De vier risiconiveaus van de EU AI Act: wat ze zijn, waar je ze vindt, en wat ze betekenen voor jouw organisatie
    Wetten en regels

    De vier risiconiveaus van de EU AI Act: wat ze zijn, waar je ze vindt, en wat ze betekenen voor jouw organisatie

    Ferry Hoes

    Ferry Hoes

    14 mei 2026

    De EU AI Act sorteert AI-systemen niet op techniek. Niet op model. Niet op leverancier. Op één ding: hoeveel risico de toepassing oplevert voor mensen.

    Die sortering bepaalt alles wat daarna komt. Wat verboden is. Wat mag onder strenge voorwaarden. Wat alleen transparantie vereist. Wat ongereguleerd blijft. Vier niveaus. Vier regimes. Eén vraag voor elke organisatie: waar valt onze AI in.

    De pyramide in één oogopslag

    De wet werkt met een hiërarchie van risico. Hoe hoger het risico, hoe zwaarder de verplichting. De vier niveaus van top naar basis:

    1. Onaanvaardbaar risico — verboden
    2. Hoog risico — toegestaan onder strikte verplichtingen
    3. Beperkt risico — transparantieplicht
    4. Minimaal of geen risico — vrij gebruik

    Daarnaast staat een apart spoor voor general-purpose AI-modellen, de grote modellen achter tools als ChatGPT en Claude. Daarover verderop meer.

    Niveau 1. Onaanvaardbaar risico

    Waar je het vindt: Artikel 5 van Verordening (EU) 2024/1689.

    Acht praktijken die zo schadelijk zijn voor grondrechten dat de EU ze volledig verbiedt. Geen uitzonderingen, geen vergunningen, geen overgangsregeling. Vanaf 2 februari 2025 niet meer toegestaan in de Unie.

    De officiële lijst uit de Commissie omvat onder andere:

    • Social scoring door overheden of namens hen
    • AI die mensen onbewust manipuleert met schadelijke uitkomsten
    • Systemen die kwetsbaarheden uitbuiten (leeftijd, beperking, sociaaleconomische situatie)
    • Voorspellen of iemand een misdrijf zal plegen op basis van persoonlijkheidskenmerken
    • Realtime gezichtsherkenning in openbare ruimtes door opsporingsdiensten, behoudens nauw omschreven uitzonderingen
    • Emotieherkenning op de werkvloer of in onderwijsinstellingen, behalve om medische of veiligheidsredenen
    • Biometrische categorisering naar gevoelige kenmerken zoals ras, religie, of seksuele geaardheid
    • Ongericht schrapen van gezichten van internet of cameranetwerken voor herkenningsdatabases

    Boete bij overtreding: tot 35 miljoen euro of 7% van de wereldwijde jaaromzet, wat hoger is. Dit is de zwaarste sanctie in het hele AI Act-regime. Vastgelegd in Artikel 99, lid 3.

    Niveau 2. Hoog risico

    Waar je het vindt: Artikel 6, plus Annex I en Annex III van de verordening.

    Het grootste deel van de wet gaat over deze categorie. Hoog risico betekent niet verboden. Het betekent toegestaan onder een uitgebreid pakket verplichtingen. Een AI-systeem valt onder hoog risico als het wordt gebruikt als veiligheidscomponent in een gereguleerd product (Annex I), of als de toepassing in Annex III staat.

    Annex III noemt specifieke domeinen, waaronder:

    • Biometrische identificatie en categorisering buiten Artikel 5
    • Beheer en exploitatie van kritieke infrastructuur (water, gas, elektriciteit, verkeer)
    • Toegang tot onderwijs en beoordeling van prestaties
    • Werving, selectie, evaluatie en promotie van medewerkers
    • Toegang tot essentiële private en publieke diensten, zoals kredietscoring en risicobeoordeling voor zorg- en levensverzekeringen
    • Wetshandhaving, migratie, asiel en grenscontrole
    • Rechtspraak en democratische processen

    De verplichtingen voor deze systemen zijn fors. Risicobeheersysteem (Artikel 9), datakwaliteit (Artikel 10), technische documentatie (Artikel 11), transparantie (Artikel 13), menselijk toezicht (Artikel 14), nauwkeurigheid en cyberveiligheid (Artikel 15). Voor veel systemen geldt een conformiteitsbeoordeling voor introductie op de markt.

    Boete bij overtreding: tot 15 miljoen euro of 3% van de wereldwijde jaaromzet, wat hoger is. Artikel 99, lid 4.

    De hoofdregels voor hoog-risico systemen worden van toepassing op 2 augustus 2026. Voor hoog-risico AI ingebed in andere gereguleerde producten geldt een verlengde overgangstermijn tot 2 augustus 2028, na het zogeheten AI-omnibus akkoord.

    Niveau 3. Beperkt risico

    Waar je het vindt: Artikel 50.

    De middelste tier. AI-systemen die niet schadelijk zijn op het niveau van categorie 1 of 2, maar wel een transparantieplicht hebben omdat ze direct met mensen interacteren of inhoud creëren die voor inhoud van mensen kan worden aangezien.

    De wet noemt expliciet:

    • AI-systemen die direct met mensen communiceren, zoals chatbots. Gebruikers moeten weten dat ze met AI praten, niet met een mens
    • AI die synthetische audio, beeld, video of tekst genereert. Deze output moet machine-leesbaar gemarkeerd zijn als AI-gegenereerd
    • Emotieherkenning en biometrische categorisering buiten Artikel 5. Betrokkenen moeten erover geïnformeerd worden
    • Deepfakes. Inhoud die echt lijkt maar door AI is gemaakt of bewerkt, moet als zodanig herkenbaar zijn

    Geen verbod. Geen zware compliance-eisen. Wel de plicht om eerlijk te zijn over wat het is.

    Boete bij overtreding van transparantieplicht (Artikel 50): tot 15 miljoen euro of 3% van de wereldwijde jaaromzet, wat hoger is. Artikel 99, lid 4.

    Niveau 4. Minimaal of geen risico

    Waar je het vindt: nergens expliciet. Alles wat niet onder de eerste drie niveaus valt, komt hier terecht.

    Spamfilters, AI in videogames, automatische voorraadbeheersystemen, aanbevelingsalgoritmes voor productcategorieën binnen retail. Volgens de Commissie valt de overgrote meerderheid van AI-systemen die vandaag op de Europese markt zijn in deze categorie.

    Wettelijke verplichtingen: geen. De aanbeveling is wel om vrijwillig basisprincipes te volgen, zoals menselijk toezicht en non-discriminatie.

    Een belangrijke nuance. Een AI-systeem dat vandaag in categorie 4 valt, kan morgen in categorie 2 of 3 verschuiven als het anders wordt ingezet, getraind of uitgebreid. De risicoclassificatie hangt aan het gebruik, niet aan de techniek.

    Het aparte spoor: general-purpose AI

    Waar je het vindt: Artikelen 51 tot en met 55.

    De grote AI-modellen die een hele waaier aan taken kunnen uitvoeren, zoals de modellen achter ChatGPT, Claude en Gemini, vallen onder een eigen regime. Niet binnen de vier risiconiveaus, maar erlangs.

    Twee categorieën:

    • General-purpose AI-modellen. Algemene verplichtingen rond technische documentatie, gebruiksinstructies, naleving van het auteursrecht, en publicatie van een samenvatting van de gebruikte trainingsdata
    • General-purpose AI-modellen met systemisch risico. Modellen boven een bepaalde rekencapaciteit (Artikel 51 noemt 10²⁵ FLOPs als drempel). Bovenop de algemene plichten komen verplichtingen rond modelevaluatie, beperking van systemische risico's, incidentrapportage en cyberveiligheid

    Deze regels gelden vanaf 2 augustus 2025.

    Wie zit waar in jouw organisatie

    De wet kijkt niet naar afdelingen of functietitels. Hij kijkt naar concrete toepassingen. Een en dezelfde organisatie kan in alle vier de categorieën tegelijk werken.

    Een paar voorbeelden van hoe het uitpakt in de praktijk:

    • HR gebruikt AI om CV's te scoren of medewerkers te beoordelen ⇒ hoog risico (Annex III, punt 4)
    • Marketing gebruikt een chatbot op de website ⇒ beperkt risico (Artikel 50)
    • Finance gebruikt een spamfilter in e-mail ⇒ minimaal risico
    • Marketing genereert AI-afbeeldingen voor campagnes ⇒ beperkt risico, markeringsplicht
    • Een medewerker gebruikt emotieherkenning om de stemming in een team te monitoren ⇒ mogelijk onaanvaardbaar risico (Artikel 5)

    De vraag voor leidinggevenden is niet: gebruiken wij AI. De vraag is: in welke van deze vakjes vallen onze concrete toepassingen, en welke plichten staan daarbij.

    De drie vragen die nu beantwoord moeten worden

    Welke AI gebruiken we eigenlijk. Officieel en schaduw. Niet wat de directie denkt, maar wat er werkelijk op schermen gebeurt. Zonder dit overzicht is risicoclassificatie onmogelijk.

    In welk niveau valt elke toepassing. Niet alle AI is hoog risico. Niet alle AI is minimaal risico. De wet vraagt om per toepassing te kijken, niet om de hele organisatie in één categorie te plaatsen.

    Welke verplichtingen horen bij welk niveau. Onaanvaardbaar betekent stoppen. Hoog risico betekent een serieus compliance-programma opzetten. Beperkt risico betekent transparantie regelen. Minimaal betekent vrij, maar wel opletten dat een toepassing niet onder de radar opschuift naar een zwaardere categorie.

    Tot slot

    De vier risiconiveaus van de EU AI Act zijn geen academische taxonomie. Het zijn vier verschillende juridische werkelijkheden. Wie zonder die kennis AI inzet, weet niet welke regels gelden, welke boetes dreigen, en welke verplichtingen op tafel liggen.

    De wet is geen suggestie. De artikelen staan er. De boetes staan er. De data staan er. Tot 2 augustus 2026 is er nog ruimte om te sorteren, te documenteren, en te trainen. Daarna kijkt de toezichthouder mee.

    Wil je weten in welke risicocategorie de AI-toepassingen in jouw organisatie vallen? Doe de gratis AI-Risicoscan en zie binnen vijf minuten waar je staat.

    Bronnen

    Ferry Hoes

    Ferry Hoes

    Ferry Hoes is veelgevraagd spreker en trainer op het gebied van AI-geletterdheid. Hij staat meermaals per maand op het podium voor organisaties zoals a.s.r., VodafoneZiggo en verschillende ministeries. In 2020 won hij de Anti-Discriminatie AI-Hackathon van de Nederlandse overheid.

    Deel dit artikel:LinkedInX / Twitter

    Volgend artikel

    AI-geletterdheid in de praktijk: waarom de mensgerichte aanpak het wint van afvinklijstjes

    Klaar om je team te certificeren?

    Bekijk de AI-geletterdheid training of doe eerst de gratis gereedheidscan.

    Bekijk de trainingDoe de scan
    De vier risiconiveaus van de EU AI Act: wat ze zijn, waar je ze vindt, en wat ze betekenen voor jouw organisatie | AIGA