Hoe check je of jouw AI-systeem voldoet aan de EU AI Act?

De Europese AI-verordening (EU AI Act) raakt iedere organisatie die AI gebruikt of ontwikkelt. De wet kent een gefaseerde invoering: de verbodsbepalingen gelden al sinds februari 2025, de GPAI-regels sinds augustus 2025, en de regels voor hoog-risico systemen treden in werking per augustus 2026.

Voor Nederlandse overheidsorganisaties komt daar nog een laag bovenop: het IAMA (Impact Assessment Mensenrechten en Algoritmes) en aansluiting op het nationale algoritmeregister.

De vier risiconiveaus

De AI Act deelt AI-systemen in vier categorieën:

| Niveau | Voorbeelden | Verplichtingen | |--------|-------------|----------------| | Verboden | Social scoring, real-time gezichtsherkenning | Mag niet | | Hoog risico | HR-selectie, subsidiebeoordeling, rechtshandhaving | Conformiteitsbeoordeling, CE-markering, menselijk toezicht | | Beperkt risico | Chatbots | Transparantie ("u praat met AI") | | Minimaal risico | Spamfilters, interne zoekfunctie | Geen |

Checklist: 10 vragen voor je organisatie

1. Classificeer je AI-systeem. Is het verboden, hoog-risico, beperkt risico, of minimaal risico? Gebruik Annex III van de AI Act als leidraad.

2. Raakt het besluiten over natuurlijke personen? Als je AI gebruikt voor HR, subsidies, handhaving, of toegang tot diensten → waarschijnlijk hoog risico.

3. Voer een FRIA uit. De Fundamental Rights Impact Assessment is verplicht voor hoog-risico systemen. Documenteer welke grondrechten geraakt worden.

4. Check of je IAMA moet doen. Voor de Nederlandse overheid is het IAMA verplicht bij algoritmes die burgers raken.

5. Wie is verantwoordelijk? De AI Act kent twee rollen: aanbieder (ontwikkelaar) en gebruiksverantwoordelijke (deployer). Weet welke rol jij hebt.

6. Is er menselijk toezicht? Hoog-risico systemen vereisen human-in-the-loop. Wie controleert de output?

7. Transparantie naar gebruikers. Chatbots moeten zich kenbaar maken als AI. Burgers hebben recht op uitleg bij geautomatiseerde besluiten.

8. Registreer je systeem. Hoog-risico systemen moeten in de EU-database. Nederlandse overheid ook in het nationaal algoritmeregister.

9. Data governance op orde? Trainingsdata moet relevant, representatief en foutvrij zijn. Bias-controle is verplicht.

10. Documenteer alles. Technische documentatie, risicobeoordeling, en conformiteitsverklaring moeten bewaard worden voor toezichthouders.

Hoe de ai-governance plugin helpt

De ai-governance Claude Code plugin automatiseert deze check. Roep /ai-governance aan en krijg:

• Risicoclassificatie op basis van jouw use case beschrijving
• Annex III mapping: valt jouw toepassing onder de hoog-risico lijst?
• FRIA checklist met de zes verplichte grondrechtentoetsen
• Aanbieder vs. gebruiksverantwoordelijke verplichtingen matrix

Meer weten?

Bij DjimIT helpen we organisaties met AI-governance die verder gaat dan papieren compliance. Geen dikke rapporten die in een la verdwijnen, maar praktische kaders die werken.

Plan een kennismaking →