Hoe check je of jouw AI-systeem voldoet aan de EU AI Act?
AI GovernanceDe Europese AI-verordening (EU AI Act) raakt iedere organisatie die AI gebruikt of ontwikkelt. De wet kent een gefaseerde invoering: de verbodsbepalingen gelden al sinds februari 2025, de GPAI-regels sinds augustus 2025, en de regels voor hoog-risico systemen treden in werking per augustus 2026.
Voor Nederlandse overheidsorganisaties komt daar nog een laag bovenop: het IAMA (Impact Assessment Mensenrechten en Algoritmes) en aansluiting op het nationale algoritmeregister.
De vier risiconiveaus
De AI Act deelt AI-systemen in vier categorieën:
| Niveau | Voorbeelden | Verplichtingen |
|---|---|---|
| Verboden | Social scoring, real-time gezichtsherkenning | Mag niet |
| Hoog risico | HR-selectie, subsidiebeoordeling, rechtshandhaving | Conformiteitsbeoordeling, CE-markering, menselijk toezicht |
| Beperkt risico | Chatbots | Transparantie ("u praat met AI") |
| Minimaal risico | Spamfilters, interne zoekfunctie | Geen |
Checklist: 10 vragen voor je organisatie
-
Classificeer je AI-systeem. Is het verboden, hoog-risico, beperkt risico, of minimaal risico? Gebruik Annex III van de AI Act als leidraad.
-
Raakt het besluiten over natuurlijke personen? Als je AI gebruikt voor HR, subsidies, handhaving, of toegang tot diensten → waarschijnlijk hoog risico.
-
Voer een FRIA uit. De Fundamental Rights Impact Assessment is verplicht voor hoog-risico systemen. Documenteer welke grondrechten geraakt worden.
-
Check of je IAMA moet doen. Voor de Nederlandse overheid is het IAMA verplicht bij algoritmes die burgers raken.
-
Wie is verantwoordelijk? De AI Act kent twee rollen: aanbieder (ontwikkelaar) en gebruiksverantwoordelijke (deployer). Weet welke rol jij hebt.
-
Is er menselijk toezicht? Hoog-risico systemen vereisen human-in-the-loop. Wie controleert de output?
-
Transparantie naar gebruikers. Chatbots moeten zich kenbaar maken als AI. Burgers hebben recht op uitleg bij geautomatiseerde besluiten.
-
Registreer je systeem. Hoog-risico systemen moeten in de EU-database. Nederlandse overheid ook in het nationaal algoritmeregister.
-
Data governance op orde? Trainingsdata moet relevant, representatief en foutvrij zijn. Bias-controle is verplicht.
-
Documenteer alles. Technische documentatie, risicobeoordeling, en conformiteitsverklaring moeten bewaard worden voor toezichthouders.
Hoe de ai-governance plugin helpt
De ai-governance Claude Code plugin
automatiseert deze check. Roep /ai-governance aan en krijg:
- Risicoclassificatie op basis van jouw use case beschrijving
- Annex III mapping: valt jouw toepassing onder de hoog-risico lijst?
- FRIA checklist met de zes verplichte grondrechtentoetsen
- Aanbieder vs. gebruiksverantwoordelijke verplichtingen matrix
Meer weten?
Bij DjimIT helpen we organisaties met AI-governance die verder gaat dan papieren compliance. Geen dikke rapporten die in een la verdwijnen, maar praktische kaders die werken.
AI & Security Intelligence
Wekelijkse nieuwsbrief met AI updates, security alerts en compliance inzichten, direct in uw inbox.
Security & AI Operating Model
Advisory met executiekracht
Van BIO2 en NIS2 tot EU AI Act, embedded in uw operating model, niet als extern project. Maandelijks opzegbaar, met assessments als bewijsvoering.