AI Act Risicoclassificatie: In Welke Categorie Valt Jouw AI Tool?

"Valt mijn AI-tool onder de EU AI Act?" Die vraag horen we steeds vaker van mkb-eigenaren. Het korte antwoord: waarschijnlijk wel, maar dat hoeft niet eng te zijn. De AI Act werkt met vier risicocategorieen, en de meeste tools die jij dagelijks gebruikt vallen in de lichtste categorieen. Geen paniek dus. Maar je moet wel weten waar je staat.

Dit artikel loopt de vier risiconiveaus door, laat zien waar veelgebruikte mkb-tools terechtkomen en vertelt wat je per categorie concreet moet regelen.

Hoe de AI Act risico indeelt

De EU AI Act gebruikt een piramidemodel. Hoe hoger het risico dat een AI-systeem vormt voor de rechten en veiligheid van mensen, hoe zwaarder de verplichtingen. Er zijn vier niveaus, van boven naar beneden:

1. Onaanvaardbaar risico - verboden
2. Hoog risico - streng gereguleerd
3. Beperkt risico - transparantieverplichtingen
4. Minimaal risico - geen extra verplichtingen

Die opbouw is bewust gekozen. De wetgever wilde innovatie niet afremmen: het overgrote deel van AI-toepassingen valt in de onderste twee categorieen en kan gewoon worden gebruikt. De strengere regels richten zich op systemen die daadwerkelijk impact hebben op mensenlevens.

Wil je de bredere context? Lees dan ons overzicht van AI Act-verplichtingen voor mkb-bedrijven.

Onaanvaardbaar risico: verboden AI-praktijken

Dit is de bovenste laag. AI-systemen die hier vallen zijn simpelweg verboden in de EU. Sinds 2 februari 2025 is dit actief gehandhaafd.

Wat valt hieronder:

• Sociale scoringssystemen die mensen beoordelen op persoonlijk gedrag
• Realtime biometrische identificatie in openbare ruimtes
• AI die emoties herkent op de werkvloer of in het onderwijs
• Manipulatieve AI die gedrag beïnvloedt via subliminale technieken
• AI die kwetsbare groepen target voor schadelijke beïnvloeding

Wat dit voor jouw mkb betekent: vrijwel zeker niets. Mkb-bedrijven bouwen deze systemen niet en gebruiken ze doorgaans ook niet. Toch is het verstandig om je toolstack te controleren. Sommige HR- en marketingplatforms hebben functies toegevoegd die ongemakkelijk dicht bij deze grens zitten. We schreven er uitgebreider over in ons artikel over verboden AI-praktijken en handhaving.

Hoog risico: streng gereguleerd

Hier wordt het voor een deel van de mkb's concreet. Hoog-risico AI-systemen zijn niet verboden, maar ze moeten voldoen aan strenge eisen die vanaf augustus 2026 afdwingbaar worden.

Wat valt hieronder:

• AI in werving en selectie (cv-screening, kandidaatranking)
• AI voor kredietbeoordeling en financiele besluitvorming
• AI in veiligheidskritische systemen (medische apparatuur, infrastructuur)
• AI die besluiten neemt over toegang tot onderwijs
• AI voor rechtshandhaving en migratiebeheer

Mkb-voorbeelden waar je op moet letten:

• Werving-AI. Gebruik je een platform dat automatisch cv's filtert of kandidaten rankt? Dat is waarschijnlijk hoog risico. Tools als HireVue, Pymetrics of vergelijkbare screening-AI vallen hier onder.
• Kredietbeoordeling. Bied je financiele diensten aan en gebruikt AI om kredietwaardigheid te beoordelen? Hoog risico.
• HR-besluitvorming. AI die medewerkers beoordeelt voor promoties, ontslagbeslissingen of prestatiereviews kan als hoog risico worden aangemerkt, afhankelijk van hoe groot de impact op de medewerker is.

Wat je moet regelen bij hoog risico:

• Een risicobeoordeling uitvoeren en bijhouden
• Technische documentatie opstellen
• Menselijk toezicht inrichten (een mens moet besluiten kunnen bijsturen)
• Het systeem registreren in de EU AI-database
• Regelmatig monitoren of het systeem correct functioneert

Dat klinkt als een flinke lijst, maar het valt mee als je het gestructureerd aanpakt. Begin met een AI-inventaris zodat je precies weet welke tools je hebt en hoe ze worden ingezet.

Beperkt risico: transparantieverplichtingen

Dit is waar de meeste mkb's terechtkomen. AI-systemen met beperkt risico mogen vrij worden gebruikt, zolang je transparant bent over het gebruik ervan.

Wat valt hieronder:

• Chatbots en virtuele assistenten
• AI-schrijfhulpen (ChatGPT, Copilot, Jasper, Claude)
• AI-contentgeneratie (tekst, beeld, video)
• AI-vertalers
• AI-gestuurde klantenservice

De kernverplichting: transparantie. Mensen moeten weten dat ze met AI te maken hebben. Concreet:

• Laat klanten weten wanneer ze met een chatbot praten in plaats van een mens
• Markeer AI-gegenereerde content als zodanig wanneer het om informatie gaat die als menselijk kan worden opgevat
• Wees open naar medewerkers over welke AI-tools in je werkprocessen zitten

Mkb-voorbeelden:

| Tool | Categorie | Wat je moet doen | |------|-----------|-----------------| | ChatGPT / Copilot voor interne teksten | Beperkt risico | Informeer medewerkers, markeer extern gedeelde AI-content | | Klantenservice-chatbot op je website | Beperkt risico | Maak duidelijk dat het een bot is, niet een mens | | AI-vertaaltool voor klantcommunicatie | Beperkt risico | Vermeld bij kritieke documenten dat vertaling AI-gestuurd is | | AI-beeldgeneratie voor marketing | Beperkt risico | Label bij gevoelige onderwerpen dat beelden AI-gegenereerd zijn |

Dit is geen zware compliance-last. Het vraagt vooral bewustzijn en een paar aanpassingen in je communicatie.

Minimaal risico: geen extra verplichtingen

De breedste categorie. AI-systemen met minimaal risico mogen zonder enige extra verplichting worden gebruikt.

Wat valt hieronder:

• Spamfilters
• Aanbevelingsalgoritmen (Netflix-achtige suggesties)
• AI-gestuurde zoekmachines
• Automatische spellingcontrole
• Slimme agenda-assistenten
• AI in videogames

Wat je moet doen: niets extra's. Deze tools vallen buiten de verplichtingen van de AI Act. Je mag ze gewoon blijven gebruiken.

Waar vallen jouw tools? Een sneltest

Loop je veelgebruikte AI-tools langs met deze drie vragen:

1. Neemt de tool besluiten die directe impact hebben op mensen hun rechten of kansen? Denk aan werving, krediet, juridische beslissingen. Zo ja, waarschijnlijk hoog risico.

2. Communiceert de tool direct met mensen, of genereert het content die als menselijk kan worden opgevat? Denk aan chatbots, schrijfhulpen, contentgeneratie. Zo ja, waarschijnlijk beperkt risico.

3. Doet de tool geen van beide? Spamfilters, autoaanvulling, slimme zoekresultaten. Waarschijnlijk minimaal risico.

Dit is een vuistregel, geen juridisch advies. Maar het geeft je een werkbaar startpunt.

Waarom classificeren stap 1 is

Veel mkb's willen meteen weten: "Wat moet ik doen?" Logisch. Maar zonder overzicht van welke tools je hebt en waar ze vallen, is die vraag lastig te beantwoorden. Classificeren is de basis.

Een goede AI-inventaris bevat per tool:

• Naam en leverancier
• Waarvoor je het gebruikt
• Welke data het verwerkt
• In welke risicocategorie het valt
• Welke verplichtingen daarbij horen

Heb je die inventaris op orde, dan weet je precies waar je actie moet ondernemen en waar je gerust kunt zijn. In ons artikel over het opstellen van een AI-inventaris lees je hoe je dit stap voor stap aanpakt.

Hoe ComplianceHive helpt

ComplianceHive geeft je een centrale plek om je AI-tools te registreren, classificeren en monitoren. Je kunt per tool de risicocategorie vastleggen, bijbehorende verplichtingen bijhouden en verantwoordelijkheden toewijzen aan teamleden. Alles op een plek, auditklaar.

• Je AI-inventaris bijhouden met risicocategorie per tool
• Transparantieverplichtingen documenteren en opvolgen
• Leverancierscompliance tracken via leveranciersbeheer
• Bewijs opbouwen voor toezichthouders en klanten

De AI Act hoeft geen hoofdpijndossier te zijn. Met de juiste structuur is het gewoon een kwestie van bijhouden.

• Start je gratis 30-dagen trial
• Bekijk prijzen

Dit artikel is algemene informatie en geen juridisch advies. Raadpleeg een gekwalificeerde jurist voor juridische interpretatie.