Bent u in conformiteit — of denkt u dat alleen?
Per 1 januari 2026 gelden de volledige nalevingsvereisten voor high-risk AI-systemen onder de EU AI Act. Dat was voorzienbaar. Toch toont een inventarisatie onder Nederlandse organisaties dat minder dan een derde van de directies kan bevestigen dat hun AI-portfolio is getoetst aan de high-risk categorieën. De overige twee derde heeft één van de volgende reacties: "dat doet Legal", "dat doet IT", of "we hebben geen high-risk AI."
Alle drie die antwoorden zijn problematisch.
De EU AI Act onderscheidt verboden AI-praktijken (van kracht sinds februari 2025), high-risk AI-systemen (volledig van kracht per januari 2026) en overige AI-systemen met transparantieverplichtingen.
High-risk is breder dan de meeste organisaties aannemen. De categorieën omvatten onder andere:
Kritieke infrastructuur AI gebruikt in energie, water, transport en financiële infrastructuur valt hier volledig onder — ook als de AI onderdeel is van een ingekocht systeem.
Onderwijs en beroepsopleiding AI die toegang tot onderwijs of beroepskwalificaties beïnvloedt. Denk aan geautomatiseerde selectiesystemen voor studies of trainingen.
Werkgelegenheid en personeelsbeheer AI voor werving, selectie, promotie, ontslag of taakverdeling. Vrijwel elke moderne HR-tech toepassing valt hier onder.
Essentiële private en publieke diensten AI die de toegang tot krediet, verzekeringen of essentiële overheidsdiensten beïnvloedt. Creditscoring-algoritmes zijn het meest directe voorbeeld.
Rechtshandhaving en migratie Voor organisaties in die sectoren gelden de zwaarste vereisten.
High-risk compliance vereist boardgoedkeuring en een aanwijsbare verantwoordelijke op C-niveau. Niet een DPO-project, niet een IT-project. De board is aansprakelijk — en dat betekent dat de board moet kunnen aantonen dat ze het heeft beoordeeld, goedgekeurd en gemonitord.
Voor high-risk AI-systemen vereist de EU AI Act: een conformiteitsbeoordeling voor ingebruikname, technische documentatie van het systeem en zijn trainingdata, logging van AI-beslissingen voor minimaal zes maanden, aantoonbaar menselijk toezicht op AI-outputs, en een risicobeheersysteem dat continu wordt bijgehouden.
Dat laatste punt — continu bijgehouden — is het meest over het hoofd geziene vereiste. Conformiteit is geen eenmalig certificaat. Het is een doorlopende verplichting die in de governance van uw organisatie moet zijn ingebed.
Inventariseer eerst Maak een volledige lijst van alle AI-toepassingen in uw organisatie — inclusief ingekochte systemen, geïntegreerde tools en systemen die door leveranciers worden bediend. "We hebben geen high-risk AI" is zelden waar — het is vaker het gevolg van een onvolledige inventarisatie.
Toets per toepassing Vraag voor elke toepassing: valt dit onder de high-risk categorieën? Als het antwoord "misschien" is, behandel het dan als "ja" totdat u juridisch advies heeft.
Documenteer het beoordelingsproces Zelfs als u concludeert dat een toepassing niet high-risk is, documenteer dan hoe u tot die conclusie bent gekomen. Bij een toezichthoudersonderzoek is het beoordelingsproces minstens zo belangrijk als de conclusie.
Leg dit voor aan de board Dit is geen delegeerbaar onderwerp. De board moet de bevindingen zien, goedkeuren en jaarlijks hertoetsen.
Niet alleen inzicht — maar een plan dat uw board kan uitvoeren.