Terug naar inzichten
eu-ai-acthoog-risicobelgiecompliance

Wat is 'hoog-risico AI' onder de EU AI-wet? Een begrijpelijke gids voor Belgische ondernemers

Stéphane WillemsStéphane Willems6 min leestijd

Van alle jargon in de EU AI-wet bepaalt één term bijna alles: hoog-risico. Als uw AI hoog-risico is, geldt een aanzienlijke reeks verplichtingen. Als dat niet zo is, heeft u een handvol lichte plichten en kunt u verder met uw dag.

De praktische vraag voor elke Belgische ondernemer is dus niet "wat zegt de hele wet" — het is "is een deel van mijn AI hoog-risico?" Dit is de gids die ik zou willen dat meer mensen lezen voor ze ofwel panikeren ofwel hun schouders ophalen.

Ik ben een engineer die deze systemen classificeert en auditeert, geen jurist — dit is geen juridisch advies. Maar de classificatielogica is leerbaarder dan ze lijkt.

Eerst: "hoog-risico" gaat over gebruik, niet geavanceerdheid

Het meest voorkomende misverstand is denken dat hoog-risico "geavanceerd" of "krachtig" betekent. Dat is niet zo. De wet classificeert op basis van waarvoor de AI wordt gebruikt en wie het treft, niet hoe slim de technologie is.

Een eenvoudig spreadsheet-achtig model dat beslist wie een lening krijgt is hoog-risico. Een werkelijk geavanceerde AI die marketingteksten schrijft is dat niet. De vraag is altijd: neemt of vormt dit systeem wezenlijk beslissingen die het leven, de rechten of de veiligheid van mensen aanzienlijk treffen?

De vier risiconiveaus, kort

De wet sorteert AI in vier bakken:

  1. Onaanvaardbaar risico — verboden. Sociale scorebepaling door overheden, bepaalde manipulatie, ongerichte gezichtsdata-scraping. Vrijwel geen normaal bedrijf bouwt deze.
  2. Hoog-risico — zwaar gereguleerd. De categorie waar dit artikel over gaat.
  3. Beperkt risico — alleen transparantie. Chatbots en AI-gegenereerde inhoud: u moet vooral mensen vertellen dat het AI is.
  4. Minimaal risico — in wezen vrij. Spamfilters, aanbevelingsengines, documentsamenvatters. De meeste zakelijke AI zit hier.

Het hele spel draait om uitzoeken of u in bak 2 of bak 4 zit. De meeste Belgische kmo's zitten in bak 4 en hoeven zich geen zorgen te maken — maar die in bak 2 wel degelijk.

De hoog-risico categorieën die Belgische kmo's echt verrassen

De wet somt hoog-risico-gebruiken op. Teruggebracht tot die welke realistisch opduiken in een Belgisch middenmarktbedrijf:

Werk en werknemers (de grote)

AI gebruikt voor werving (cv's screenen, kandidaten rangschikken, vacatures richten) of voor beslissingen over werknemers (promotie, ontslag, taaktoewijzing, prestatiemonitoring) is hoog-risico.

Dit is de categorie die ik bedrijven het meest zie overvallen. HR-teams voeren een cv-screeningtool in omdat het tijd bespaart, zonder te beseffen dat het de meest voorkomende hoog-risico-trigger voor een kmo is. Als u AI ergens in werving of personeelsbeheer gebruikt, neem dan hoog-risico aan tot u het tegendeel hebt bevestigd.

Toegang tot essentiële diensten

AI die geschiktheid bepaalt voor krediet / leningen, verzekering prijst op basis van risico, of toegang controleert tot essentiële private of publieke diensten. Als u in financiële diensten of verzekering zit, bent u dit ondubbelzinnig.

Onderwijs en opleiding

AI die toegang tot onderwijs bepaalt of examens en beoordelingen scoort. Relevant als u opleiding, certificering of een edtech-product runt.

Veiligheidscomponenten

AI die fungeert als veiligheidsfunctie in een product, of in het beheer van kritieke infrastructuur (energie, water, transport). Als uw falende AI iemand kan schaden, zit het waarschijnlijk hier.

Biometrie

AI die mensen biometrisch identificeert, of er dingen over afleidt uit biometrische gegevens. Minder gangbaar in gewone kmo's, maar als u gezichtsherkenning of iets dergelijks doet, is het hoog-risico (en overlapt met verboden gebruiken — wees zeer voorzichtig).

De eerlijke test voor "ben ik hoog-risico?"

Loop uw AI-systemen door deze vragen:

  1. Raakt het werving of hoe u personeel beheert? → Waarschijnlijk hoog-risico.
  2. Beslist het wie krediet, verzekering of een essentiële dienst krijgt? → Waarschijnlijk hoog-risico.
  3. Scoort het mensen in onderwijs of beoordeling? → Waarschijnlijk hoog-risico.
  4. Kan het iemand schaden bij falen (veiligheid / kritieke infrastructuur)? → Waarschijnlijk hoog-risico.
  5. Identificeert of profileert het mensen via biometrie? → Waarschijnlijk hoog-risico (en controleer de verbodslijst).

Als u nee op alle vijf antwoordde, is uw AI vrijwel zeker niet hoog-risico. Het is minimaal of beperkt risico: houd goede datapraktijk aan, vertel mensen wanneer ze met AI omgaan, en u bent klaar.

Als u ja op een antwoordde, heeft u niet noodzakelijk een probleem — maar u heeft een classificatie die u moet bevestigen en documenteren, en indien bevestigd, een echte reeks verplichtingen om te vervullen vóór de deadline van augustus 2026.

Wat hoog-risico u werkelijk verplicht te doen

Als een systeem bevestigd hoog-risico is, zijn de plichten aanzienlijk — daarom wilt u er niet onnodig in misclassificeren, en daarom kunt u het niet negeren als u er werkelijk in zit. In grote lijnen:

  • Risicobeheer — een gedocumenteerd, doorlopend proces, geen eenmalige zaak.
  • Datagovernance — uw trainings-/invoergegevens onderzocht op kwaliteit en bias, met herkomst vastgelegd.
  • Technische documentatie — geschreven voor deployment, die het systeem, zijn gegevens, zijn tests beschrijft.
  • Logging — registraties waarmee u beslissingen achteraf kunt reconstrueren.
  • Menselijk toezicht — een echte persoon die het systeem kan begrijpen, overschrijven en stoppen.
  • Nauwkeurigheid en robuustheid — getest en gedocumenteerd.

Die kosten tijd om goed in te voeren. De fout is ze behandelen als papierwerk om de week voor een audit te genereren. Het zijn ontwerpbeslissingen — vooral menselijk toezicht, dat ingebouwd moet zijn in hoe het systeem werkt, niet achteraf toegevoegd.

De twee faalwijzen om te vermijden

Ik zie bedrijven in twee tegengestelde richtingen falen:

Overclassificeren. Een bedrijf wordt bang, beslist dat alles hoog-risico is, en geeft geld uit aan consultants en documentatie voor een chatbot die nooit hoog-risico was. Verspillend, en verrassend gangbaar wanneer angst-gedreven leveranciers betrokken zijn.

Onderclassificeren. Een bedrijf neemt aan dat zijn wervings-AI "gewoon een tool" is en controleert nooit, en ontdekt dan tijdens een GDPR-klacht of een audit dat het een hoog-risico systeem heeft gedraaid zonder de vereiste waarborgen. Duur op een andere manier.

De oplossing voor beide is dezelfde en goedkoop: classificeer uw systemen werkelijk, schrijf de redenering op, en bewaar de notitie. Een korte, eerlijke classificatie is uw beste bescherming in beide richtingen.

De conclusie

"Hoog-risico" is geen gevoel — het is een gedefinieerde lijst, en voor de meeste Belgische kmo's is het eerlijke antwoord "we zijn niet hoog-risico, maar twee van onze systemen moesten gecontroleerd worden en nu hebben we opgeschreven waarom." Die notitie is meer waard dan welk duur platform ook.

Die welke werkelijk wel hoog-risico zijn — meestal door werving, krediet of een veiligheidsfunctie — zouden augustus 2026 als een echte deadline moeten behandelen en de verplichtingen nu op orde moeten krijgen.

Ik schrijf een korte, praktische nieuwsbrief die dit soort regelgeving in begrijpelijke taal omzet voor Belgische bedrijven — de AI-wet, GDPR en AI, en senior engineering, zonder hype. Schrijf u hieronder in als dat nuttig is.

Wilt u de classificatie goed gedaan hebben — uw systemen in kaart gebracht en het risiconiveau van elk schriftelijk bevestigd — dan is dat precies waar WDC's AI Readiness Audit voor is. En als u nieuwe AI plant en de classificatie van bij het begin goed wilt, bouwt de AI Opportunity Assessment het in.

Klaar om te starten?

Praat met ons over uw project.

De meeste opdrachten beginnen met een gesprek van 30 minuten.

Boek een gesprek

Schrijf u in voor onze nieuwsbrief

Schrijf u in voor af en toe een praktische tekst over AI-integratie, de EU AI-wet en senior engineering voor Belgische bedrijven.