EU AI Act

Wat valt onder de AI Act?

Voordat je iets aan compliance doet, wil je weten of de AI Act überhaupt op jouw toepassing van toepassing is. Deze gids legt de reikwijdte uit: wat een AI-systeem is, welke toepassingen eronder vallen en hoe je dat zelf kunt bepalen.

Laatst bijgewerkt: 13 juni 2026

Doe de gratis risicoscan

Wat is een AI-systeem volgens de AI Act?

De AI Act hanteert een brede definitie. Een AI-systeem is, kort gezegd, een machinaal systeem dat met een zekere mate van zelfstandigheid werkt en op basis van invoer voorspellingen, aanbevelingen, content of beslissingen genereert die de fysieke of digitale omgeving kunnen beïnvloeden. Het gaat dus niet alleen om geavanceerde modellen: ook eenvoudiger systemen die patronen leren of toepassen kunnen eronder vallen.

Klassieke, volledig handmatig geprogrammeerde software zonder lerend of afleidend vermogen valt er doorgaans buiten. Een simpele rekenregel of een vaste beslisboom die je zelf volledig hebt vastgelegd, is dus geen AI-systeem. Maar de grens is niet altijd scherp, en de definitie is bewust ruim gehouden, juist om te voorkomen dat nieuwe technieken er buiten vallen. Bij twijfel is het verstandiger om een toepassing wél te beoordelen dan haar op voorhand af te schrijven.

Welke toepassingen vallen eronder?

De AI Act geldt voor wie AI op de Europese markt brengt of binnen de EU gebruikt, ongeacht waar de aanbieder gevestigd is. Voor het MKB betekent dat: gebruik je AI in je werk, dan val je in beginsel onder de wet. Voorbeelden die je in de praktijk vaak tegenkomt:

chatbots en virtuele assistenten op de website;
generatieve AI voor tekst, beeld of code;
tools die cv's filteren of kandidaten scoren;
systemen die kredietwaardigheid of risico beoordelen;
planning- en voorspellingsmodules.

Er zijn ook uitzonderingen, bijvoorbeeld voor AI die uitsluitend voor militaire doeleinden of voor zuiver persoonlijke, niet-professionele activiteiten wordt gebruikt. Ook AI die enkel voor onderzoek en ontwikkeling wordt ingezet, voordat ze op de markt komt, valt onder een aparte regeling. Voor het MKB blijven die uitzonderingen meestal beperkt: zodra je AI beroepsmatig in je bedrijfsvoering gebruikt, val je in beginsel onder de wet.

De vier risicocategorieën

De AI Act werkt risicogebaseerd. Elke toepassing valt in één van vier categorieën, en die bepaalt hoe streng de eisen zijn.

Categorie	Kern	Voorbeeld
Verboden	Onaanvaardbaar risico (Art. 5)	Social scoring door overheden
Hoog risico	Bijlage III of productveiligheid	AI voor werving en selectie
Beperkt risico	Transparantieplicht (Art. 50)	Chatbot of generatieve content
Minimaal risico	Nauwelijks extra eisen	Spamfilter of aanbevelingen

De meeste MKB-toepassingen vallen in de categorie beperkt of minimaal. Maar juist omdat de gevolgen zo verschillen, loont het om dit per systeem te bepalen.

Een zelftest in een paar vragen

Wil je snel een eerste indruk? Loop deze zelftest door. Beantwoord de vragen op volgorde; bij de eerste "ja" weet je in welke richting je systeem valt.

Lijkt het systeem op een verboden praktijk uit Artikel 5, zoals social scoring, ongerichte gezichtsherkenning of emotieherkenning op de werkvloer? Zo ja: het is waarschijnlijk verboden.
Gebruik je het in een gevoelig domein uit Bijlage III, zoals werk, onderwijs, essentiële diensten of kritieke infrastructuur? Zo ja: het is mogelijk hoog risico.
Communiceert het direct met mensen of genereert het content (tekst, beeld, audio, video)? Zo ja: er gelden waarschijnlijk transparantieplichten (beperkt risico).
Geen van bovenstaande? Dan valt het vermoedelijk in de categorie minimaal risico.

Deze zelftest geeft richting, geen zekerheid. De definitieve categorie hangt af van de precieze context en het gebruiksdoel.

Van reikwijdte naar zekerheid

Twijfel hoort bij de AI Act, want de grenzen zijn niet altijd scherp. Daarom is het verstandig om elk systeem gestructureerd te beoordelen in plaats van op gevoel. Leg de uitkomst vast in een AI-register, zodat je later kunt onderbouwen waarom je een systeem in een bepaalde categorie hebt geplaatst.

De gratis risicoscan doet precies dit: hij stelt gerichte vragen en bepaalt de categorie met een onderbouwing per artikel en bijlage. Zo weet je niet alleen óf je onder de AI Act valt, maar ook wat dat concreet voor je betekent. Meer achtergrond lees je in de kennisbank.

Veelgestelde vragen

Ja. Ook als gebruiksverantwoordelijke val je onder de wet, ook al heb je het systeem niet zelf gebouwd. Je verplichtingen verschillen wel van die van een aanbieder en hangen af van de risicocategorie van het systeem.

Vaak wel qua definitie, maar dergelijke toepassingen vallen meestal in de categorie minimaal risico, met nauwelijks extra eisen. Het is goed om ze toch in je register op te nemen voor een compleet overzicht.

De zelftest geeft richting, maar voor zekerheid is een gestructureerde beoordeling nodig. De gratis risicoscan stelt daar gerichte vragen over en geeft een onderbouwde uitkomst per artikel en bijlage.

Klaar om te beginnen?

Doe de gratis risicoscan en ontdek je risicocategorie en eerste stappen, of bekijk het platform.

Gratis risicoscan Bekijk het platform

Lees verder

De EU AI Act: de complete gids voor het MKBAlles over de EU AI Act (Verordening (EU) 2024/1689): wat de wet inhoudt, voor wie ze geldt, de risicocategorieën, de deadlines en de boetes. Met concrete eerste stappen.Deployer of provider: welke rol heb je onder de AI Act?Je rol onder de AI Act bepaalt je verplichtingen. Lees het verschil tussen deployer (gebruiksverantwoordelijke) en provider (aanbieder), de plichten per rol en wanneer je rol verschuift.Hoog-risico-AI en Bijlage III van de AI ActHoog-risico-AI valt onder de strengste eisen van de AI Act. Lees wat hoog-risico-systemen zijn, welke domeinen Bijlage III noemt en welke verplichtingen erbij horen.AI-geletterdheid: voldoen aan Artikel 4 van de AI ActArtikel 4 van de EU AI Act verplicht sinds 2 februari 2025 tot AI-geletterdheid bij je personeel. Lees wat de eis inhoudt, hoe een rol-gebaseerde aanpak werkt en hoe je het aantoonbaar maakt.