Hoog-risico AI-systemen: voorbeelden en verplichtingen

Hoog-risico AI-systemen vormen het hart van de EU AI Act. Voor deze systemen geldt het zwaarste verplichtingenpakket. Het is daarom belangrijk om vroeg te bepalen of een systeem in deze categorie valt.

Wanneer is een AI-systeem hoog risico?

Een systeem is hoog risico als het valt onder een van de domeinen uit Bijlage III van de verordening, of als het een veiligheidscomponent is van een product dat al onder EU-productwetgeving valt. Bijlage III noemt onder meer:

• Biometrische identificatie en categorisering van personen
• Beheer van kritieke infrastructuur (energie, water, verkeer)
• Onderwijs en beroepsopleiding (bijv. toelating en beoordeling)
• Werving en personeelsbeheer (bijv. cv-screening)
• Toegang tot essentiële diensten (bijv. kredietbeoordeling)
• Rechtshandhaving, migratie en rechtsbedeling

Welke verplichtingen gelden voor de aanbieder?

Risicomanagementsysteem

Een doorlopend proces om risico’s gedurende de hele levenscyclus te identificeren en te beheersen (art. 9).

Data en datagovernance

Trainings-, validatie- en testdata moeten relevant, representatief en zo foutloos mogelijk zijn (art. 10).

Technische documentatie

Aantoonbare documentatie waaruit blijkt dat aan de eisen is voldaan (art. 11).

Logging

Automatische registratie van gebeurtenissen voor traceerbaarheid (art. 12).

Transparantie en menselijk toezicht

Heldere gebruiksinstructies en de mogelijkheid voor effectief menselijk toezicht (art. 13 en 14).

Conformiteitsbeoordeling en registratie

Beoordeling vóór ingebruikname en registratie in de EU-databank (art. 43 en 49).

En als gebruiksverantwoordelijke?

Gebruikt u een hoog-risico systeem van een ander, dan heeft u eigen plichten: zorgen voor menselijk toezicht, het systeem gebruiken volgens de instructies, logbestanden bewaren en betrokkenen informeren. Bij gebruik door publieke instanties kan een grondrechteneffectbeoordeling (FRIA) verplicht zijn.