Checklist AI-systemen met hoog risico voor founders en compliance leads

AI-systemen met hoog risico hebben een checklist nodig omdat het probleem zelden de term zelf is. Het probleem is aantonen dat de juiste use case is beoordeeld, eigenaren zijn toegewezen, controles zijn gestart en evidence beschikbaar is voor klanten, bestuur, auditors of toezichthouders.

Onder de EU AI Act kan hoog-risicoclassificatie ontstaan via gereguleerde producten of via use cases in Annex III. De conceptguidelines van de Commissie uit mei 2026 helpen bij Article 6, maar de verordening blijft de juridische bron.

1. Bevestig de AI-use case

Bevestig of de workflow echt een AI-systeem gebruikt. Labels als automation, intelligence, insight, scoring, recommendation, assistant of optimization zijn niet genoeg.

Leg vast: systeemnaam, productgebied, doel, model of vendor, output, wie output gebruikt en of de functie klantgericht, employee-facing, intern of embedded is. Als er geen AI-systeem is, documenteer dat en sluit de checklist.

2. Bepaal je AI Act-rol

De rol telt omdat verplichtingen kunnen verschillen voor provider, deployer, importer, distributor, product manufacturer en andere actoren. Een SaaS-bedrijf kan per workflow een andere rol hebben.

Documenteer wie ontwikkelt, wie doel en configuratie controleert, wie het systeem op de EU-markt brengt en welke instructies of rolverklaringen de vendor geeft.

3. Screen de gereguleerd-productroute

Vraag of het systeem veiligheidscomponent van een gereguleerd product kan zijn, of zelf een gereguleerd product. Dit kan relevant zijn voor medische hulpmiddelen, machines, transport, luchtvaart, radioapparatuur, speelgoed, liften of industrie.

Controleer of AI veiligheidsgedrag, diagnose, monitoring, controle, waarschuwing of foutdetectie ondersteunt en of derde conformiteitsbeoordeling nodig kan zijn.

4. Screen Annex III

Annex III is vaak relevanter voor SaaS. Kijk naar biometrie, kritieke infrastructuur, onderwijs, recruitment, werk, worker management, toegang tot essentiele diensten, krediet, verzekering, justitie, migratie en democratische processen.

Classificatie volgt doel en concreet gebruik. Hetzelfde model kan laag risico zijn als interne assistent en hoog risico in een recruitmentworkflow.

5. Beoordeel klantconfiguratie

SaaS is vaak configureerbaar. Een gewone functie kan gevoelig worden wanneer klanten kandidaten rangschikken, werknemers scoren, studenten beoordelen of toegang tot belangrijke diensten beinvloeden.

Controleer of klanten velden, criteria, thresholds of labels kunnen kiezen, of gevoelige workflows mogelijk zijn en of er een review gate is voor activering.

6. Wijs eigenaren en gates toe

Wijs product owner, engineering owner, legal of compliance owner, security of risk owner en customer-facing owner toe voor goedgekeurde verklaringen.

Ontbrekende classificatie moet releases in gevoelige domeinen blokkeren. Waarschijnlijk hoog risico moet diepere review en launchvoorwaarden activeren.

7. Definieer minimale evidence

Bewaar intake, systeembeschrijving, rolanalyse, gereguleerd-productscreen, Annex III-screen, doel, analyse van betrokken personen, dataflow, vendordocumenten, classificatiebesluit, reviewer, datum, motivatie, bronnen, launchbesluit, controles en volgende trigger.

Voor waarschijnlijk hoog-risicosystemen voeg je risk records, datagovernancebesluiten, technische-documentatieowner, tests, human oversight, logging, monitoring, incidentpad en conformiteitsroute toe.

8. Maak controles productwerk

Risk management wordt feature-risk record. Datagovernance wordt regels voor training-, test-, input-, klant- en feedbackdata. Technische documentatie wordt evidencefolder. Transparantie wordt klantinstructie. Human oversight wordt echt reviewproces. Monitoring wordt metrics met owner en cadence.

9. Heropen de beslissing

Heropen de checklist wanneer doel, model, vendor, versie, menselijke review, klantconfiguratie, markt, datacategorieen, monitoring, guidance, standaarden of risk appetite veranderen.

FAQ

Wat moeten teams begrijpen?

Wanneer AI-systemen met hoog risico kunnen gelden, welke operationele veranderingen volgen en welke evidence laat zien dat het werk gebeurt.

Waarom telt dit in praktijk?

Omdat classificatie productdesign, launch gates, klantdocumentatie, vendorreview, monitoring, incident response en auditevidence kan raken.

Wat is de grootste fout?

High-risk AI behandelen als een eenmalige juridische interpretatie in plaats van een herhaalbare workflow met eigenaren, triggers, evidence en escalatie.

Bronnen

• Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence.
• European Commission draft guidelines on the classification of high-risk AI systems.
• European Commission AI Act FAQ on high-risk AI systems.
• European Commission guidance on AI Act standardisation.