Op 19 mei 2026 publiceerde de Europese Commissie (EC) haar concept richtsnoeren voor de classificatie van hoog-risico AI-systemen. Het goede nieuws is dat de richtsnoeren meer duidelijkheid verschaffen. Het slechte nieuws is dat hierdoor mogelijk meer AI-systemen binnen deze categorie gaan vallen. Hieronder kunt u lezen wat de richtsnoeren in hoofdlijnen inhouden.
Een AI-systeem kan op basis van de AI-Verordening worden aangemerkt als een hoog risico als:
De concept richtsnoeren geven praktische handvatten en bestaan uit drie onderdelen te weten:
In de algemene principes (nr. 1) worden de basisvoorwaarden toegelicht. Zo wordt onder meer verduidelijkt wanneer sprake is van een AI‑systeem en wat precies wordt bedoeld met het “voorgenomen gebruik”. Daarbij worden hierin ook de vertraagde termijnen uit de Digital Omnibus genoemd, kort gezegd: 2 december 2027 (voor de veiligheidscomponenten en/of de AI-systemen die onder de harmonisatiewetgeving vallen), 2 augustus 2028 (voor de AI-systemen die worden gebruikt voor de in bijlage III genoemde doeleinden) en 31 december 2030 (als deadline wanneer AI-systemen die vóór 2 augustus 2027 in gebruik zijn genomen moeten voldoen aan alle verplichtingen).
In de nadere invulling van bijlage I AI-Verordening (nr. 2) wordt verder uitgewerkt wanneer een AI-systeem als veiligheidscomponent kwalificeert. Daarbij worden praktische voorbeelden gegeven van veiligheids- en mitigerende functies en wordt toegelicht in welke gevallen een systeem door risico’s bij disfunctioneren als veiligheidscomponent kan worden aangemerkt
Tot slot wordt in de nadere invulling van bijlage III AI-Verordening (nr. 3) onder meer uitgelegd dat menselijke controle de kwalificatie ‘hoog risico’ niet automatisch wegneemt. Daarnaast wordt benadrukt dat de focus qua risico’s ligt op de impact op natuurlijke personen (en niet op organisaties). Ook wordt ingegaan op de beoordeling van AI binnen complexe systemen en op de interpretatie van termen zoals “bedoeld zijn om te worden gebruikt”. Daarnaast wordt het zogeheten filtermechanisme verder verduidelijkt en worden per categorie uit bijlage III concrete voorbeelden gegeven. Vooral deze laatste 2 punten zijn zeer verhelderend.
Wanneer een AI-systeem wordt gekwalificeerd als ‘hoog risico’ gelden hiervoor vergaande verplichtingen. Zo is het onder meer verplicht om een risicobeheersysteem in te richten, moet er technische documentatie beschikbaar worden gesteld, kan een certificering verplicht zijn, moet er verplichte logging plaatsvinden, moet er bepaalde informatie beschikbaar worden gesteld en moet de menselijke controle zijn gewaarborgd. Voor een beperkt of laag risico AI-systeem gelden veel minder verplichtingen. De kwalificatie maakt dus een belangrijk verschil.
Al met al, belangrijk dus om voordat een AI-systeem in gebruik wordt genomen te bepalen of het kwalificeert als hoog risico en zo ja, of aan alle verplichtingen wordt voldaan. De richtsnoeren zullen bijdragen aan een eenduidige en makkelijkere toepassing van de categorisering die volgt uit de wet, de vraag is alleen wat de definitieve inhoud hiervan zal gaan zijn. Interessant om in de gaten te houden dus!
Dat kan. De richtsnoeren zijn nog niet definitief en tot 23 juni 2026 kan nog feedback worden aangeleverd bij de EC.
Heeft u vragen op dit gebied? Wij denken graag met u mee. Neem gerust contact op met Michelle Wijnant, advocaat IT, Privacy & Cybersecurity of iemand anders van Team IT, Privacy & Cybersecurity.
Wilt u elke maand een overzicht van updates en blogs in uw mailbox? Schrijf u dan in voor onze nieuwsbrief!
