De AI Act behandelt niet alle systemen voor artificiële intelligentie op dezelfde manier. Verordening (EU) 2024/1689 hanteert vier risiconiveaus, met telkens andere verplichtingen. Deze categorieën helpen om een bepaald gebruik te situeren.
Onaanvaardbaar risico: de verboden praktijken
Bepaalde toepassingen vormen een duidelijke bedreiging voor de rechten en de veiligheid van personen en zijn daarom verboden. De AI Act verbiedt acht praktijken, waaronder schadelijke manipulatie of misleiding, het uitbuiten van kwetsbaarheden, sociale scoring, het voorspellen van het risico dat iemand een misdrijf pleegt louter op basis van profilering, het aanleggen van gezichtsherkenningsdatabanken door ongerichte scraping van beelden, emotieherkenning op het werk en in het onderwijs, biometrische categorisering die gevoelige kenmerken onthult, en biometrische identificatie op afstand in real time in de openbare ruimte voor rechtshandhaving (met strikt afgebakende uitzonderingen). Deze verboden gelden sinds februari 2025.
Hoog risico: toegelaten maar streng gereguleerd
Systemen die de gezondheid, de veiligheid of de grondrechten ernstig kunnen schaden, worden als hoog risico ingedeeld. Denk aan AI in kritieke infrastructuur, onderwijs, werkgelegenheid (cv-selectie), toegang tot essentiële diensten (zoals kredietscoring), biometrie, rechtshandhaving, migratie en asiel, of de rechtsbedeling. Deze systemen moeten strenge eisen naleven: risicobeheer, datakwaliteit, traceerbaarheid, documentatie, informatie aan de gebruiksverantwoordelijke, menselijk toezicht en robuustheid.
Beperkt risico: transparantie
Andere systemen houden vooral een transparantie-uitdaging in. Gebruikers moeten bijvoorbeeld weten dat ze met een chatbot praten, en door AI gegenereerde inhoud moet identificeerbaar zijn.
Minimaal risico: de grote meerderheid
De meeste AI-systemen die vandaag worden gebruikt (spamfilters, AI in videogames) vallen onder minimaal risico en krijgen geen nieuwe verplichtingen; het aansluiten bij vrijwillige gedragscodes wordt aangemoedigd.
Conformiteit en toezicht
Vóór ze op de markt worden gebracht, moeten hoogrisicosystemen een conformiteitsbeoordeling ondergaan en worden sommige ervan geregistreerd in een EU-databank. Daarna worden ze gedurende hun hele levenscyclus opgevolgd: aanbieders zorgen voor monitoring na het in de handel brengen en melden ernstige incidenten, gebruiksverantwoordelijken zorgen voor menselijk toezicht, en de autoriteiten oefenen markttoezicht uit. Betrokkenen kunnen een klacht indienen bij de aangewezen nationale autoriteit.
Let op: eenzelfde oplossing kan van categorie veranderen naargelang het gebruik. Aanbieders en gebruiksverantwoordelijken doen er dan ook goed aan de indeling van elk systeem te toetsen aan de tekst en de officiële richtsnoeren.