Embed AI

Wat de nieuwe Commission guidelines voor high-risk AI betekenen voor uw governance

Zahed AshkaraAI Compliance & Governance Advisor
6 minutenAI Governance20 mei 2026
Wat de nieuwe Commission guidelines voor high-risk AI betekenen voor uw governance

De gids waar iedereen op wachtte

Op 19 mei 2026 publiceerde de Europese Commissie 148 pagina's draft guidelines voor de classificatie van high-risk AI-systemen onder Artikel 6 van de AI Act[1]. De consultatie loopt tot 23 juni 2026, maar de strekking is nu al duidelijk. Voor bestuur en compliance-leiders is dit het interpretatieve document waar de markt sinds de inwerkingtreding van de AI Act op heeft gewacht.

De juridische diepteanalyse staat op aiactblog.nl, voor wie de details wil[3]. In dit artikel concentreren we ons op de drie governance-implicaties die u nu moet wegen, en op de stappen die deze week op de directietafel horen.

Implicatie 1: vendor due diligence wordt scherper

Tot nu toe konden leveranciers van AI-systemen volstaan met algemene compliance-claims. "Ons systeem is conform de AI Act" was vaak voldoende voor het inkoopgesprek. Die tijd is voorbij.

De Commissie verduidelijkt dat de classificatie als high-risk per systeem moet worden onderbouwd, met expliciete verwijzing naar de relevante use case van Bijlage III en, indien van toepassing, de filter-conditie van Artikel 6(3)[2]. Een leverancier die dit niet kan aantonen, draagt het herclassificatierisico contractueel door aan u als deployer.

Concreet betekent dit dat uw inkoop-, contract- en risk-functies vragen moeten stellen zoals:

  • Onder welke use case van Bijlage III valt het systeem, of waarom valt het er volledig buiten?
  • Als er een beroep wordt gedaan op het filter van Artikel 6(3), welke van de vier condities geldt en hoe is dat onderbouwd?
  • Wordt er profiling verricht in de zin van AVG Artikel 4(4)? Zo ja, is de leverancier zich ervan bewust dat het filter dan automatisch vervalt?
  • Hoe is anti-circumvention geadresseerd bij modulaire of agentic architecturen?
  • Wat is de filter-status zoals geregistreerd in de EU-database?

Leveranciers die op deze vragen geen heldere antwoorden hebben, zijn niet klaar voor 2 augustus 2027.

Implicatie 2: uw interne AI-portfolio moet opnieuw tegen het licht

Veel organisaties hebben de afgelopen twee jaar een eerste AI-inventarisatie gemaakt. Vaak met een eenvoudige driedeling: niet-AI, beperkt risico, hoog risico. De nieuwe guidelines maken duidelijk dat dit niveau van granulariteit niet meer voldoet.

Per high-risk geclassificeerd systeem moet u kunnen aantonen:

  • Welke specifieke use case van Bijlage III van toepassing is
  • Welke filter-overweging (indien van toepassing) is gemaakt
  • Welke documentatie de classificatie ondersteunt
  • Wie binnen de organisatie verantwoordelijk is voor monitoring bij wijzigingen

Voor de eight domeinen van Bijlage III gelden domein-specifieke voorbeelden en valkuilen. Vrijwel elk modern HR-systeem zit in scope van domein 4. Banken en verzekeraars hebben dubbele aandacht nodig voor domein 5 vanwege de wisselwerking met CRR en Solvency II. Publieke instellingen krijgen via Artikel 27 een verplichte FRIA. Een overzicht per domein met use cases[4] helpt om de eerste scan te maken.

Implicatie 3: governance is geen project meer, het is een proces

De Commissie maakt expliciet dat de classificatie geen eenmalige beslissing is. Bij wijziging van het beoogde doel, het feitelijke gebruik, of de architectuur van een systeem moet de provider de assessment herhalen. Voor deployers betekent dit dat uw AI-register, vendor-monitoring en model lifecycle management gekoppeld moeten zijn.

In de praktijk zien we drie volwassenheidsniveaus:

Niveau 1: ad hoc. Een spreadsheet met een eerste inventarisatie. Mogelijk bijgewerkt na een grote leverancierswissel, niet door procesinrichting. Hier zit nog het grootste deel van de Nederlandse markt.

Niveau 2: vastgelegd. Een AI-register als formeel document, eigenaarschap belegd, periodieke review (jaarlijks). Voldoet aan de letter van compliance, maar nog niet aan de geest van de nieuwe guidelines.

Niveau 3: ingebed. AI-classificatie gekoppeld aan procurement-gates, change management, security gates en risk reporting. Wijzigingen aan een AI-systeem triggeren automatisch een herclassificatie-flow.

Voor de meeste organisaties is de stap van niveau 1 of 2 naar niveau 3 niet meer optioneel. Het is de impliciete verwachting die uit de Commission guidelines spreekt.

Wat u deze week kunt doen

Vier concrete stappen, in volgorde:

Stap 1: vraag uw AI-leverancierslijst op. Verzamel binnen twee weken een actuele lijst van alle AI-systemen die de organisatie inkoopt of inzet. Inclusief AI-functionaliteit die door SaaS-leveranciers is toegevoegd in updates.

Stap 2: stuur een vendor-questionnaire. Vraag uw belangrijkste AI-leveranciers schriftelijk om hun Artikel 6 analyse. Wie binnen vier weken geen substantief antwoord geeft, staat op de risico-watchlist.

Stap 3: leg uw interne classificatie naast de Commission guidelines. Voor elk eigen of ingehuurd AI-systeem dat raakt aan een van de acht Bijlage III domeinen, herbeoordeel de classificatie tegen de nieuwe interpretatie.

Stap 4: borg AI-geletterdheid bij beslissers. Inkopers, lijnmanagers, risk en compliance officers moeten begrijpen wat zij in vendor-gesprekken en classificatie-discussies aan het beoordelen zijn. Artikel 4 AI-geletterdheid is hiervoor de wettelijke basis, LearnWize biedt sector-tracks om dit gestructureerd te beleggen.

Direct testen? Gebruik de Annex III Classifier 2026 op aiactblog.nl: 9 stappen, ingebouwde Artikel 6(3) filter-check, persoonlijk rapport per email.

Hoe Embed AI helpt

Wij voeren AI governance scans uit voor middelgrote en grote organisaties die hun AI-portfolio willen toetsen tegen de actuele EU AI Act interpretatie, inclusief de nieuwe Commission guidelines.

De scan bestaat uit drie onderdelen:

  • AI-inventarisatie en classificatie: per AI-systeem in kaart welke use case van Bijlage III mogelijk van toepassing is, of het filter van Artikel 6(3) relevant is, en welke documentatie aanwezig is
  • Vendor due diligence assessment: review van uw belangrijkste AI-leveranciers op hun Artikel 6 analyse en classificatie-onderbouwing
  • Governance-rapportage: directie-rapport met risico-overzicht, prioritering en concrete actiepunten voor de komende twaalf maanden

Plan een vrijblijvend gesprek over de AI governance scan of bekijk de diepteanalyse op aiactblog.nl[3] voor de juridische details.

De Commission guidelines zijn nog draft, maar de inhoudelijke koers is helder. Wie nu zijn governance op niveau 3 brengt, doet dat met de tijd mee. Wie wacht tot 2 augustus 2027, doet het onder tijdsdruk en met minder controle.

Bronnen

[1]European Commission(2026)Draft Commission guidelines on the classification of high-risk AI systems. Shaping Europe's digital future.
[2]Europese Unie(2024)AI-verordening (EU) 2024/1689, Artikel 6 en Bijlage III. Europees Parlement en de Raad.
[3]Responsible AI Platform(2026)Diepteanalyse Commission guidelines high-risk AI op aiactblog.nl. aiactblog.nl.
[4]Responsible AI Platform(2026)Overzicht acht Annex III domeinen op aiactblog.nl. aiactblog.nl.
Zahed Ashkara

Zahed Ashkara

AI Compliance & Governance Advisor

Nieuwsbrief

Blijf op de hoogte van de EU AI Act

Ontvang praktische updates over AI-governance, compliance en de EU AI Act. Geen ruis, alleen wat u kunt gebruiken.

Door u aan te melden gaat u akkoord met onze privacyverklaring.

Terug naar Blog