2024/1689 (AI Act), gepubliceerd 19 mei 2026. Dit blog is een juridische analyse en geen vervanging voor persoonlijk advies. Voor uw eigen situatie raden wij een persoonlijk consult aan.
Opmerkingen