Onder de EU AI Act is classificatie de eerste en meest bepalende stap. Hetzelfde model kan in het ene gebruik ongereguleerd zijn en in het andere hoog risico — het risico is verbonden aan de use case, niet aan het algoritme. Deze gids biedt u een praktisch beslispad. Voor de bredere context, deadlines en sancties, start met de EU AI Act voor Belgische bedrijven.
TL;DR — de vier vragen
- Is het gebruik een verboden praktijk (Art. 5)? → Stop. Het systeem mag niet worden ingezet.
- Is het opgenomen in Bijlage III of een veiligheidscomponent van een gereglementeerd product? → Waarschijnlijk hoog risico.
- Communiceert het met mensen of genereert het inhoud? → Beperkt risico (transparantieverplichtingen).
- Geen van het bovenstaande? → Minimaal risico — geen verplichte verplichtingen.
Stap 1 — Is het een verboden praktijk? (Art. 5)
Een korte lijst van AI-toepassingen is simpelweg verboden in de EU omdat ze worden beschouwd als een duidelijke bedreiging voor de grondrechten. Deze verboden gelden sinds 2 februari 2025. Ze omvatten:
- Subliminale, manipulatieve of misleidende technieken die het gedrag wezenlijk verstoren en schade veroorzaken.
- Het uitbuiten van kwetsbaarheden op grond van leeftijd, handicap of sociaaleconomische situatie.
- Sociale scoring van personen die leidt tot ongerechtvaardigde of onevenredige nadelige behandeling.
- Het voorspellen van crimineel gedrag uitsluitend op basis van profilering of persoonlijkheidskenmerken.
- Niet-gerichte scraping van gezichtsafbeeldingen om gezichtsherkenningsdatabases op te bouwen.
- Emotie-inferentie op de werkplek en in scholen (behoudens enge medische/veiligheidsuitzonderingen).
- Biometrische categorisatie om gevoelige attributen af te leiden; en de meeste vormen van realtime biometrische identificatie op afstand in openbare ruimten ten behoeve van rechtshandhaving.
Als uw gebruik hieronder valt, is de classificatie afgerond — het systeem mag niet op de markt worden gebracht of gebruikt worden.
Stap 2 — Is het hoog risico? (Bijlage III & Art. 6)
Hoog risico is het zwaarste regime. Er zijn twee routes. Ten eerste, AI die een veiligheidscomponent is van een product dat al valt onder EU-harmonisatiewetgeving (machines, medische hulpmiddelen, speelgoed, voertuigen…). Ten tweede — de route die de meeste Belgische bedrijven treffen — AI die wordt gebruikt in de gebieden van Bijlage III:
| Gebied Bijlage III | Typische voorbeelden |
|---|---|
| Werkgelegenheid & werknemers | CV-screening, rangschikking van kandidaten, taakverdeling, prestatiebewaking. |
| Onderwijs & beroepsopleiding | Toelatingsscore, toezicht op examens, evaluatie van leerresultaten. |
| Essentiële private & publieke diensten | Kredietscore, recht op uitkeringen, risicoprijsstelling leven-/ziekteverzekering. |
| Biometrie | Biometrische identificatie op afstand, biometrische categorisatie (waar niet verboden). |
| Kritieke infrastructuur | Veiligheidsbeheer van nutsvoorzieningen, verkeer, water, gas, elektriciteit. |
| Rechtshandhaving, migratie, justitie | Risicobeoordelingen, bewijsevaluatie, visum-/asielondersteuning, gerechtelijke bijstand. |
Er is een belangrijke nuance: op grond van Art. 6(3) is een Bijlage III-systeem niet hoog risico als het geen significant risico vormt voor gezondheid, veiligheid of grondrechten — bijvoorbeeld wanneer het een beperkte procedurele taak uitvoert of alleen het resultaat van een reeds voltooide menselijke activiteit verbetert. U moet die beoordeling echter wel documenteren en rechtvaardigen, en systemen die mensen profileren genieten nooit van de uitzondering. Beschouw de derogatie als iets dat u bewijst, niet als iets dat u aanneemt.
Stap 3 — Beperkt risico: transparantie (Art. 50)
Veel gewone bedrijfssystemen vallen hier onder. Als uw AI rechtstreeks communiceert met mensen (een chatbot) of inhoud genereert of manipuleert (tekst, afbeeldingen, audio, video — inclusief deepfakes), bent u transparantieverplicht: mensen moeten worden geïnformeerd dat ze communiceren met een AI, en door AI gegenereerde of gemanipuleerde inhoud moet als zodanig worden gelabeld (op een machineleesbare manier voor synthetische media). Geen conformiteitsbeoordeling, geen CE-markering — alleen duidelijke openbaarmaking.
Stap 4 — Minimaal risico
Al het overige — spamfilters, aanbevelingsmotoren, voorraadprognoses, de meeste productiviteitscopilots — heeft geen verplichte verplichtingen onder de AI Act. Vrijwillige gedragscodes worden aangemoedigd, en de AI-geletterdheidsplicht (Art. 4) geldt nog steeds voor uw personeel, maar u valt niet onder het conformiteitsregime.
Een noot over AI voor algemene doeleinden
Basismodellen vallen onder een afzonderlijk traject. Als u een model voor algemene doeleinden uitsluitend gebruikt via een API, bent u een gebruiksverantwoordelijke van de applicatie die u bouwt. Als u een model fijn afstemt, hermerkt of wezenlijk aanpasten het op de markt brengt, kunt u de verplichtingen van de aanbieder overnemen — inclusief de GPAI-regels. Documenteer bij twijfel de aanpassing en controleer alvorens de lichtere rol aan te nemen.
Uitgewerkt voorbeeld
Een Brusselse HR-tech-onderneming biedt een tool aan die sollicitanten rangschikt. Het rangschikken van kandidaten is een Bijlage III-toepassing voor werkgelegenheid → hoog risico. Diezelfde onderneming voegt een chatbot toe om vragen van kandidaten te beantwoorden: dat is beperkt risico → alleen transparantie. Het interne spamfilter is minimaal risico. Één bedrijf, drie classificaties — dat is precies waarom u classificeert per systeem en per gebruik, en vervolgens het compliance-plan opbouwt rondom de hoog-risico-items als prioriteit.
Algemene informatie, geen juridisch advies. Classificatiebeslissingen dragen een reëel risico — met name de Art. 6(3)-derogatie. ICTLAB helpt Belgische organisaties hun AI te inventariseren en te classificeren en de bijbehorende governance op te zetten; zie onze compliance-diensten of praat met ons team.