Wanneer wordt AI “high-risk”? Let op bij HR, Finance en klantprocessen volgens de EU AI Act

Wanneer wordt AI “high-risk”?

Let op bij HR, Finance en klantprocessen volgens de EU AI Act

Copilot
17 oktober 2025

🤖 Belangrijkste inzichten

Niet alle AI-toepassingen zijn hetzelfde onder de EU AI Act. Sommige AI-gebruiksscenario’s worden door de wet aangemerkt als “high-risk” en dat brengt extra verplichtingen met zich mee.

Gebruik je AI of Microsoft Copilot voor HR, financiële beslissingen, klantbeoordeling of compliance-processen, dan kan je organisatie formeel vallen onder de high-risk categorie. Dat betekent o.a. dat je risicoanalyses, documentatie en menselijk toezicht verplicht moet toepassen.

In deze blog leggen we uit wat “high-risk” precies betekent, hoe je erachter komt of je organisatie hieronder valt en wat je nú moet doen.

Wat betekent "high-risk" AI volgens de EU AI Act?

De EU AI Act deelt AI-systemen op in risiconiveaus. Systemen met aanzienlijke impact op mensen of bedrijfsbeslissingen worden als high-risk bestempeld¹. Bij high-risk AI gelden striktere regels om ongewenste gevolgen zoals discriminatie, financiële schade of onjuiste besluitvorming te voorkomen.

Volgens de wet gaat het niet alleen om bedrijven die AI bouwen, maar óók om bedrijven die AI gebruiken in gevoelige processen². En daar vallen MKB-bedrijven steeds vaker onder, vooral door de inzet van generatieve AI zoals Microsoft Copilot en AI-functies in HR-tools, CRM-systemen en financiële software.

High-risk raakt sneller dan je denkt

Veel organisaties denken dat high-risk alleen geldt voor banken of grote techbedrijven. Maar dat is een misverstand.

Volgens Annex III van de EU AI Act kunnen bedrijfsprocessen van het MKB al snel onder high-risk vallen, zoals³:

High-risk domein (Annex III)	Voorbeelden uit de praktijk
HR & werving	Copilot inzetten voor CV-selectie of beoordeling van kandidaten
Financiële beoordeling	AI gebruiken voor offerte-beoordeling, kredietbeslissingen of pricing
Toegang tot diensten	AI gebruiken voor klantacceptatie (bv. IT-diensten of abonnementsvormen)
Compliance en security	AI gebruiken voor risicosignalen of besluitvorming
Onderwijs/opleidingen	AI in beoordeling van kandidaten of certificeringsprocessen
Kritieke bedrijfsprocessen	AI-uitvoer gebruiken voor operationele besluitvorming

Conclusie: gebruik je AI in processen met gevolgen voor mensen of bedrijfsbeslissingen, dan is de kans groot dat je high-risk AI toepast.

Wat betekent dat als je Copilot gebruikt?

Het gebruik van Copilot op zichzelf is niet high-risk. Maar: hoe je Copilot inzet, bepaalt het risico. Dat staat expliciet in Artikel 26 van de EU AI Act²: de verantwoordelijkheid ligt bij de gebruiker (deployer), dus jouw organisatie.

Voorbeelden

Gebruik van Copilot	Risico-classificatie
E-mails schrijven, samenvattingen maken	✅ Normaal risico
Kennisbank bouwen met AI	✅ Normaal risico
Sollicitaties analyseren met Copilot	⚠️ High-risk (Annex III – HR)
Kredietbeoordelingen maken met Copilot	⚠️ High-risk (Annex III – Finance)
Aannamebeslissing AI laten doen	❌ Verboden gebruik (Artikel 5)

Wat moet je doen als je high-risk AI toepast?

Dan gelden vanuit de EU AI Act extra verplichtingen. Deze gelden vanaf 2026, maar je moet je in 2025 al voorbereiden.

Verplichtingen high-risk (Artikel 26 + Annex III)⁴:

✅ FRIA (Fundamental Rights Impact Assessment) uitvoeren

✅ Menselijk toezicht verplicht organiseren
✅ AI-documentatie bijhouden voor audits
✅ Risicobeheersplan opstellen
✅ Logging en monitoring toepassen
✅ Transparantie naar betrokkenen (interne en/of externe communicatie)

Wat is een FRIA en moet ik dat doen?

Ja, waarschijnlijk wel als je AI inzet in HR, Finance of klantbeslissingen.

Een FRIA (Fundamental Rights Impact Assessment) is verplicht bij high-risk AI⁶.
Het lijkt op een DPIA voor AI (zoals we kennen uit de AVG), maar dan gericht op risico’s als:

oneerlijke behandeling
bias en discriminatie
veiligheid en betrouwbaarheid van AI-uitvoer
transparantie richting medewerkers of klanten

Gebruik je AI in HR of klantacceptatieprocessen? Dan moet je FRIA uitvoeren vóór ingebruikname.

Wat vindt Microsoft hiervan?

Microsoft benadrukt dat organisaties zelf verantwoordelijk blijven voor hoe AI wordt toegepast:

“Customers remain responsible for the use of AI in their business processes, including meeting regulatory requirements.”⁸
(Bron: Microsoft Trust Center)

Microsoft neemt dus niet jouw AI-risico’s over. Jij als organisatie moet AI governance toepassen en kunt dit niet afschuiven op de leverancier.

Hoe weet ik of onze AI high-risk is?

Vraag	High-risk ja/nee?
Gebruiken we AI in HR of werving?	Ja → High-risk
Gebruiken we AI in krediet- of klantbeoordelingen?	Ja → High-risk
Gebruikt AI persoonlijke data om mensen te beoordelen?	Vaak high-risk
Neemt AI bedrijfskritieke beslissingen zonder menselijk toezicht?	High-risk
Kunnen AI-uitkomsten mensen benadelen?	High-risk

Twijfel? Volgens de EU AI Act moet je dan voorzichtigheid toepassen en toch governance en FRIA overwegen.

Veelgehoord: geldt dit ook voor het MKB?

Ja, 100%.
De AI Act maakt NIET alleen regels voor grote bedrijven. Juist MKB-organisaties gaan AI toepassen in HR en klantprocessen – en vallen daardoor onder high-risk als ze niets regelen⁴.

Dit is geen rem op AI, dit is je veiligheidskader

High-risk AI is dichterbij dan veel organisaties denken. Zodra je AI inzet in processen zoals werving, kredietbeoordeling, klantselectie of evaluaties, val je onder Annex III en daarmee onder strenge regels van de EU AI Act. Dit vraagt om voorbereiding in 2025. Met een duidelijke aanpak kun je AI verantwoord en toekomstgericht toepassen zonder innovatie te vertragen.

Bronnen

¹ EU AI Act – Artikel 4 – AI Literacy
htt ps://artificialintelligenceact.eu/article/4/
² EU AI Act – Artikel 26 – Verantwoordelijkheden AI deployers
https://artificialintelligenceact.eu/article/26/
³ EU AI Act – Annex III – High-Risk AI Gebruik
https://artificialintelligenceact.eu/annex/3/
⁴ EU AI Act – Risicogebaseerde benadering
https://artificialintelligenceact.eu/
⁵ EU AI Act – Artikel 3 – Definitie deployer
https://artificialintelligenceact.eu/article/3/
⁶ EU AI Act – Artikel 27 – FRIA verplichting
https://artificialintelligenceact.eu/article/27/
⁷ Guidance AI Literacy – Europese Commissie
https://digital-strategy.ec.europa.eu/en/policies/ai-literacy
⁸ Microsoft – EU AI Act informatie
https://www.microsoft.com/en-us/trust-center/compliance/eu-ai-act

Ook aan de slag met Copilot?

Download dan gratis ons eBook voor meer informatie

Benieuwd naar de nieuwste updates in Copilot?

Schrijf je dan nu in voor het gratis webinar!

OPLOSSINGEN

Microsoft 365 Workplace

Microsoft Azure

Hardware

ADD-ONS

Back-up & Recovery

Email Signature Management

OPLOSSINGEN

Data Protection

Device Protection

Email Protection

Identity Protection

ADD-ONS

Cyber Security Scan

Security Awareness

OPLOSSINGEN

Cloud Based File Sharing

Copilot for Microsoft 365

SharePoint Intranet

ADD-ONS

Permission Matrix Report

Viva Engage

OPLOSSINGEN

Adoption Program

Floorwalking

Training

ADD-ONS

Ask me Anything

Online Academy

Online Onboarding

OPLOSSINGEN

Microsoft Teams telefonie

Mobiele telefonie

Vast-mobiel integratie

ADD-ONS

Data sim

Hardware

OPLOSSINGEN

Secure Network

Secure Internet

Fiber Internet Connectivity

TOOLS

Network optimisation

Wi-Fi site survey

Wanneer wordt AI “high-risk”?

Let op bij HR, Finance en klantprocessen volgens de EU AI Act

🤖 Belangrijkste inzichten

Wat betekent "high-risk" AI volgens de EU AI Act?

High-risk raakt sneller dan je denkt

Wat betekent dat als je Copilot gebruikt?

Voorbeelden

Wat moet je doen als je high-risk AI toepast?

Verplichtingen high-risk (Artikel 26 + Annex III)⁴:

Wat is een FRIA en moet ik dat doen?

Wat vindt Microsoft hiervan?

Hoe weet ik of onze AI high-risk is?

Veelgehoord: geldt dit ook voor het MKB?

Dit is geen rem op AI, dit is je veiligheidskader

Bronnen

Klaar om aan de slag te gaanmet Copilot for Microsoft 365?

Jovi denkt graag met u mee.

Klaar om aan de slag te gaan
met Copilot for Microsoft 365?

Jovi denkt graag
met u mee.