Een slimme thermostaat valt er niet onder. Een systeem dat sollicitanten beoordeelt, waarschijnlijk wel. De Europese Commissie heeft concept-richtsnoeren gepubliceerd over de vraag welke AI-systemen als 'hoog-risico' gelden onder de AI Act, de Europese wet die spelregels stelt voor kunstmatige intelligentie.
De documenten hadden er eigenlijk al veel eerder moeten zijn. De oorspronkelijke deadline was 2 februari, maar de Commissie miste die en schoof daarna ook een herziene deadline voor zich uit. Die vertraging had gevolgen: meer dan 110 Europese bedrijven grepen de afwezigheid van duijke regels aan om succesvol te lobbyen voor uitstel van de handhaving.
Nu zijn de richtsnoeren er alsnog, bedoeld als praktisch hulpmiddel. Aanbieders en gebruikers van AI moeten aan de hand van concrete voorbeelden zelf kunnen beoordelen of hun systeem onder de zware verplichtingen valt. Bedrijven, overheden, onderzoekers en burgers kunnen tot 23 juni 2026 reageren via het AI Act Single Information Platform.
Volgens de Commissie zijn er twee manieren waarop een AI-systeem als hoog-risico wordt aangemerkt. De eerste optie is wanneer AI deel uitmaakt van een product met een veiligheidsfunctie, zoals medische apparatuur, voertuigen of liften. Een defect waarbij brand of koolmonoxidegevaar kan ontstaan, maakt van een AI-toepassing al snel een hoog-risicovariant. Een thermostaat die puur op comfort en energiebesparing is gericht, valt daar echter buiten.
De tweede weg loopt via een lijst met gevoelige toepassingsgebieden. Wie AI inzet voor gezichtsherkenning, personeelswerving, kredietwaardigheid, rechtspraak of grenscontrole, krijgt vrijwel automatisch met de strenge regels te maken.
Opvallend is de positie van de Commissie over menselijk toezicht. Bedrijven hoopten soms dat een medewerker die de AI-aanbeveling nog even bekijkt, hen buiten de zware verplichtingen zou houden. Brussel maakt korte metten met die redenering. Ook als een mens de eindverantwoordelijkheid draagt, verandert dat niets aan de classificatie wanneer het systeem zelf bedoeld is voor een hoog-risico toepassing.
Dat raakt vooral HR-software, scoringsmodellen en andere systemen die beslissingen ondersteunen.
Veel aandacht gaat uit naar zogenoemde profilerende systemen, oftewel AI die op basis van persoonsgegevens voorspellingen doet over gedrag, betrouwbaarheid of prestaties. Zodra een systeem dat doet, vervalt in de meeste gevallen de mogelijkheid om gebruik te maken van uitzonderingen. Fraudedetectie, risicoscores en recruitment-tools staan dan ook vrijwel allemaal op de radar.
De Commissie sluit hiermee nauw aan bij de AVG, de Europese privacywet.
Tegelijkertijd probeert Brussel ruimte te laten voor AI die nauwelijks invloed heeft op beslissingen. Systemen die slechts documenten ordenen, formulieren controleren op volledigheid of inconsistenties signaleren, kunnen onder voorwaarden buiten de zware categorie blijven. Maar zodra een systeem rankings maakt, scores toekent of aanbevelingen doet over personen, is de kans groot dat het wél onder de strenge regels valt.
Het hoofdstuk over biometrie is het meest uitgewerkt. De Commissie maakt een scherp onderscheid tussen systemen waarbij gebruikers bewust meedoen, zoals gezichtsontgrendeling op een smartphone, en systemen die mensen in openbare ruimtes identificeren zonder dat zij dat weten.
Dat laatste, van gezichtsherkenning via bewakingscamera's tot het volgen van looppatronen, geldt in beginsel als hoog-risico. Het ongericht scrapen van gezichtsfoto's of het gebruik van real-time biometrische identificatie in de openbare ruimte door de overheid is verboden, behoudens een aantal zeer strikte uitzonderingen voor nationale veiligheid en zware misdrijven.
De boodschap voor bedrijven en overheden is helder: wie AI inzet in gevoelige domeinen, zal moeten investeren in documentatie, interne governance en juridische beoordeling. Aanbieders van generieke AI-platforms worden gewaarschuwd dat algemene disclaimers niet volstaan als de software in de praktijk voor hoog-risico doeleinden wordt gebruikt.
De verplichtingen gaan gefaseerd in, en dat is geen toeval. Met het eerder dit jaar gesloten Digital Omnibus-akkoord koos Brussel bewust voor een pragmatischer koers met minder bureaucratie, meer ruimte voor innovatie en extra tijd voor de sector om zich aan te passen. Dat de richtsnoeren zo lang op zich lieten wachten speelde daarin een grote rol, omdat het bedrijfsleven die onduidelijkheid aangreep om uitstel af te dwingen.
Ontwikkelaars van hoog-risico systemen voor onder meer biometrie en migratiecontrole hoeven nu pas in december 2027 volledig aan de regels te voldoen. Voor AI in consumentenproducten zoals liften en speelgoed verschuift de deadline naar augustus 2028.
Ondertussen zet de EU ook in op zogeheten regulatory sandboxes. Dit zijn gecontroleerde testomgevingen waar bedrijven AI kunnen ontwikkelen onder toezicht, zonder direct aan de zwaarste verplichtingen te hoeven voldoen. Op één punt worden de regels juist strenger: er komt een onmiddellijk verbod op apps die zonder toestemming seksueel expliciete deepfakes genereren.
Niet iedereen is blij met de versoepelingen. Digitale burgerrechtenorganisaties, waaronder Bits of Freedom, noemen het "bizar" dat juist de regels die AI veiliger en uitlegbaarder moeten maken als eerste worden uitgesteld.
De richtsnoeren zelf zijn nog niet definitief, aangezien alleen het Europese Hof van Justitie uiteindelijk bindende uitspraken kan doen over de exacte interpretatie van de wet. Tot die tijd hebben organisaties en burgers tot eind juni de kans om hun stem te laten horen, voordat de definitieve spelregels voor de Europese AI-markt worden vastgesteld.
