EU AI Act Bijlage III: de acht hoog-risico categorieën toegelicht
Bijlage III van de EU AI Act somt acht categorieën van AI-gebruik op die krachtens Hoofdstuk III als hoog-risico worden aangemerkt. Als uw AI-systeem in een van deze categorieën valt, gelden de zwaarste verplichtingen van de verordening: conformiteitsbeoordeling, technische documentatie, gegevensbeheer, menselijk toezicht, nauwkeurigheid en robuustheid, monitoring na het in de handel brengen en incidentrapportage. De sanctie voor niet-naleving van de hoog-risicoverplichtingen bedraagt €15 miljoen of 3% van de wereldwijde jaaromzet op grond van Artikel 99(4). De verplichtingen uit Bijlage III zijn van toepassing vanaf 2 december 2027, nadat de AI Omnibus de datum heeft verschoven ten opzichte van de oorspronkelijke datum van 2 augustus 2026. De inhoud van het hoog-risicoregime is niet gewijzigd; alleen de toepassingsdatum is aangepast.
De acht categorieën van Bijlage III
- Biometrische identificatie en categorisering (biometrische identificatie op afstand, biometrische categorisering op basis van gevoelige kenmerken, emotieherkenning).
- Kritieke infrastructuur (AI voor het beheer van wegverkeer, water, gas, verwarming, elektriciteitsvoorziening, digitale infrastructuur).
- Onderwijs en beroepsopleiding (toelatingsbeslissingen, beoordeling, vaststelling van onderwijsniveau, toezicht tijdens toetsen).
- Werkgelegenheid, personeelsbeheer en toegang tot zelfstandige arbeid (werving, kandidaatfiltering, evaluatie, taakverdeling, monitoring).
- Toegang tot essentiële particuliere en openbare diensten (kredietscoring, verzekeringsprijsstelling voor leven en gezondheid, beoordeling van de subsidiabiliteit voor overheidssteun, coördinatie van hulpdiensten).
- Rechtshandhaving (risicobeoordeling van natuurlijke personen, beoordeling van de betrouwbaarheid van bewijsmateriaal, profilering).
- Migratie, asiel en grenscontrole (subsidiabiliteitsbeslissingen, beoordeling van veiligheidsrisico's, identiteitsverificatie).
- Rechtsbedeling en democratische processen (hulpmiddelen voor gerechtelijk onderzoek, alternatieve geschillenbeslechting, beïnvloeding van verkiezingsuitkomsten).
Welke categorieën SaaS het vaakst raken
Categorieën 3 (onderwijs), 4 (werkgelegenheid) en 5 (essentiële diensten) zijn verantwoordelijk voor het grootste deel van de hoog-risicobelichting van SaaS. Categorie 1 (biometrisch) treft een kleinere groep, voornamelijk tools voor identiteitsverificatie en emotieanalyse. Categorieën 6, 7 en 8 zijn grotendeels van toepassing op AI in de publieke sector, maar commerciële SaaS die wordt verkocht aan rechtshandhavingsinstanties, immigratiediensten of rechtbanken neemt die verplichtingen over. Categorie 2 (kritieke infrastructuur) raakt IoT- en SCADA-AI, maar zelden B2B SaaS. De sectorspecifieke implicaties zijn te vinden op onze branchepagina's.
De uitzondering van Artikel 6(3)
Artikel 6(3) voorziet in een beperkte uitzondering: een AI-systeem dat onder een categorie van Bijlage III valt, wordt NIET als hoog-risico beschouwd indien het uitsluitend een van de volgende taken uitvoert: een beperkte procedurele taak; een verbetering van een reeds voltooide menselijke activiteit; detectie van besluitvormingspatronen of afwijkingen zonder de intentie de menselijke beoordeling te vervangen of te beïnvloeden; of een voorbereidende taak voor de daadwerkelijke beslissing. De uitzondering is feitspecifiek en conservatief. De meeste SaaS die een categorie van Bijlage III activeert, zal hoog-risico zijn op grond van Artikel 6(1) en niet zijn vrijgesteld op grond van Artikel 6(3).
Verplichtingen voor hoog-risicosystemen
Als uw systeem onder Bijlage III valt en niet is vrijgesteld op grond van Artikel 6(3), is het volledige Hoofdstuk III van toepassing: Artikel 9 risicobeheersysteem, Artikel 10 gegevensbeheer, Artikel 11 technische documentatie, Artikel 12 logging, Artikel 13 gebruiksinstructies, Artikel 14 menselijk toezicht, Artikel 15 nauwkeurigheid en robuustheid, Artikel 17 kwaliteitsbeheersysteem, Artikel 43 conformiteitsbeoordeling, Artikel 47 EU-conformiteitsverklaring, Artikel 48 CE-markering, Artikel 49 registratie in de EU-database, Artikel 61 kwaliteitsbeheer voor aanbieders, Artikel 72 monitoring na het in de handel brengen, Artikel 73 incidentrapportage. De nalevingsinspanning bedraagt enkele honderden technische en compliance-uren per systeem.
Routes voor conformiteitsbeoordeling
Artikel 43 voorziet in twee routes voor conformiteitsbeoordeling voor systemen die onder Bijlage III vallen: (a) interne controle (Bijlage VI) voor de meeste gevallen – de aanbieder beoordeelt zichzelf aan de hand van de normen; (b) betrokkenheid van een aangemelde instantie (Bijlage VII) voor systemen als bedoeld in de punten 1(a), 1(b) en 1(c) van Bijlage III (de meeste biometrische toepassingen) en wanneer geharmoniseerde normen nog niet beschikbaar zijn. De meeste SaaS maakt gebruik van de zelfbeoordelingsroute. De capaciteit van aangemelde instanties vormt de beperkende factor voor het kleine aantal gevallen waarvoor een externe beoordeling vereist is – de wachttijden bedragen momenteel 9 tot 18 maanden.
Frequently asked questions
Wanneer treedt Bijlage III in werking?
2 december 2027 voor de meeste categorieën van Bijlage III. De AI Omnibus heeft de datum verschoven ten opzichte van de oorspronkelijke datum van 2 augustus 2026. Het hoog-risicoregime vormt nog steeds de grootste enkelvoudige nalevingsinspanning van de verordening, en de achttien maanden tussen nu en december 2027 is het realistisch minimum om de werkzaamheden naar behoren uit te voeren.
Wat is de sanctie voor niet-naleving van Bijlage III?
Tot €15 miljoen of 3% van de wereldwijde jaaromzet op grond van Artikel 99(4) bij niet-naleving van de hoog-risicoverplichtingen.
Biedt Artikel 6(3) mij vrijstelling van Bijlage III?
Zelden – de uitzondering is beperkt en conservatief. De meeste SaaS die een categorie van Bijlage III activeert, blijft hoog-risico. De uitzondering is voornamelijk van toepassing op beperkte procedurele automatisering en niet op substantiële AI-functionaliteiten.
Heb ik een aangemelde instantie nodig?
Alleen in specifieke gevallen – voornamelijk biometrische identificatie en categorisering waarbij geharmoniseerde normen nog niet beschikbaar zijn. De meeste SaaS die onder Bijlage III valt, maakt gebruik van de zelfbeoordeling op grond van Artikel 43 via interne controle.
Kan mijn classificatie onder Bijlage III veranderen?
Ja – de Europese Commissie kan via gedelegeerde handelingen gebruiksgevallen aan Bijlage III toevoegen of daaruit verwijderen. Blijf op de hoogte van de richtsnoeren van het Europees AI-bureau.
Sources
Last updated: 2026-06-09