Agnes bekijkt een scherm met vier risicoklassen van de AI Act terwijl ze AI-tools van haar bedrijf classificeert

AI Act risicoklasse bepalen: zo werken de 4 categorieën voor mkb-bedrijven

AI Act, Compliance

Stel, je marketingteam gebruikt Copilot voor het schrijven van teksten. HR draait sollicitanten door een AI-screeningtool. En de klantenservice heeft een chatbot draaien. Drie AI-tools, drie verschillende risicoklassen. Maar welke?

Dat uitzoeken is precies waar de EU AI Act begint. De wet deelt AI-systemen in vier risicoklassen in, en elke klasse brengt andere verplichtingen met zich mee. Van "geen actie nodig" tot "dit mag helemaal niet."

Dit artikel legt de vier klassen uit in gewoon Nederlands, laat zien hoe je bepaalt waar jouw tools vallen en helpt je de meest voorkomende fouten te vermijden.

Waarom de risicoklasse van jouw AI bepalend is

De risicoklasse is het fundament van alles wat je voor de AI Act moet doen. Het bepaalt of je documentatie moet bijhouden, of er menselijk toezicht nodig is, of je je moet registreren in een EU-database, en in het uiterste geval of je een bepaald AI-systeem helemaal niet mag gebruiken.

Classificeer je verkeerd? Dan doe je ofwel te weinig (en riskeer je handhaving), ofwel te veel (en gooi je tijd en geld weg aan onnodige procedures).

De meeste mkb-bedrijven gebruiken AI-tools die in de lichtere categorieen vallen. Dat is goed nieuws. Maar je moet dat wel kunnen onderbouwen. "Wij denken dat het minimaal risico is" is niet genoeg. Je moet laten zien hoe je tot die conclusie bent gekomen.

De 4 risicoklassen van de EU AI Act uitgelegd

De AI Act werkt met een piramidemodel. Hoe groter het potentiele risico voor de rechten en veiligheid van mensen, hoe strenger de regels.

1. Verboden (onaanvaardbaar risico)

Sommige AI-toepassingen zijn simpelweg niet toegestaan in de EU. Sinds februari 2025 wordt hier actief op gehandhaafd.

Voorbeelden: social scoring door overheden, realtime biometrische identificatie in openbare ruimtes (met zeer beperkte uitzonderingen voor rechtshandhaving), en AI die kwetsbaarheden van mensen uitbuit om hun gedrag te manipuleren.

Voor de meeste mkb-bedrijven is dit niet relevant. Maar het is goed om te weten dat deze grens er is.

2. Hoog risico

De zwaarste categorie die je als mkb kunt tegenkomen. AI-systemen die onder Annex III vallen, moeten voldoen aan strenge eisen: technische documentatie, een risicobeoordeling, menselijk toezicht en registratie in de EU-database.

Welke systemen vallen hieronder? Denk aan AI voor werving en selectie (cv-screening, geautomatiseerde sollicitatiebeoordeling), kredietscoring, veiligheidscomponenten in machines, en biometrische identificatie in beperkte contexten.

Gebruik je een AI-tool van een leverancier die in deze categorie valt? Dan heb je als gebruiker (deployer) ook verplichtingen. Je moet menselijk toezicht organiseren en bijhouden hoe het systeem wordt ingezet.

3. Beperkt risico

Hier gelden transparantieverplichtingen. Mensen moeten weten dat ze met AI te maken hebben.

Een chatbot op je website? Die moet duidelijk maken dat het geen mens is. Genereer je content met AI? Bij deepfakes of synthetische media moet je dat labelen. Gebruik je ChatGPT, Copilot of Gemini als schrijfassistent? Dan val je hier.

De verplichtingen zijn overzichtelijk. Geen zware documentatie, geen registratie. Gewoon transparant zijn.

4. Minimaal risico

Het overgrote deel van AI-toepassingen valt in deze categorie. Spamfilters, aanbevelingsalgoritmen (denk aan Netflix of Spotify), basale analytics, automatische categorisering van e-mails. Geen specifieke verplichtingen vanuit de AI Act.

Dat betekent niet dat je ze kunt negeren. Je moet ze nog steeds in je AI-inventaris opnemen, zodat je kunt aantonen dat je bewust hebt beoordeeld dat ze minimaal risico zijn.

Hoog-risico AI: welke systemen vallen daaronder?

Annex III van de AI Act bevat een lijst van hoog-risico toepassingsgebieden. De meest relevante voor mkb-bedrijven: AI voor werving en selectie (cv-screening, kandidaatranking, gespreksanalyse), kredietbeoordeling (wie krijgt een lening of hypotheek), beoordeling van werknemersprestaties, toewijzing aan onderwijs, en biometrische identificatie.

Gebruik je Salesforce Einstein voor leadscoring? Dat is waarschijnlijk minimaal risico. Maar gebruik je een AI-tool die automatisch bepaalt welke sollicitanten doorgaan naar de volgende ronde? Dan zit je in hoog-risico gebied.

Het verschil is de impact op de rechten en kansen van mensen. Hoe directer de AI beslist over iemands leven, hoe hoger het risico.

Hoe bepaal je de risicoklasse van een AI-systeem?

De classificatie hoeft geen juridisch project te worden. Volg deze vier stappen:

Stap 1: Inventariseer alle AI-systemen Breng in kaart welke AI-tools je organisatie gebruikt. Vergeet niet de tools die via leveranciers binnenkomen, zoals ingebouwde AI-features in je CRM, HR-platform of boekhoudsoftware. Lees hoe je een AI-systeem register opzet.

Stap 2: Bepaal het doel en type per systeem Wat doet de AI precies? Schrijft het teksten? Screent het cv's? Beoordeelt het kredietwaardigheid? Het doel van de AI bepaalt in grote mate de risicoklasse.

Stap 3: Toets aan de verboden lijst en Annex III Controleer eerst of het systeem onder de verboden categorie valt (Artikel 5). Zo niet, check dan of het doel voorkomt in de Annex III hoog-risico lijst. Staat het er niet bij? Dan is het beperkt of minimaal risico.

Stap 4: Documenteer je beoordeling Leg vast welke risicoklasse je hebt toegekend en waarom. Stel een reviewdatum in. Dit is je bewijslast als er vragen komen van een toezichthouder of bij een audit.

Dit is een zelfevaluatie-hulpmiddel, geen juridisch advies. De uiteindelijke risicoklasse is de eigen verantwoordelijkheid van jouw organisatie.

ComplianceHive AI risicoklasse invoerscherm met suggestie op basis van AI-type selectie ComplianceHive vraagt per systeem de risicoklasse op: het platform doet een suggestie op basis van het AI-type dat je selecteert.

In ComplianceHive doorloop je deze stappen per systeem in een wizard. Het platform doet een suggestie voor de risicoklasse op basis van het AI-type dat je selecteert, en je kunt die suggestie bevestigen of aanpassen. Alle wijzigingen lopen via een ChangeRequest-audittrail, zodat je altijd kunt terugzien wie wat heeft besloten. Meer weten? Bekijk de AI Act compliance software voor mkb.

Veelgemaakte fouten bij risicoklassificatie

"We gebruiken alleen maar ChatGPT, dus we hoeven niks te doen." Niet waar. ChatGPT valt onder beperkt risico, wat betekent dat je transparantieverplichtingen hebt. En als je ChatGPT inzet voor hoog-risico doeleinden (zoals het beoordelen van sollicitanten), verandert de classificatie mee.

"Onze leverancier regelt dat wel." De AI Act legt verplichtingen op aan zowel providers als deployers. Dat jouw leverancier het systeem heeft gebouwd, ontslaat jou niet van je eigen verantwoordelijkheden als gebruiker. Je moet zelf menselijk toezicht organiseren en bijhouden hoe je het systeem inzet. Zorg ervoor dat je je leveranciersdocumentatie bijhouden op orde hebt.

"We classificeren alles als minimaal risico, dan zijn we snel klaar." Dat is juist riskant. Als een toezichthouder vindt dat een van je systemen hoog-risico is terwijl jij het als minimaal hebt bestempeld, sta je er slecht op. De documentatie van je beoordelingsproces is net zo belangrijk als de uitkomst.

"AI Act gaat pas in 2027 in, we hebben nog tijd." De verboden op onaanvaardbare AI gelden al sinds februari 2025. Regels voor hoog-risico systemen worden stapsgewijs van kracht in 2025 en 2026. Wachten tot 2027 is te laat.

"We doen het eenmalig en dan is het klaar." Risicoklassificatie is geen eenmalige exercitie. Als je een tool voor een ander doel gaat inzetten, als de leverancier de AI-functionaliteit wijzigt, of als de wetgeving wordt aangepast, moet je opnieuw beoordelen.

Veelgestelde vragen

Valt ChatGPT onder hoog-risico AI?

Nee. ChatGPT en vergelijkbare general-purpose AI-modellen zoals Copilot en Gemini vallen doorgaans onder "beperkt risico." Dat betekent transparantieverplichtingen: gebruikers moeten weten dat ze met een AI communiceren. Pas als je ChatGPT inzet voor een hoog-risico toepassing (bijvoorbeeld het screenen van cv's) verandert de classificatie. Het gaat niet om de tool zelf, maar om hoe je die tool gebruikt.

Moet ik elke AI-tool in mijn bedrijf beoordelen?

Ja. De AI Act verwacht dat je een inventaris hebt van alle AI-systemen die je organisatie inzet. Dat geldt ook voor tools van leveranciers. Je hoeft niet voor elke tool een uitgebreid rapport te schrijven, maar je moet wel weten welke AI je gebruikt, waarvoor je het inzet en in welke risicoklasse het valt. Begin met een complete lijst en werk van daaruit.

Wat zijn de gevolgen als ik een verkeerde risicoklasse gebruik?

Bij een te lage classificatie mis je verplichte stappen zoals documentatie en menselijk toezicht. Bij een controle kan dit leiden tot handhaving en boetes. Bij een te hoge classificatie doe je onnodig werk en investeer je in procedures die niet nodig zijn. In beide gevallen helpt een goed gedocumenteerd beoordelingsproces. Zelfs als de uitkomst niet perfect is, laat de documentatie zien dat je zorgvuldig te werk bent gegaan.

Hoe vaak moet ik de risicoklasse opnieuw beoordelen?

De AI Act schrijft geen vaste frequentie voor. Maar herbeoordeling is verstandig bij veranderingen: als je een tool voor een nieuw doel inzet, als de leverancier de werking aanpast, of als de regelgeving verandert. Een jaarlijkse review is een goed startpunt. Noteer bij elke classificatie een reviewdatum, zodat je het niet vergeet.

Wat is het verschil tussen beperkt risico en minimaal risico?

Bij beperkt risico gelden transparantieverplichtingen. Chatbots moeten melden dat ze AI zijn. Deepfakes en synthetische media moeten gelabeld worden. Bij minimaal risico zijn er geen specifieke verplichtingen vanuit de AI Act. Het verschil is praktisch klein, maar het label bepaalt wel of je actie moet ondernemen op transparantie. Spamfilters en aanbevelingsalgoritmen? Minimaal risico. Een chatbot op je klantenservice? Beperkt risico.

Start vandaag nog met grip op je leveranciers en software

Laat ComplianceHive je helpen met ISO 27001, AVG, leveranciersbeheer en meer. Geen gedoe, geen spreadsheets, gewoon overzicht. Begin nu met een gratis proefperiode van 1 maand. Geen creditcard nodig, geen verborgen kosten. Ontdek het Busy Hive-plan en beheer tot wel 25 tools en leveranciers in één overzicht.

Probeer 1 maand gratis