EU werkt aan richtlijnen voor “high-risk” AI: waarom dit nu belangrijk is voor bedrijven
3 mins read

EU werkt aan richtlijnen voor “high-risk” AI: waarom dit nu belangrijk is voor bedrijven

De EU AI Act staat op het punt de praktijk in te gaan — en één van de meest bepalende vragen is: wanneer valt een AI-systeem onder de categorie “high-risk”? Op 19 mei 2026 publiceerde de Europese Commissie conceptrichtlijnen over die classificatie en opende ze een gerichte consultatie die loopt tot 23 juni 2026. (Bron: Europese Commissie – consultatie high-risk classificatie)

Dat klinkt technisch, maar het bepaalt straks heel concreet welke teams extra verplichtingen krijgen rond documentatie, risicobeheer, monitoring en audits. In juridische analyses wordt dit dan ook gezien als een belangrijke ‘praktijklaag’ bovenop de wettekst, juist voor grensgevallen. (Bron: William Fry – analyse van de conceptrichtlijnen)

Wat bedoelt de AI Act met “high-risk”?

De AI Act maakt onderscheid tussen verschillende risiconiveaus. High-risk is de categorie waarbij de wet de zwaarste eisen oplegt, omdat fouten of bias direct grote impact kunnen hebben op veiligheid of grondrechten.

In de kern gaat het om twee routes (zie Artikel 6): systemen als veiligheidscomponent in gereguleerde producten (Annex I) én stand-alone systemen in gevoelige domeinen (Annex III). (Bron: AI Act Service Desk – Article 6)

Denk aan AI voor:

  • selectie en beoordeling van sollicitanten (HR),
  • toelating of risicobeoordeling in finance,
  • diagnostiek of triage in de zorg,
  • kritieke infrastructuur en overheidsprocessen.

Het lastige: niet elk model is automatisch high-risk. Het gaat om de context en het doel waarin een systeem wordt ingezet, plus de rol die het speelt in besluitvorming.

Waarom richtlijnen juist nú nodig zijn

AI-systemen worden snel “agentischer”: ze voeren meerstaps-taken uit, combineren tools en gaan vaker van advies naar actie. Dat zien we terug in recente productaankondigingen zoals Gemini 3.5 Flash en agentic workflows en zelfs in de hardwarelaag, waar chips worden gepositioneerd voor agentic workloads (bijv. Alibaba’s Zhenwu M890).

Hoe autonomer een systeem wordt ingezet (bijv. “screen deze cv’s, plan vervolgstappen, stuur mails”), hoe sneller je in een risicodomein terechtkomt. De conceptrichtlijnen bevatten daarom praktische voorbeelden om te bepalen of een use case ‘high-risk’ is — en in welke categorie die valt.

Wat betekent dit concreet voor organisaties die AI gebruiken?

Als jouw toepassing straks als high-risk wordt gezien, moet je onder andere rekenen op:

  • risicomanagement (inclusief tests op bias en robuustheid),
  • technische documentatie die toezicht kan doorstaan,
  • log- en monitoring-eisen in productie,
  • menselijk toezicht: wie mag overrulen, wanneer, en hoe is dat geborgd?

Dit haakt ook aan op het bredere thema “vertrouwen” in AI-output. In dat kader is het interessant dat OpenAI inzet op herkomst en provenance via standaarden zoals C2PA. (Lees: SynthID + C2PA voor herkomst van AI-beelden.) Regulering en provenance lijken steeds meer twee kanten van dezelfde medaille: aantoonbaar maken wat je systeem doet en waarom.

Conclusie: dit is hét moment om je AI-portfolio te “mappen”

De boodschap: high-risk wordt niet alleen een label, maar een operationele categorie. Wacht niet tot de definitieve guidance er is. Maak nu al een overzicht van AI-systemen (inclusief shadow AI), koppel ze aan domeinen (HR, zorg, finance, overheid), en beschrijf per toepassing: welke beslissingen beïnvloedt het, welke data gebruikt het, en hoe ziet menselijk toezicht eruit?

Wie dit nu op orde brengt, kan sneller schakelen als de Europese Commissie de richtlijnen definitief maakt — en voorkomt verrassingen zodra toezicht en handhaving op stoom komen.