Valt jouw AI-gebruik onder hoog risico?

Door Joost · Gepubliceerd 16 juni 2026 · Laatst bijgewerkt: 16 juni 2026 · 7 min lezen

Kort antwoord: voor verreweg de meeste mkb-bedrijven is hun AI-gebruik géén hoog risico. Hoog risico onder de AI Act gaat over AI die een grote impact heeft op iemands leven, en voor het MKB betekent dat vooral: AI in werving en selectie, in personeelsbeoordeling en in kredietbeoordeling. Gebruik je AI om mails te schrijven, offertes op te stellen of klantvragen te beantwoorden, dan zit je in de lichtste categorie. Het draait niet om de tool, maar om het doel. Hieronder lees je hoe je het voor jouw situatie bepaalt, inclusief de uitzondering die veel ondernemers missen.

Wat betekent hoog risico in de AI Act?

Hoog risico betekent: AI die een grote impact kan hebben op de rechten, de veiligheid of de kansen van een mens. De AI Act werkt met vier niveaus, als een piramide van streng naar mild: verboden, hoog risico, beperkt risico (alleen een meldplicht) en minimaal risico (het overgrote deel). Hoe groter de mogelijke schade, hoe strenger de regels.

Het cruciale punt: het gaat niet om de techniek, maar om het doel en de context. Dezelfde AI is minimaal risico als je er een mailtje mee schrijft, en hoog risico als je er een sollicitant mee beoordeelt. Een chatbot, een tekstgenerator of AI in standaardsoftware is dus zelden hoog risico, tenzij je hem inzet voor een gevoelige beslissing over een mens.

Juist omdat het om die impact draait, kijkt de toezichthouder streng mee. "Er wordt een besluit over je genomen en je weet niet op basis waarvan. Dan kan je niet naar een rechter om je daartegen te verdedigen", waarschuwt Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens (NOS, maart 2026). Toch weet 40% van de ondernemers niet of de AI Act op hen van toepassing is (KVK, 2025) terwijl juist bij beslissingen over mensen het meeste op het spel staat.

Welke AI is hoog risico voor het MKB?

De wet noemt acht gevoelige gebieden (Bijlage III). Voor het MKB zijn er drie echt relevant, omdat de andere vooral overheden en specifieke sectoren raken:

• Werving en selectie. AI die cv's filtert, kandidaten rangschikt of vacatures gericht toont. Dit is het meest voorkomende hoog-risico-gebruik in het MKB.
• Personeelsbeoordeling. AI die meeweegt in beslissingen over promotie, beoordeling of ontslag.
• Kredietbeoordeling. AI die bepaalt of iemand een lening, betalingsregeling of een levens- of zorgverzekering krijgt.

De overige gebieden (biometrie, kritieke infrastructuur, onderwijsbeoordeling, rechtshandhaving, migratie en rechtspraak) komen bij het gemiddelde MKB zelden voor. Let wél op AI die emoties of "tone of voice" van personeel meet: emotieherkenning op de werkvloer is sinds februari 2025 zelfs helemaal verboden. Twijfel je of jouw geval eronder valt, loop dan de AI Act-checklist door.

De uitzondering die veel ondernemers missen

Niet elke HR- of krediettool is automatisch hoog risico. De wet kent een uitzondering (artikel 6, lid 3): doet de AI slechts een beperkte, voorbereidende of procedurele taak, zonder de menselijke beoordeling te vervangen en zonder profilering, dan valt hij mogelijk buiten hoog risico. Denk aan een tool die cv's alleen ordent op binnenkomst, terwijl een mens elke kandidaat zelf beoordeelt.

Belangrijk: leun niet te makkelijk op deze uitzondering. Als de AI-score in de praktijk doorslaggevend is, telt het alsnog als een geautomatiseerd besluit, ook als een mens "formeel op de knop drukt". Beroep je je op de uitzondering, leg dan schriftelijk en onderbouwd vast waarom. Dat is je bewijs als de toezichthouder vraagt waarom je de tool als beperkt risico behandelt.

Wat moet je doen als je AI hoog risico is?

Dan gelden er, ook als gebruiker, concrete plichten. Je hoeft de techniek niet zelf te bouwen, maar je moet wel laten zien dat je er zorgvuldig mee omgaat:

• Menselijk toezicht. Een bekwame medewerker die de uitkomsten controleert en kan ingrijpen.
• Gebruik volgens de instructies van de leverancier, en houd de inputdata relevant en representatief.
• Logbestanden bewaren (minimaal zes maanden), zodat besluiten herleidbaar zijn.
• Je medewerkers informeren vóór ingebruikname, en bij de leverancier bewijs van compliance opvragen.
• Een DPIA (privacytoets onder de AVG) als er persoonsgegevens met hoog risico worden verwerkt. Let bij selectie en krediet op het verbod op uitsluitend geautomatiseerde besluiten (AVG, artikel 22).

Dat klinkt als veel, maar in de praktijk overlapt het sterk met wat je onder de AVG al moet doen (Autoriteit Persoonsgegevens, AI-verordening, 2025). De officiële tekst met alle hoog-risico-gebieden staat in de verordening zelf (EUR-Lex, Verordening 2024/1689). Wij helpen je de vertaalslag naar jouw bedrijf te maken.

Veelgestelde vragen

Is ChatGPT of Copilot hoog risico?
Op zichzelf niet. Een mail schrijven of tekst samenvatten is minimaal risico. Het gaat om het doel: dezelfde AI wordt pas hoog risico als je hem sollicitanten laat rangschikken of een krediet laat beoordelen.

Is een AI-tool die cv's filtert altijd hoog risico?
Vaak wel, niet automatisch. Werving is een hoog-risico-gebied, maar doet de tool slechts een beperkte voorbereidende taak zonder de menselijke beoordeling te vervangen, dan kan het erbuiten vallen. Leg die afweging schriftelijk vast.

Wie bepaalt of mijn AI hoog risico is?
Dat doe je zelf, per tool, op basis van het gebruiksdoel, maar je blijft aansprakelijk voor de juiste inschatting. Bij twijfel laat je het toetsen. Een verkeerde inschatting vastleggen als "beperkt risico" zonder onderbouwing is een risico op zich.