AI-systemen met hoog risico operationaliseren zonder productlevering te vertragen

AI-systemen met hoog risico moeten als productworkflow worden behandeld, niet als juridische vraag aan het einde. Het doel is de use case vroeg te herkennen, te bepalen of de hoog-risico-route kan gelden, eigenaren toe te wijzen, controles te activeren en bewijs te bewaren waar product, security, privacy, compliance en klantteams het kunnen gebruiken.

Onder de EU AI Act kan hoog-risicostatus ontstaan wanneer een AI-systeem verbonden is met productveiligheid in gereguleerde producten of bedoeld is voor een gevoelige use case in Annex III. De conceptguidelines van de Commissie uit mei 2026 helpen bij interpretatie, maar vervangen de verordening niet. Voor SaaS-teams hoort de review voor verkoop, configuratie of lancering in het deliveryproces.

Waarom dit praktisch telt

Hoog-risico-classificatie verandert wat het team voor launch moet weten: beoogd doel, betrokken personen, datacategorieen, model of vendor, rol van het bedrijf, menselijke controle, gebruiksinstructies, logging, monitoring, incidentproces, klantconfiguratie en bewijs.

Verplichtingen kunnen risicomanagement, datagovernance, technische documentatie, registratie, transparantie, menselijke controle, nauwkeurigheid, robuustheid, cybersecurity, kwaliteitsmanagement, conformiteitsbeoordeling, monitoring en corrigerende acties raken. Zonder workflow komen deze punten te laat naar boven, vaak bij een klantreview, audit of regulatorische vraag.

Begin met een high-risk intake

De intake moet kort zijn. Vraag geen definitieve juridische conclusie, maar feiten: systeemnaam, eigenaar, businessdoel, user journey, betrokken personen, geografie, data, model of vendor, rol als provider of deployer, output, menselijk gebruik van output en klantconfiguratie.

Daarna volgen twee vragen. Kan het systeem een veiligheidscomponent van een gereguleerd product zijn, of zelf een gereguleerd product? Dit is relevant voor medische hulpmiddelen, machines, transport, luchtvaart, radioapparatuur, speelgoed, liften en vergelijkbare omgevingen. Kan de use case binnen Annex III vallen, zoals werk, onderwijs, essentiele diensten, krediet, verzekering, biometrie, kritieke infrastructuur, migratie, justitie of democratische processen?

Als geen route plausibel is, documenteer de reden en ga door met gewone AI-, privacy-, security- en vendorreview. Als een route plausibel is, is diepere analyse nodig voor launch of klantactivatie.

Triggers en lanes

Laat review starten door events die al relevant zijn voor delivery: nieuwe AI-feature, nieuw doel, nieuw model of vendor, klantdata in de workflow, output die mensen beinvloedt, minder menselijke review, gevoelige klantconfiguratie, EU-marktintroductie of buyer-vragen zonder voldoende evidence.

Gebruik drie lanes. Lane een: geen hoog-risicosignaal, met korte motivatie en review-trigger. Lane twee: onzeker of gevoelig, met reviewer, deadline en launch-blokkade tot besluit. Lane drie: waarschijnlijk hoog risico, met dieper werk van legal, product, security, privacy en compliance.

Eigenaren en controles

Product is eigenaar van doel, configuratie, scope en klantbeloften. Engineering is eigenaar van architectuur, logs, versies, fallback en technische controles. Legal of compliance is eigenaar van classificatieredenering, bronnen, klantverklaringen en review-triggers. Security of risk is eigenaar van vendorevidence, monitoring, incidentescalatie, toegang en veerkracht.

Verplichtingen moeten productcontroles worden. Risicomanagement wordt een feature-risk record. Datagovernance wordt regels voor trainings-, test-, input-, klant- en feedbackdata. Technische documentatie wordt een onderhouden evidencefolder. Transparantie wordt interne en klantinstructie. Menselijke controle wordt een echt interventieproces. Monitoring wordt metrics, owners en cadence.

Evidence dicht bij delivery houden

Bewijs hoort niet in een los archief. Gebruik producttickets voor intake, architectuurrecords voor technisch ontwerp, vendorrecords voor derden, privacyreviews voor data en betrokken personen, securityreviews voor controles en releasechecklists voor gates.

Bewaar minimaal intake, classificatiebesluit, rolanalyse, bronnen, reviewer, datum, motivatie, geactiveerde controles, open vragen, approvals, klantlimieten, monitoringowner, incidentpad en volgende review-trigger.

FAQ

Wat moeten teams begrijpen?

Dat AI-systemen met hoog risico zowel operationeel als juridisch zijn. De workflow identificeert de use case, routeert die, activeert controles en houdt evidence actueel.

Is elke SaaS AI-feature hoog risico?

Nee. Veel AI-assisted functies zijn dat niet. Het team moet wel vastleggen waarom de hoog-risico-route niet geldt.

Wanneer moet een launch pauzeren?

Als de use case mensen kan raken in Annex III, verbonden kan zijn met productveiligheid, geen eigenaar heeft, bewijs mist of afhangt van een niet-gereviewde klantconfiguratie.

Bronnen

• Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence.
• European Commission draft guidelines on the classification of high-risk AI systems.
• European Commission AI Act FAQ on high-risk AI systems.
• European Commission guidance on AI Act standardisation.
• European Commission May 2026 update on AI Act implementation timing.
• European Commission report on the review of prohibitions and high-risk AI.