Risicocategorieën van de EU AI Act: in welke valt jouw toepassing?

Femke de Vries

AI-Automatisering Consultant voor het MKB

Stel je voor: je bouwt een gave AI-toepassing. Misschien een slimme chatbot, een hulpmiddel voor recruiters, of een tool die helpt bij het diagnosticeren van ziektes. Je bent enthousiast, maar dan begint het te gonzen: de EU AI Act.

Het klinkt als een ingewikkeld woud van regels en juridisch jargon. Maar maak je geen zorgen.

Het is eigenlijk best simpel als je het bekijkt als een soort verkeersregels voor kunstmatige intelligentie. Sommige dingen mag je simpelweg niet doen, andere dingen vereisen een rijbewijs en een goedgekeurde auto, en weer andere dingen zijn gewoon toegestaan zolang je je aan de basissnelheid houdt.

De EU AI Act is de nieuwe grote regelgeving die bepaalt hoe AI ontwikkeld en gebruikt mag worden in Europa. Het draait allemaal om risico's. Hoe groter het risico dat jouw AI-toepassing schade aanricht, hoe strenger de regels.

In dit artikel leggen we, zonder ingewikkelde woorden, precies uit hoe deze risicocategorieën werken en welke impact ze hebben op wat jij bouwt.

Laten we de motor eens goed bekijken.

De kern van de zaak: een risicogebaseerde aanpak

De EU AI Act is niet bedoeld om innovatie af te remmen, maar om burgers te beschermen tegen de negatieve effecten van AI.

De wet is gebaseerd op een simpel idee: hoe gevaarlijker de toepassing, hoe meer controle er nodig is. De Europese Unie heeft AI-systemen ingedeeld in vier hoofdcategorieën, van verboden tot vrijwel ongereguleerd. Deze indeling bepaalt welke verplichtingen jouw bedrijf heeft. De wet is inmiddels goedgekeurd en zal geleidelijk worden ingevoerd.

Dit betekent dat er tijd is om te zorgen dat je systeem compliant is, maar het is verstandig om nu al stil te staan bij jouw risicoprofiel. Bedenk hierbij dat de regels niet alleen gelden voor de makers van AI, maar ook voor de gebruikers in de EU. Of je nu een startup bent of een multinational zoals Google of Microsoft, de regels gelden voor iedereen die AI op de Europese markt brengt.

De vier risicocategorieën uitgelegd

De EU AI Act onderscheidt vier niveaus van risico. We lopen ze langs, van strengst naar minst streng.

1. Verboden systemen: het rode licht

Dit is de categorie waar je absoluut niet aan wilt komen. Dit zijn AI-systemen die een onacceptabel risico vormen op schade aan mensen of samenleving. De EU verbiedt deze toepassingen volledig. Denk hierbij aan systemen die het gedrag van mensen manipuleren op een manier dat hun vrije wil wordt aangetast.

Een voorbeeld is het gebruik van subliminale boodschappen om mensen onbewust te beïnvloeden. Ook sociale scoring door overheden is verboden.

2. Hoog-risico systemen: de zware controle

Dit houdt in dat een AI-systeem niet mag worden gebruikt om burgers te beoordelen op hun gedrag in de maatschappij om ze vervolgens te straffen of te belonen, zoals we soms zien in sciencefictionfilms.

Daarnaast is massale biometrische identificatie in openbare ruimten verboden, tenzij er sprake is van een zeer ernstige misdaad of natuurlijke ramp. Kortom: als je AI bouwt die mensen dwingt of op een ongepaste manier in de gaten houdt, ben je illegaal bezig. Dit is de categorie waar de meeste aandacht naar uitgaat voor serieuze toepassingen.

Hoog-risico AI-systemen vormen een significant gevaar voor de gezondheid, veiligheid of fundamentele rechten van mensen, maar ze zijn niet verboden omdat ze ook veel waarde kunnen toevoegen. Denk aan AI in kritieke sectoren.

Voorbeelden van hoog-risico systemen zijn AI die wordt gebruikt in: Als jouw AI-toepassing onder deze categorie valt, rust er een zware verantwoordelijkheid op je schouders. Je moet voldoen aan strenge eisen voordat je de markt op mag. Denk aan een risicobeoordeling, het garanderen van datakwaliteit, het vastleggen van traceerbaarheid en het zorgen voor menselijk toezicht.

• Biometrische identificatie (met uitzondering van de verboden gevallen).
• Kritieke infrastructuur, zoals het beheer van water- en energienetwerken.
• Onderwijs en beroepsopleiding, bijvoorbeeld bij het toelaten of beoordelen van studenten.
• Werving en selectie. Denk aan AI die cv’s screent of sollicitatiegesprekken analyseert. Bedrijven als LinkedIn of uitzendbureaus moeten hier goed op letten.
• Toegang tot essentiële diensten zoals kredietverlening, verzekeringen of huisvesting.
• Rechtshandhaving, zoals het inschatten van recidivekansen.
• Migratie en grenscontrole.

Het is een pittig traject, maar het geeft gebruikers wel vertrouwen in je systeem.

Deze categorie is interessant. Hier vallen systemen die niet direct als ‘hoog risico’ worden gezien, maar wel duidelijk maken dat de gebruiker met een AI te maken heeft, zoals bij specifieke AI-tools voor de zorg.

3. Midden-risico systemen: transparantie is key

De bekendste voorbeelden zijn zogenaamde 'deepfakes' en chatbots. Stel je voor dat je een AI-tool bouwt die nepvideo’s maakt of een chatbot die gesprekken voert alsof het een mens is.

Dan val je in deze categorie. De regelgeving hier is vooral gericht op transparantie. Je moet de gebruiker duidelijk maken dat hij of zij interactie heeft met een AI-systeem. Je mag mensen niet misleiden.

Het doel is om verwarring te voorkomen en ervoor te zorgen dat gebruikers weten wanneer ze met een machine praten in plaats van een persoon. Voor deze systemen gelden over het algemeen minder zware technische eisen dan voor hoog-risico systemen, maar de informatieplicht is cruciaal.

Dit is de categorie waar de meeste AI-toepassingen waarschijnlijk in vallen. Denk aan spamfilters, zoekalgoritmen of aanbevelingssystemen die je kijkgewoontes bijhouden op streamingdiensten.

4. Laag-risico systemen: vrij spel met een disclaimer

Deze systemen vormen een minimaal risico op schade. De EU AI Act stelt voor deze systemen geen specifieke juridische verplichtingen. Je hoeft geen certificering aan te vragen of complexe documenten in te dienen.

Dit betekent niet dat je helemaal niets hoeft te doen. Je moet je nog steeds houden aan andere wetgeving, zoals de Algemene Verordening Gegevensbescherming (AVG) als je persoonsgegevens verwerkt.

Maar voor de AI Act zelf zijn deze systemen grotendeels vrijgesteld. Dit is goed nieuws voor innovatie en kleine experimenten.

Welke risico's worden er eigenlijk beschermd?

De indeling in categorieën is niet zomaar bedacht. De EU wil specifieke risico's voorkomen.

• Fysieke schade: Denk aan letsel door een zelfrijdende auto of een robotarm in een fabriek.
• Psychologische schade: Bijvoorbeeld door manipulatie of sociale scoring.
• Schending van fundamentele rechten: Dit omvat discriminatie, privacy-schendingen en ongelijke behandeling.
• Schade aan democratie en rechtsstaat: Denk aan desinformatie of systemen die de verkiezingen beïnvloeden.

De wet noemt vier hoofdtypen van schade die beschermd moeten worden: Als je een AI-systeem bouwt, is het slim om na te denken: kan mijn toepassing bijdragen aan een van deze risico's? Als het antwoord ja is, moet je waarschijnlijk aan de bak.

Hoe weet je in welke categorie jouw toepassing valt?

Dit is de hamvraag. De EU heeft een lijst met voorbeelden, maar elk systeem is uniek. De beoordeling hangt af van drie factoren: de aard van de taak, de context waarin het systeem werkt, en de potentiële impact.

Neem een AI-systeem voor sollicitatiegesprekken. Als het systeem alleen maar cv’s sorteert op relevantie (laag risico), valt het mee.

Als het systeem echter gezichten analyseert om 'werkbaarheid' te voorspellen (hoog risico), komen er strengere regels kijken. De EU raadt aan om een interne risicoanalyse te doen voordat je een product lanceert.

Grote bedrijven zoals IBM en Salesforce werken al aan tools om hierbij te helpen, maar uiteindelijk is het aan jou als ontwikkelaar om de juiste categorie te kiezen. Het is een dynamisch proces. De technologie verandert snel en de interpretatie van de wetgeving zal zich de komende jaren verder ontwikkelen.

Het is verstandig om je systeem regelmatig te evalueren. Voldoet het nog steeds aan de criteria?

Is er nieuwe wetgeving bijgekomen?

Praktische stappen voor jouw bedrijf

Het implementeren van de EU AI Act voelt misschien als een zware last, maar het is ook een kans. Door transparant en veilig te werken, bouw je vertrouwen op bij je gebruikers.

Hier zijn een paar stappen die je kunt nemen: Ten eerste, documenteer alles.

Zorg dat je kunt uitleggen hoe je AI werkt en welke data je gebruikt, en vraag altijd expliciet toestemming aan klanten voor AI-verwerking van hun gegevens. Ten tweede, voer een impact assessment uit. Kijk kritisch naar hoe je systeem beslissingen neemt en of dit eerlijke resultaten oplevert.

Ten derde, zorg voor menselijke controle. AI mag nooit volledig autonoom beslissingen nemen over gevoelige onderwerpen zonder toezicht. Als je een hoog-risico systeem bouwt, moet je mogelijk een conformiteitsprocedure doorlopen, vergelijkbaar met de keuring van een auto. Dit kan betekenen dat je een onafhankelijke derde partij moet inschakelen om je systeem te testen.

Conclusie: de toekomst van AI in Europa

De EU AI Act brengt duidelijkheid in een complex veld. Door AI in te delen op risico, zorgt Europa ervoor dat innovatie kan bloeien zonder dat de veiligheid en rechten van burgers in het geding komen. Of je nu een simpel chatbotje bouwt of een complex systeem voor de gezondheidszorg, er is een pad voor jou.

De sleutel is bewustzijn. Begrijp waar je toepassing thuishoort en handel ernaar.

Op die manier blijf je niet alleen uit de problemen, maar bouw je ook aan een toekomst waarin AI betrouwbaar en veilig is voor iedereen. De EU AI Act is geen rem op de ontwikkeling, maar een stuur dat ons de juiste kant op moet leiden.