De EU AI-verordening (Verordening (EU) 2024/1689) hanteert een risicogebaseerde aanpak: hoe groter de potentiële schade van een AI-systeem, hoe zwaarder de verplichtingen. Vier risiconiveaus vormen het hart van dit stelsel. Voor elke organisatie die AI ontwikkelt of inzet, is de vraag in welk niveau een systeem valt bepalend voor de naleving. Dit artikel legt de vier niveaus uit en illustreert elk niveau met concrete voorbeelden.

Onaanvaardbaar risico: volledig verboden

AI-systemen in deze categorie zijn in de EU verboden. Artikel 5 van de AI-verordening somt acht specifieke praktijken op die per 2 februari 2025 van kracht zijn verboden.

Concrete voorbeelden van verboden toepassingen:

  • Social scoring: systemen die mensen beoordelen op basis van sociaal gedrag of persoonlijkheidskenmerken, met ongerechtvaardigd nadeel als gevolg.
  • Manipulerende technieken: AI die via subliminale of misleidende methoden het gedrag van mensen wezenlijk verstoort en daarmee schade veroorzaakt.
  • Realtime biometrische identificatie op afstand in openbare ruimten voor rechtshandhavingsdoeleinden, behoudens strikte uitzonderingen (zoals het opsporen van vermiste personen of het afwenden van een terroristische aanslag).
  • Emotieherkenning op de werkvloer of in onderwijsinstellingen, tenzij voor medische of veiligheidsdoeleinden.
  • Biometrische categorisering op basis van kenmerken als ras, politieke overtuiging of seksuele gerichtheid.

Er zijn geen uitzonderingen op het verbod buiten de gevallen die artikel 5 zelf noemt. Een organisatie die een verboden systeem toch in gebruik neemt, riskeert handhaving door de bevoegde nationale toezichthouder.

Hoog risico: strenge verplichtingen

Hoog-risico AI-systemen mogen wel op de markt worden gebracht en in gebruik worden genomen, maar zijn onderworpen aan een uitgebreid stelsel van verplichtingen. De classificatie als hoog risico volgt uit artikel 6 in combinatie met Bijlage I en Bijlage III van de verordening.

Er zijn twee routes naar de hoog-risicoclassificatie:

  1. Het AI-systeem functioneert als veiligheidsonderdeel van een product dat onder bestaande EU-productveiligheidswetgeving valt (Bijlage I), zoals medische hulpmiddelen, machines of liftinstallaties, én dat product is onderworpen aan een conformiteitsbeoordeling door een derde partij.
  2. Het AI-systeem valt binnen een van de acht gebruiksgebieden van Bijlage III: biometrie, kritieke infrastructuur, onderwijs en beroepsopleiding, werkgelegenheid en personeelsbeheer, essentiële diensten en uitkeringen, rechtshandhaving, migratie- en grensbeheer, of rechtspraak en democratische processen.

Voorbeelden van hoog-risico AI:

  • Een CV-scansysteem dat sollicitanten rangschikt voor vacatures (werkgelegenheid, Bijlage III).
  • Een kredietbeoordelingsmodel dat beslissingen over leningen beïnvloedt (essentiële diensten, Bijlage III).
  • AI in robotgeassisteerde chirurgie (veiligheidsonderdeel medisch hulpmiddel, Bijlage I).
  • Een systeem dat toelatingsbesluiten voor een opleiding neemt (onderwijs, Bijlage III).

Voor hoog-risico AI-systemen gelden onder meer: een risicobeheersysteem, hoge eisen aan trainingsdata, menselijk toezicht, technische documentatie en registratie in de EU-database. De meeste van deze verplichtingen zijn van toepassing vanaf 2 augustus 2026.

Beperkt risico: transparantieplicht

AI-systemen met een beperkt risico vallen onder de transparantiebepalingen van artikel 50 van de AI-verordening. De verplichting is primair informatief: gebruikers moeten weten dat zij met een AI-systeem interageren.

Voorbeelden van beperkt risico:

  • Chatbots en virtuele assistenten: organisaties moeten gebruikers informeren dat zij communiceren met een AI, tenzij dit redelijkerwijs al duidelijk is.
  • Deepfakes en synthetische media: door AI gegenereerde beeld-, audio- of videocontent moet machineleesbaar worden gemarkeerd als kunstmatig gegenereerd.
  • Generatieve AI-toepassingen die tekst of ander materiaal produceren voor het publiek over zaken van algemeen belang: het kunstmatige karakter moet zichtbaar worden gemaakt.

De transparantieverplichtingen treden in werking op 2 augustus 2026. Voldoen aan de informatieplicht is minder belastend dan de eisen voor hoog-risico AI, maar nalatigheid kan wel tot handhaving leiden.

Minimaal risico: geen verplichtingen, vrijwillige gedragscodes

De grote meerderheid van AI-systemen die vandaag in de EU worden gebruikt, valt in de categorie minimaal risico. De AI-verordening legt aan deze systemen geen nieuwe verplichtingen op.

Voorbeelden van minimaal risico:

  • Spamfilters en grammaticacorrectie.
  • Aanbevelingssystemen buiten de Bijlage III-sectoren.
  • AI-gestuurde zoekopdrachten in standaard bedrijfsapplicaties.
  • Voorraadbeheer- en planningstools met AI-component.

Ontwikkelaars en organisaties kunnen vrijwillig codes of conduct opstellen en zich aansluiten bij vrijwillige kaders voor transparantie en robuustheid. De verordening moedigt dit aan, maar verplicht het niet.

Hoe een classificatie bepalen

Het classificatieproces verloopt in stappen. Eerst wordt gekeken of een AI-systeem onder een van de verboden praktijken van artikel 5 valt. Daarna volgt de toets aan artikel 6 voor hoog risico: is het systeem een veiligheidsonderdeel onder Bijlage I, of valt het gebruik onder Bijlage III? Valt een systeem binnen Bijlage III maar is de impact op de uitkomst van besluitvorming verwaarloosbaar, dan kan het toch niet als hoog risico worden aangemerkt op grond van artikel 6, lid 3. Vervolgens komt de transparantietoets aan bod (artikel 50). Systemen die geen van de voorgaande niveaus raken, vallen in de minimaalrisicocategorie.

Aanbieders en gebruiksverantwoordelijken zijn verantwoordelijk voor het uitvoeren van deze classificatie. Bij twijfel over de kwalificatie van een systeem kan de bevoegde nationale toezichthouder om uitsluitsel worden gevraagd.

Consequenties van een verkeerde classificatie

Een onjuiste classificatie is niet zonder gevolgen. Een organisatie die een hoog-risico systeem ten onrechte als beperkt risico behandelt, voldoet niet aan de verplichtingen van hoofdstuk III van de verordening. Dit kan resulteren in handhavingsmaatregelen, waaronder bestuurlijke boetes. Het correct toepassen van de risicoclassificatie is daarmee een kerntaak voor compliance-officers, juridische teams en AI-verantwoordelijken binnen elke organisatie die AI inzet of ontwikkelt.