Laden...
AI Compliance Expert
Leer alles over verantwoord gebruik van AI en EU AI Act compliance. Perfect voor organisaties die willen voldoen aan de nieuwe wetgeving.
Bekijk AI Geletterdheid TrainingTijdens een interne audit bij de gemeente Middelveld staart beleidsadviseur Noor van der Wijst naar een Excel-sheet met meer dan honderd kolommen. Elk veld vertegenwoordigt een algoritme dat de afgelopen jaren stilletjes is binnengeslopen: van automatische parkeerhandhaving tot een model dat voorspelt welke leerlingen extra zorguren nodig hebben. Noor moet één simpele vraag beantwoorden: welke van deze systemen zijn volgens de EU AI Act "hoog risico"?
De AI Act deelt alle toepassingen op in een piramide van vier lagen. Onderin bevinden zich de minimale- en beperkt-risico-systemen; die vereisen hooguit transparantie-meldingen. Helemaal bovenaan staan de "onacceptabele" use-cases, zoals realtime gezichtsherkenning op straat: die worden simpelweg verboden. Maar in het midden – de brede, grijze strook van high-risk AI – speelt het echte spel. Hier gelden strenge ontwerp-, documentatie- en toezichtseisen. Voor Noor is de hamvraag dus niet of een model nuttig is, maar of het binnen de high-risk-scope van artikel 6 en Annex III valt. (1, 2)
Artikel 6 werkt eigenlijk als een dubbele drempel. Een systeem is hoog risico wanneer (1) het voorkomt in Annex III – denk aan sociale-zekerheidsÂbeslissingen, wetshandhaving of kritieke infrastructuur – en (2) het reëel gevaar oplevert voor gezondheid, veiligheid of grondrechten. (2) In de praktijk moet een gemeente dus eerst haar use-cases afzetten tegen de Annex, en daarna een snelle 'grondrechtentest' doen: wie kan schade ondervinden wanneer het model faalt?
Noor ontdekt dat de parkeerhandhavingsÂmodule niet verder komt dan een automatisch advies; een BOA beslist uiteindelijk zelf. Beperkt risico, check. Het model dat leerlingen selecteert voor extra zorguren? Dat beïnvloedt toegang tot publieke diensten (Annex III §5) en kan leiden tot stigmatisering. Hoog risico.
Inventariseren lijkt simpel – copy-paste alle algoritmen in een spreadsheet – maar de werkelijkheid is grillig. IT noemt iets een "tool", HR spreekt over "dashboard" en de leverancier verkoopt een "AI-module". Scoping begint daarom met taal: definieer wat in jouw organisatie onder een AI-systeem valt. De rijksoverheid gebruikt in haar Algoritmeregister een brede omschrijving ("elke geautomatiseerde besluit- of data-analyse die effecten heeft op burgers"). (3) Neem die definitie over en je voorkomt eindeloze semantische discussies.
Noor organiseert vervolgens een zogeheten heatmap-ronde: in twee workshops plaatst ze elk algoritme op een groot scherm met twee assen – impact op grondrechten versus kans op fouten. Juristen, dataspecialisten en beleidsmensen schuiven post-its heen en weer. Binnen een ochtend ontstaat een visueel risicolandschap: rode stippen (potentieel high-risk) clusteren rond sociale regelingen, vergunningverlening en fraudemonitoring.
Leveranciers zetten graag het label "AI inside" op elk software-pakket. Sommigen beweren dat hun model buiten scope valt omdat "er altijd een mens bevestigend klikt". Zo'n checkbox-benadering houdt geen stand. De EU AI Act stelt duidelijk dat menselijke tussenkomst alleen telt als de toezichthouder daadwerkelijk in staat is om te corrigeren en de tijd heeft om in te grijpen. Een 'ja-knop' zonder context of stopknop kwalificeert niet. (4)
Niet alle risicomodellen zijn eigen ontwikkeling; veel zitten verstopt in externe SaaS-tools. Denk aan een cloudpakket dat automatisch aanmaningen verstuurt op basis van een credit-score. Vraag daarom in elke inkoopscan expliciet naar AI-functionaliteiten, zelfs als het product primair HR-software of CRM heet.
Pas als elk systeem een label heeft – onacceptabel, hoog, beperkt of minimaal – kun je de lijst bevriezen en een Fundamental Rights Impact Assessment (FRIA) starten voor de high-risk-categorie. Dat is precies waar Aflevering 3 over gaat. De AI Act schrijft namelijk voor dat publieke deployers vóór gebruik een FRIA publiceren met alle potentiële effecten, mitigaties en human-oversight-protocollen. (5)
Zolang het antwoord op één van deze vragen nee is, bevindt je organisatie zich in de risicofase van Noor: de factsheet is groter dan het vertrouwen. In de volgende aflevering duiken we daarom in de FRIA-methodiek: hoe zet je risico's op papier zonder te verzuipen in juridisch jargon?
Blijf volgen – want compliance begint met weten wat je in huis hebt.
Wil je weten hoe jouw organisatie scoort op het gebied van risicoclassificatie en scoping van AI-systemen? We bieden een snelle inventarisatiescan die laat zien waar je staat en wat je nog moet doen. Neem gerust contact op voor meer informatie.
Ontdek in 5 minuten of jouw AI-systemen voldoen aan de nieuwe EU AI Act wetgeving. Onze interactieve tool geeft je direct inzicht in compliance-risico's en concrete actiestappen.