EU AI Act

Hoog-risico-AI en Bijlage III van de AI Act

De zwaarste verplichtingen van de AI Act gelden voor hoog-risico-systemen. Deze gids legt uit wat hoog-risico-AI is, welke domeinen Bijlage III noemt en wat er van aanbieders en gebruiksverantwoordelijken wordt verwacht.

Laatst bijgewerkt: 13 juni 2026

Doe de gratis risicoscan

Wat is hoog-risico-AI?

Hoog-risico-AI is AI die een aanzienlijk risico kan vormen voor de gezondheid, de veiligheid of de grondrechten van mensen. De AI Act onderscheidt twee hoofdroutes waarlangs een systeem als hoog risico wordt aangemerkt:

als veiligheidscomponent van een product dat al onder Europese productveiligheidswetgeving valt (Bijlage I), zoals machines of medische hulpmiddelen;
als toepassing binnen één van de gevoelige domeinen uit Bijlage III.

Voor het MKB is vooral Bijlage III relevant, omdat die gaat over toepassingen die je in de dagelijkse bedrijfsvoering tegenkomt, zoals werving of toegang tot diensten. Een hoog-risico-classificatie is geen verbod: je mág het systeem gebruiken, maar dan wel onder strikte voorwaarden en met de nodige waarborgen. Dat onderscheid is belangrijk, want hoog risico klinkt zwaarder dan het in de praktijk hoeft te zijn als je je verplichtingen op orde hebt.

De domeinen van Bijlage III

Bijlage III somt de domeinen op waarin AI in beginsel hoog risico is. Het gaat om gebieden waar beslissingen mensen direct raken.

Domein	Bijlage III	Voorbeeld
Biometrie	III(1)	Niet-verboden biometrische identificatie of categorisering
Kritieke infrastructuur	III(2)	AI als veiligheidscomponent voor verkeer of nutsvoorziening
Onderwijs	III(3)	Toegang tot of beoordeling in onderwijs en opleiding
Werk	III(4)	Werving, selectie en beoordeling van medewerkers
Essentiële diensten	III(5)	Kredietwaardigheid, uitkeringen, verzekeringsrisico
Rechtshandhaving	III(6)	Risicobeoordeling of bewijsanalyse door politie/justitie
Migratie en grenzen	III(7)	Beoordeling van asiel-, visum- en grensaanvragen
Rechtspleging en democratie	III(8)	Ondersteuning van rechtspraak of verkiezingsprocessen

Let op: dat een systeem in zo'n domein draait, betekent niet automatisch dat het hoog risico is. Er zijn uitzonderingen voor systemen die slechts een beperkte, voorbereidende taak vervullen en geen wezenlijke invloed hebben op de uitkomst.

De zwaardere verplichtingen

Voor hoog-risico-systemen geldt het strengste pakket aan eisen. De verantwoordelijkheid is verdeeld over de aanbieder en de gebruiksverantwoordelijke.

De aanbieder (provider) moet onder meer:

een risicomanagementsysteem voeren over de hele levenscyclus (Art. 9);
data governance toepassen op trainings- en testdata (Art. 10);
technische documentatie opstellen en bijhouden (Art. 11);
logging inbouwen voor traceerbaarheid (Art. 12);
zorgen voor nauwkeurigheid, robuustheid en cybersecurity (Art. 15);
een conformiteitsbeoordeling doorlopen met CE-markering (Art. 43).

De gebruiksverantwoordelijke (deployer) moet onder meer:

het systeem gebruiken volgens de gebruiksaanwijzing en de werking monitoren (Art. 26);
menselijk toezicht beleggen bij competente personen (Art. 26);
logs bewaren voor zover onder eigen beheer (Art. 26);
waar vereist een grondrechteneffectbeoordeling (FRIA) uitvoeren (Art. 27).

Wanneer gaan deze eisen in?

De volledige verplichtingen voor hoog-risico-systemen uit Bijlage III gelden vanaf 2 december 2027. Voor hoog-risico-AI als veiligheidscomponent onder productveiligheidswetgeving (Bijlage I) is de datum 2 augustus 2028. Deze data kunnen verschuiven, onder meer door de aangekondigde Digital Omnibus, dus volg de ontwikkelingen.

Dat de deadlines nog wat verder weg liggen, is geen reden om te wachten. Een hoog-risico-systeem in kaart brengen, de juiste documentatie verzamelen en toezicht inrichten kost tijd, en de plicht tot AI-geletterdheid geldt nu al.

Eerst weten of je hoog risico hebt

De meeste MKB-toepassingen zijn geen hoog risico, maar je wilt zekerheid in plaats van een aanname. Beoordeel daarom per systeem of het in een Bijlage III-domein valt en of de uitzonderingen van toepassing zijn. Leg de uitkomst vast, zodat je je classificatie kunt onderbouwen.

De gratis risicoscan bepaalt de categorie met een verwijzing naar het juiste Bijlage III-punt, en het UMW-platform zet de uitkomst om in een concrete verplichtingenlijst per systeem. Verken ook de sectoren om te zien waar in jouw branche hoog-risico-AI speelt, of verdiep je in de kennisbank.

Veelgestelde vragen

Niet altijd. Het uitgangspunt is hoog risico, maar er zijn uitzonderingen voor systemen die slechts een beperkte, voorbereidende taak vervullen en geen wezenlijke invloed hebben op de uiteindelijke beslissing. De context bepaalt de uitkomst.

Bijlage I gaat over AI als veiligheidscomponent van producten die al onder Europese productveiligheidswetgeving vallen. Bijlage III somt zelfstandige toepassingsgebieden op, zoals werk, onderwijs en essentiële diensten. Ze hebben elk hun eigen ingangsdatum.

Voor Bijlage III-systemen geldt 2 december 2027 en voor Bijlage I-systemen 2 augustus 2028. Deze data kunnen nog verschuiven via de Digital Omnibus. Begin op tijd, want de voorbereiding kost tijd en AI-geletterdheid is nu al verplicht.

Klaar om te beginnen?

Doe de gratis risicoscan en ontdek je risicocategorie en eerste stappen, of bekijk het platform.

Gratis risicoscan Bekijk het platform

Lees verder

De EU AI Act: de complete gids voor het MKBAlles over de EU AI Act (Verordening (EU) 2024/1689): wat de wet inhoudt, voor wie ze geldt, de risicocategorieën, de deadlines en de boetes. Met concrete eerste stappen.Wat valt onder de AI Act?Wat valt er onder de EU AI Act en wat niet? Lees wat een AI-systeem is, welke toepassingen eronder vallen, de vier risicocategorieën en doe de zelftest.Deployer of provider: welke rol heb je onder de AI Act?Je rol onder de AI Act bepaalt je verplichtingen. Lees het verschil tussen deployer (gebruiksverantwoordelijke) en provider (aanbieder), de plichten per rol en wanneer je rol verschuift.AI-geletterdheid: voldoen aan Artikel 4 van de AI ActArtikel 4 van de EU AI Act verplicht sinds 2 februari 2025 tot AI-geletterdheid bij je personeel. Lees wat de eis inhoudt, hoe een rol-gebaseerde aanpak werkt en hoe je het aantoonbaar maakt.