Sectorspecifieke nalevingsgidsen voor de EU AI Act in de gezondheidszorg, HR, publieke sector, transport, verzekeringen, retail, het mkb en het onderwijs.
Hoe sector de blootstelling aan de EU AI Act bepaalt
De EU AI Act is horizontale wetgeving — zij is van toepassing op AI-systemen die op de markt worden gebracht of in gebruik worden gesteld in elke sector van de economie in de Europese Unie. De praktische nalevingslast is echter niet uniform. De sector bepaalt welke hoog-risico categorieën van Bijlage III relevant zijn, welke bestaande regelgevingskaders overlappende verplichtingen scheppen, en welke nationale of EU-toezichthouders bevoegd zullen zijn over AI-toepassingen.
De wet vestigt een gelaagde risicoarchitectuur: verboden praktijken onder Art. 5, hoog-risico AI onder Art. 6 en Bijlage III, verplichtingen voor algemene AI-modellen voor meerdere doeleinden (GPAI) onder Art. 51 tot Art. 55, en transparantieverplichtingen onder Art. 50. Alle sectoren zijn onderworpen aan het verbod op verboden praktijken en de transparantielaag van Art. 50. De hoog-risico verplichtingen van Bijlage III gelden selectief, afhankelijk van welke AI de organisatie inzet en voor welk doel.
Het in kaart brengen van de sectorblootstelling begint met het mappen van operationele AI-toepassingen op de categorieën van Bijlage III. Organisaties moeten ook beoordelen of ingezette AI een GPAI-model vormt onder Art. 3(63), en of leveranciersrelaties verplichtingen scheppen als GPAI-deployer of -aanbieder.
Bijlage III per sector begrijpen
Bijlage III van de EU AI Act definieert 8 categorieën van zelfstandige hoog-risico AI. Elke categorie koppelt aan specifieke sectoren en AI-toepassingen.
Categorie 1 — Biometrie (sectoroverschrijdend)
Art. 6 gelezen in samenhang met Bijlage III punt 1 heeft betrekking op AI-systemen voor biometrische identificatie en biometrische categorisering van natuurlijke personen. Realtime biometrische identificatie op afstand in voor het publiek toegankelijke ruimten door rechtshandhavingsinstanties is verboden onder Art. 5(1)(h), en is dus niet slechts hoog-risico. Post-hoc biometrische identificatie en biometrische categoriseringssystemen die worden gebruikt in de arbeidsmarkt, grenscontrole, rechtshandhaving (binnen de toegestane grenzen) en toegangscontrole blijven in de hoog-risico categorie. Elke organisatie die gezichtsherkenning, vingerafdrukherkenning, stemherkenning of vergelijkbare systemen inzet voor consequentiële beslissingen valt binnen de reikwijdte.
Categorie 2 — Kritieke infrastructuur (transport, energie, water)
Bijlage III punt 2 heeft betrekking op AI die wordt gebruikt als veiligheidscomponent bij het beheer en de exploitatie van kritieke digitale infrastructuur, wegverkeer, watervoorziening, gas, verwarming en elektriciteit. Transportexploitanten, beheerders van energienetten, waterbedrijven en aanbieders van digitale infrastructuur moeten beoordelen of hun AI-systemen hieronder vallen. Bijlage I van de AI Act is hier ook relevant: AI-veiligheidscomponenten ingebed in Bijlage I-gereguleerde producten (machines, voertuigen, uitrusting voor de burgerluchtvaart, spoorwegsystemen) zijn hoog-risico onder Art. 6(1), niet onder Bijlage III.
Categorie 3 — Onderwijs en beroepsopleiding
Bijlage III punt 3 heeft betrekking op AI die de toegang tot onderwijsinstellingen bepaalt, studenten toewijst aan onderwijstrajecten, de prestaties bij examens of toetsen beoordeelt, leerresultaten evalueert die substantieel van invloed zijn op toekomstige kansen, en het gedrag van studenten tijdens beoordelingen monitort. EdTech-platforms, universiteiten, aanbieders van beroepsopleidingen en exameninstanties moeten hun door AI aangestuurde hulpmiddelen aan deze criteria toetsen.
Categorie 4 — Arbeidsmarkt en HR
Bijlage III punt 4 heeft betrekking op AI die wordt gebruikt bij werving en selectie (cv-screening, rangschikking van kandidaten, geautomatiseerde analyse van sollicitatiegesprekken), beslissingen over promotie, ontslag, taakverdeling voor platformwerkers, monitoring van werknemersgedrag en prestatie-evaluatie. Deze categorie behoort tot de breedste qua reikwijdte — vrijwel elke organisatie die gebruik maakt van AI-ondersteunde HR-processen moet de naleving beoordelen. De verplichting geldt voor AI die wordt gebruikt door werkgevers, uitzendbureau's en platforms in de gig-economie.
Categorie 5 — Essentiële particuliere en publieke diensten (financiën, verzekeringen, zorgverwante diensten, uitkeringen)
Bijlage III punt 5 is de breedste categorie en omvat AI die wordt gebruikt bij de beoordeling van kredietwaardigheid en kredietscoring van natuurlijke personen, de beoordeling en prijsstelling van verzekeringsrisico's, de beoordeling van de geschiktheid voor sociale uitkeringen en maatschappelijke diensten, en beslissingen over de inzet van hulpverlening. Deze categorie heeft rechtstreekse gevolgen voor banken, verzekeraars, overheidsinstanties en aanbieders van sociale diensten. Gezondheidsgerelateerde AI die personen scoort voor verzekeringsgeschiktheid valt hier ook onder, wat een overlap creëert tussen verplichtingen voor de financiële sector en de gezondheidszorg.
Categorieën 6, 7 en 8 — Rechtshandhaving, migratie, justitie
Bijlage III punten 6, 7 en 8 richten zich op overheidsinstanties en hun technologieleveranciers. AI voor rechtshandhaving (risicoscoring, voorspelling van recidive, misdaadpredictie, bewijsevaluatie), AI voor migratie en grenscontrole (risicobeoordeling van asielaanvragen, documentverificatie, behandeling van aanvragen) en AI voor justitie en democratische processen (juridische onderzoekstools, verkiezingsgerelateerde AI) zijn alle hoog-risico. Deze categorieën treffen in de eerste plaats politiediensten, grensbewakingsinstanties, immigratierechters, rechtbanken en hun gecontracteerde AI-aanbieders.
Sectorgidsen
Elk van de volgende gespecialiseerde gidsen brengt de verplichtingen van de EU AI Act in kaart in relatie tot de specifieke regelgevingscontext, typische AI-toepassingen en handhavingsarchitectuur van de sector.
Gezondheidszorg en levenswetenschappen
AI in de gezondheidszorg opereert op het snijvlak van de EU AI Act en de Verordening medische hulpmiddelen (MDR) en de Verordening in-vitrodiagnostiek (IVDR). AI-systemen die als medisch hulpmiddel kwalificeren worden primair gereguleerd door MDR/IVDR, maar blijven onderworpen aan de fundamentele rechten- en transparantieverplichtingen van de AI Act. Bijlage III punt 5 bestrijkt AI die wordt gebruikt voor gezondheidsgerelateerde risicoscoring bij verzekeringen en de geschiktheid voor sociale uitkeringen. Klinische beslissingsondersteuning, diagnostische AI, hulpmiddelen voor patiënttriage en AI voor geneesmiddelenonderzoek dragen elk specifieke verplichtingen, afhankelijk van hun regelgevingsclassificatie.
HR en werving
Bijlage III punt 4 plaatst vrijwel alle AI-ondersteunde HR-processen in de hoog-risico categorie. CV-screeningtools, platforms voor psychometrische beoordeling, geautomatiseerde analyse van sollicitatievideo's, systemen voor prestatiebeheer en AI voor personeelsplanning moeten voldoen aan de verplichtingen voor aanbieders en deployers. Deze gids behandelt de verplichtingen van werkgevers als deployers onder Art. 26, de vereisten inzake gegevensbeheer onder Art. 10 en de wisselwerking met de GDPR-restricties voor profilering.
Publieke sector en justitie
Overheidsinstanties zijn tegelijkertijd deployers van hoog-risico AI en de entiteiten waarop nationale bevoegde autoriteiten het nauwlettendst toezicht zullen houden. Bijlage III punten 5 tot en met 8 bestrijken gezamenlijk een groot deel van de AI in de publieke sector: vaststelling van de geschiktheid voor uitkeringen, AI voor hulpdiensten, instrumenten voor rechtshandhaving, systemen voor grensbeheer en AI voor de rechtspraak. Deze gids behandelt de specifieke verplichtingen van publieke deployers, transparantieverplichtingen voor geautomatiseerde besluiten die burgers treffen, en de wisselwerking met de GDPR en de Richtlijn rechtshandhaving.
Transport en kritieke infrastructuur
Transportexploitanten moeten navigeren tussen zowel Bijlage III punt 2 (veiligheidscomponenten in kritieke infrastructuur) als de productveiligheidsregelgeving van Bijlage I. AI in systemen voor autonome voertuigen, beheer van spoorwegverkeer, luchtverkeersbeheer, havenbeheer en logistieke routering kan hoog-risico classificatie triggeren via meerdere wegen. Deze gids behandelt de wisselwerking met EASA-regelgeving, de Spoorwegveiligheidsrichtlijn en de rol van aangemelde instanties bij de conformiteitsbeoordeling.
Mkb
Kleine en middelgrote ondernemingen zijn onderworpen aan dezelfde verplichtingen onder de EU AI Act als grote organisaties wanneer zij aanbieders zijn van hoog-risico AI of deployers die hoog-risico AI gebruiken. De wet voorziet echter in proportionaliteitsmechanismen. Deze gids legt de opties voor vereenvoudigde technische documentatie uit, de toegang tot regelgevingssandbakken onder Art. 57 tot Art. 63, en hoe een minimaal maar juridisch toereikend nalevingsprogramma kan worden opgezet. Ook de blootstelling van het mkb als deployer van AI-tools van derden komt aan bod.
Verzekeringen
AI in de verzekeringssector valt onder Bijlage III punt 5(b) (risicobeoordeling en prijsstelling voor levens- en ziektekostenverzekeringen van natuurlijke personen) en raakt aan de Solvabiliteit II-vereisten voor modelgovernance en het gebruik van interne modellen. AI voor de prijsstelling van auto-, gezondheids-, eigendoms- en levensverzekeringen, tools voor acceptatiebeslissingen en geautomatiseerde systemen voor schadeafwikkeling vereisen alle een beoordeling. Deze gids behandelt de rollen van EIOPA en nationale verzekeringstoezichthouders naast het NBA-kader van de AI Act.
Retail en callcenters
Retail- en klantenserviceactiviteiten worden primair beïnvloed door de transparantieverplichtingen van Art. 50 — openbaarmaking van door AI gegenereerde inhoud, identificatie van chatbots en labeling van deepfakes — en door werkgerelateerde AI onder Bijlage III punt 4. Systemen voor emotieherkenning in klantgerichte contexten zijn uitdrukkelijk gereguleerd. Deze gids behandelt AI in online retail, aanbevelingsengines, geautomatiseerde klantenservice en personeelsplanning in contactcenters.
Onderwijs en EdTech
Bijlage III punt 3 plaatst educatieve AI in de hoog-risico categorie wanneer zij de toegang tot onderwijstrajecten bepaalt of daar substantieel invloed op uitoefent, of wanneer zij prestaties evalueert. Deze gids behandelt de verplichtingen van EdTech-aanbieders, universiteiten, instellingen voor beroepsonderwijs en openbare exameninstanties. Aan bod komen adaptieve leerplatforms, proctoringsoftware, geautomatiseerde beoordeling van essays en hulpmiddelen voor risicovoorspelling bij studenten.
Financiële sector (bankwezen)
De gids voor de bankensector behandelt Bijlage III punt 5(b) inzake kredietscoring en kredietwaardigheidsbeoordeling, AI voor fraudedetectie, algoritmische handelssystemen, AML/KYC-tools en robo-adviesplatforms. Hij onderzoekt de gelaagdheid van verplichtingen uit de EU AI Act bovenop DORA, MiFID II, CRR/CRD en EBA-richtsnoeren. De wisselwerking tussen de modelgovernancevereisten van de AI Act en bestaande kaders voor modelrisicobeheer onder EBA-richtsnoeren vormt een primair aandachtspunt.
Sectoroverschrijdende verplichtingen
Verschillende verplichtingen uit de EU AI Act gelden ongeacht de sector. Elke organisatie die in de EU actief is, moet kennis nemen van deze basisvereisten.
Verboden praktijken — Art. 5
Art. 5 vestigt absolute verboden die van kracht zijn vanaf 2 februari 2025. Deze gelden voor elke sector zonder uitzondering: subliminale manipulatietechnieken die schade veroorzaken, misbruik van kwetsbaarheden van natuurlijke personen, sociale scoring door overheidsinstanties, realtime biometrische identificatie op afstand door rechtshandhaving in openbare ruimten (met beperkte uitzonderingen), emotieherkenning op de werkplek en in onderwijsinstellingen (buiten de gespecificeerde toepassingen), biometrische categorisering op basis van gevoelige kenmerken, en voorspellende politiemethoden die uitsluitend gebaseerd zijn op profilering. Geen enkele sectorspecifieke vrijstelling heft deze verboden op.
Transparantieverplichtingen — Art. 50
Art. 50 verplicht aanbieders en deployers van AI-systemen die interageren met natuurlijke personen om de AI-aard van de interactie bekend te maken. Dit geldt voor chatbots, virtuele assistenten, geautomatiseerde callcentersystemen en elk AI-systeem dat is ontworpen om menselijk te lijken. Door AI gegenereerde inhoud — synthetische media, deepfakes, tekst — moet machineleesbaar worden gelabeld. Deze verplichtingen gelden voor retail, financiële dienstverlening, patiëntgerichte tools in de gezondheidszorg, burgergerichte diensten in de publieke sector en elke andere sector die conversationele of generatieve AI inzet.
Verplichtingen voor GPAI-modellen — Art. 51 tot Art. 55
Organisaties die GPAI-modellen inzetten — grote taalmodellen, basismodellen, multimodale AI — moeten beoordelen of zij deployers zijn van een GPAI-model van een derde partij of aanbieders van een GPAI-geïntegreerd systeem. GPAI-aanbieders dragen verplichtingen onder Art. 53 (transparantie naar downstream-aanbieders, auteursrechtbeleid, samenvatting van trainingsdata). GPAI-modellen met systeemrisico dragen aanvullende verplichtingen onder Art. 55. Elke sector die gebruik maakt van commerciële basismodel-API's of zelfgehoste basismodellen moet deze verplichtingen beoordelen.
Het mkb en proportionele verplichtingen
Het mkb vertegenwoordigt de meerderheid van de EU-bedrijven en een groeiend aandeel van de aanbieders en deployers van AI-systemen. De EU AI Act schept geen algemene vrijstelling voor het mkb, maar Art. 9(5), Art. 11 en Art. 16 vereisen dat de verplichtingen voor aanbieders evenredig zijn aan de omvang en capaciteit van de organisatie.
Het kader voor regelgevingssandbakken (Art. 57 tot Art. 63) is specifiek ontworpen om het mkb en startups toegang te bieden tot begeleide ontwikkelomgevingen, verminderde regelgevingsonzekerheid en directe toegang tot begeleiding van de nationale bevoegde autoriteit. Deelname garandeert geen nalevingsgoedkeuring, maar biedt een gestructureerde weg naar markttoetreding voor innovatieve AI-producten.
Voor mkb-bedrijven die optreden als deployers van hoog-risico AI die door een derde partij wordt aangeboden, gelden de verplichtingen van Art. 26 — beoordeling van het gebruiksscenario, implementatie van menselijk toezicht, beoordeling van de impact op grondrechten. De schaal van de vereiste documentatie en monitoring is proportioneel, maar de wettelijke verplichtingen worden niet kwijtgescholden.
De specifieke mkb-gids biedt een op kleinere organisaties afgestemd nalevingsroutekaart, met aandacht voor prioritering, minimale levensvatbare documentatie, due diligence bij leveranciers en procedures voor toegang tot sandboxes.
Handhaving
De EU AI Act creëert een gelaagde handhavingsarchitectuur met significante sectorspecifieke dimensies.
Nationale bevoegde autoriteiten
Elke EU-lidstaat wijst een of meer nationale bevoegde autoriteiten (NBA's) aan onder Art. 70. NBA's zijn verantwoordelijk voor het verlenen van toestemming voor regelgevingssandbakken, het uitvoeren van markttoezicht, het ontvangen van post-marktmonitoringgegevens van aanbieders, het onderzoeken van vermoedelijke overtredingen en het opleggen van administratieve boetes onder Art. 99 tot Art. 101. Maximale boetes bedragen € 35 miljoen of 7% van de mondiale jaaromzet voor overtredingen van de verboden praktijken van Art. 5.
Sectortoezichthouders als markttoezichtautoriteiten
Art. 74(8) en Art. 74(9) voorzien erin dat sectortoezichthouders optreden als markttoezichtautoriteiten voor AI binnen hun domein. De Europese Bankautoriteit (EBA), de Europese Autoriteit voor verzekeringen en bedrijfspensioenen (EIOPA), de Europese Autoriteit voor effecten en markten (ESMA), het Europees Geneesmiddelenbureau (EMA) en het Europees Agentschap voor de veiligheid van de luchtvaart (EASA) hebben elk een rol bij het toezicht op AI binnen hun regelgevingsperimeter. Dit leidt tot een dubbel handhavingsrisico: de AI voor kredietscoring van een bank kan zowel worden onderzocht door een nationale financiële toezichthouder die Bijlage III-verplichtingen toepast als door een NBA die markttoezicht uitoefent op grond van de AI Act.
Het Europees AI-bureau
Het Europees AI-bureau, ingesteld onder Art. 64 tot Art. 70, beschikt over directe handhavingsbevoegdheid over aanbieders van GPAI-modellen. Voor organisaties die GPAI-modellen met systeemrisico inzetten, is het AI-bureau de primaire regelgevende gesprekspartner — niet de nationale NBA. Sectortoezichthouders hebben als zodanig geen directe bevoegdheid over GPAI-modellen, al blijven downstream AI-systemen die GPAI integreren onderworpen aan nationaal en sectoraal toezicht.
Handhavingstijdlijn
Het verbod op praktijken onder Art. 5 geldt sinds 2 februari 2025. De GPAI-verplichtingen onder Art. 51 tot Art. 55 zijn van kracht geworden op 2 augustus 2025. De volledige verplichtingen voor hoog-risico AI-systemen onder Bijlage III — alle acht categorieën en alle verplichtingen voor aanbieders en deployers — gelden vanaf 2 december 2027 (verlengd ten opzichte van de oorspronkelijke deadline van 2 augustus 2026 door de Digital Omnibus-wijziging van 2025). Organisaties in alle sectoren dienen de periode tot december 2027 te beschouwen als een actief nalevingsvenster, niet als een overgangsperiode.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Ja. De EU AI Act is uniform van toepassing in de gehele EU, maar de praktische impact verschilt aanzienlijk per sector. Bijlage III van de wet koppelt hoog-risico AI-categorieën rechtstreeks aan sectoren — AI in de arbeidsmarkt richt zich op HR en personeelsdiensten, AI voor kredietwaardigheid richt zich op financiële dienstverlening en verzekeringen, biometrische systemen richten zich op rechtshandhaving en grenscontrole. Exploitanten in zwaar gereguleerde sectoren (gezondheidszorg, financiën, transport) worden bovendien geconfronteerd met de AI Act bovenop bestaande sectorspecifieke wetgeving, wat aanvullende verplichtingen kan meebrengen of coördinatie tussen toezichthoudende autoriteiten kan vereisen.
De gezondheidszorg, financiële dienstverlening en de publieke sector dragen de zwaarste cumulatieve verplichtingen. AI in de gezondheidszorg raakt aan de Verordening medische hulpmiddelen (MDR) en de Verordening in-vitrodiagnostiek (IVDR); AI in de financiële sector raakt aan DORA, MiFID II en Solvabiliteit II; AI in de publieke sector valt onder Bijlage III-categorieën 5 tot en met 8 (essentiële diensten, rechtshandhaving, migratie en justitie). Elk van deze sectoren moet zowel aan het kader van de EU AI Act als aan bestaande sectorale regelgeving voldoen, waarbij sommige verplichtingen gelijktijdig gelden.
Het mkb is niet vrijgesteld, maar de wet voorziet in proportionele maatregelen. Art. 9(5) vereist dat risicobeheersystemen evenredig zijn aan de omvang en aard van de aanbieder. Art. 11 en Art. 16 staan vereenvoudigde technische documentatie toe voor het mkb. Art. 57 tot Art. 63 stellen regelgevingssandbakken in waartoe het mkb toegang kan krijgen onder toezicht van de nationale bevoegde autoriteit. Verplichtingen voor deployers onder Art. 26 gelden ook voor mkb-bedrijven die hoog-risico AI gebruiken, zij het met lichtere procedurele vereisten dan voor aanbieders.
Art. 70 tot Art. 77 van de EU AI Act vestigen een meerlagige handhavingsarchitectuur. Elke lidstaat wijst een nationale bevoegde autoriteit (NBA) aan die verantwoordelijk is voor de handhaving van de AI Act. Waar AI-systemen in gereguleerde sectoren opereren — financiële dienstverlening, gezondheidszorg, luchtvaart, spoorwegen — coördineren sectorspecifieke toezichthouders (EBA, EIOPA, ESMA, EMA, EASA) met de NBA's. Het Europees AI-bureau houdt centraal toezicht op GPAI-modellen. Deze parallelle structuur betekent dat het AI-systeem van een financiële instelling zowel door een NBA als door een financiële sectortoezichthouder kan worden geauditeerd, waarbij verschillende maar overlappende kaders worden toegepast.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.