In het kort
- De EU AI Act deelt AI in risicoklassen in; hoe hoger het risico, hoe zwaarder de verplichtingen.
- Risicoanalyse draait om bias, transparantie, robuustheid, privacy en menselijk toezicht — niet alleen techniek.
- Gespecialiseerde governance-platforms (Credo AI, Holistic AI, watsonx.governance) helpen, maar een goed framework is de basis.
- Begin met een inventarisatie en risicoclassificatie van je AI-systemen; tooling volgt daarna.
AI die kredietaanvragen beoordeelt, sollicitanten selecteert of medische beelden leest, raakt mensen direct. De EU AI Act — sinds 2024 van kracht en gefaseerd ingevoerd — verplicht organisaties daarom om de risico's van hun AI-systemen in kaart te brengen en te beheersen. Voor systemen met een hoog risico gelden strenge eisen aan documentatie, transparantie en menselijk toezicht.
Maar wat houdt zo'n risicoanalyse concreet in, en welke tools en frameworks helpen erbij? Deze pagina legt het uit in begrijpelijke taal en vergelijkt de aanpakken. Dit is een specialistisch terrein: de markt voor kant-en-klare tools is nog jong, dus we kijken nadrukkelijk ook naar frameworks.
Wat vraagt de EU AI Act?
De AI Act werkt met een risicogebaseerde aanpak: niet elk AI-systeem wordt hetzelfde behandeld. Er zijn grofweg vier niveaus:
- Onaanvaardbaar risico — verboden toepassingen (bijvoorbeeld social scoring door overheden).
- Hoog risico — AI in onder meer werving, kredietverlening, onderwijs en kritieke infrastructuur. Hier gelden de zwaarste eisen: risicobeheer, datakwaliteit, documentatie, logging en menselijk toezicht.
- Beperkt risico — transparantieplicht, zoals duidelijk maken dat iemand met een chatbot praat.
- Minimaal risico — de meeste alledaagse toepassingen, met weinig tot geen extra eisen.
De eerste stap is dus altijd: bepaal in welke klasse jouw systeem valt. Dat bepaalt wat je verder moet doen.
Wat onderzoek je bij een AI-risicoanalyse?
Een risicoanalyse gaat verder dan 'werkt het model goed?'. Je kijkt naar de impact op mensen en de betrouwbaarheid in de praktijk. Kernpunten:
- Bias en eerlijkheid — discrimineert het systeem (onbedoeld) bepaalde groepen?
- Transparantie en uitlegbaarheid — kun je uitleggen hoe een beslissing tot stand komt?
- Robuustheid — hoe gedraagt het systeem zich bij onverwachte of manipulatieve input?
- Privacy en data — welke (persoons)gegevens gebruikt het, en mag dat?
- Menselijk toezicht — kan een mens ingrijpen, en is dat ook echt mogelijk in de praktijk?
Het resultaat is geen eenmalig vinkje, maar een doorlopend proces: AI verandert, en je beoordeling moet meebewegen.
Tools of frameworks — wat heb je nodig?
De markt voor AI-governance kent twee lagen, en je hebt meestal beide nodig:
- Frameworks en standaarden — de inhoudelijke basis. Denk aan het NIST AI Risk Management Framework, de ISO/IEC 42001-norm voor AI-managementsystemen, en de richtlijnen die bij de AI Act horen. Deze vertellen je wat je moet beoordelen.
- Governance-platforms — software die het proces ondersteunt: een register van AI-systemen, risicoscores, documentatie en rapportage. Tools als Credo AI, Holistic AI en IBM watsonx.governance richten zich hierop.
Voor een klein aantal systemen kun je ver komen met een framework en een goede spreadsheet. Een platform loont zodra je veel AI-systemen hebt of formeel moet kunnen aantonen dat je in control bent.
AI-governance: platforms en frameworks vergeleken
| Tool / framework | Type | AI Act-focus | Sterkste punt | Beste voor | |
|---|---|---|---|---|---|
| Credo AI | Platform | Ja | AI-register & governance | Bedrijven met veel AI | Bekijk → |
| Holistic AI | Platform | Ja | Audit & risicobeoordeling | Compliance-teams | Bekijk → |
| IBM watsonx.governance | Platform | Ja | Integratie met IBM-stack | Grote organisaties | Bekijk → |
| Microsoft Purview | Platform | Beperkt | Data- & AI-governance | Microsoft-omgevingen | Bekijk → |
| Fairly AI | Platform | Ja | Geautomatiseerde controles | Gereguleerde sectoren | Bekijk → |
| NIST AI RMF | Framework | Aanvullend | Vrij en breed gedragen | Iedereen, als basis | Bekijk → |
Let op: een platform vervangt geen inhoudelijke beoordeling. Begin met een framework (NIST AI RMF, ISO 42001) en kies tooling op basis van je aantal systemen en compliance-eisen.
Een AI-risicoanalyse opzetten in 4 stappen
Zo werk je gestructureerd toe naar inzicht en AI Act-conformiteit.
Inventariseer je AI-systemen
Maak een overzicht van alle AI die je gebruikt of bouwt — inclusief ingekochte tools. Je kunt niets beoordelen wat je niet in beeld hebt, en deze inventaris is meteen de basis van je governance.
Classificeer het risico
Bepaal per systeem in welke AI Act-klasse het valt (onaanvaardbaar, hoog, beperkt, minimaal). Dat bepaalt welke verplichtingen gelden en waar je je aandacht op richt.
Beoordeel op de kernrisico's
Onderzoek bias, transparantie, robuustheid, privacy en menselijk toezicht. Leg vast wat je vindt en welke maatregelen je neemt — die documentatie is onder de AI Act zelf een verplichting.
Monitor en herhaal
AI-systemen en hun context veranderen, dus een risicoanalyse is nooit 'af'. Plan periodieke herbeoordeling en houd een actueel register bij, zodat je doorlopend kunt aantonen in control te zijn.
Veelgestelde vragen over ai-risicoanalyse & ai act
Wanneer moet ik aan de EU AI Act voldoen?
De AI Act wordt gefaseerd ingevoerd. Verboden toepassingen golden als eerste (sinds begin 2025), en de kernverplichtingen voor hoog-risicosystemen gaan in op 2 augustus 2026 — ook de datum waarop de handhaving start. Voor hoog-risico-AI die in gereguleerde producten zit, geldt 2 augustus 2027.
Wachten is onverstandig: begin nu al met inventariseren en classificeren, zodat je niet onder tijdsdruk komt wanneer jouw categorie aan de beurt is. AI-geletterdheid van medewerkers is bovendien al sinds februari 2025 een verplichting.
Voor wie geldt de EU AI Act?
Voor vrijwel iedereen die AI-systemen in de EU op de markt brengt of gebruikt, ook organisaties buiten de EU die zich op de Europese markt richten. De zwaarte van de eisen hangt af van de risicoklasse, niet van je grootte.
Hoog-risicotoepassingen krijgen de meeste verplichtingen; minimaal-risicotoepassingen bijna geen. In Nederland coördineert de Autoriteit Persoonsgegevens het toezicht via de Algoritme- en AI-kamer. Het is dus geen niche-regel voor techbedrijven, maar raakt elke organisatie die AI inzet in haar processen.
Hoe weet ik of mijn AI-systeem hoog risico is?
Niet de technologie bepaalt dat, maar het concrete gebruik. Hoog-risico zijn onder meer AI in werving en selectie, kredietverlening, onderwijs, kritieke infrastructuur en bepaalde wetshandhaving — toepassingen die de gezondheid, veiligheid of grondrechten van mensen raken.
De AI Act kent vier niveaus: onaanvaardbaar (verboden), hoog, beperkt (transparantieplicht) en minimaal. De eerste stap is altijd je systeem in een van die klassen plaatsen; dat bepaalt welke verplichtingen gelden. Bij twijfel kijk je naar de officiële EU-richtlijnen en de lijst met hoog-risico-toepassingen.
Wat zijn de boetes bij overtreding van de AI Act?
Fors. Voor het inzetten van verboden AI loopt de boete op tot €35 miljoen of 7% van de wereldwijde jaaromzet. Voor overtredingen bij hoog-risicosystemen geldt maximaal €15 miljoen of 3% van de omzet, en voor het verstrekken van onjuiste informatie tot €7,5 miljoen of 1%.
Sinds augustus 2025 kunnen toezichthouders daadwerkelijk handhaven. De boetes zijn bewust hoog, vergelijkbaar met de AVG, om naleving af te dwingen. Reden te meer om je AI-systemen tijdig in kaart te brengen en te classificeren.
Wat onderzoek je bij een AI-risicoanalyse?
Meer dan alleen of het model goed werkt. Je kijkt naar de impact op mensen en de betrouwbaarheid in de praktijk. De kernpunten:
- Bias en eerlijkheid — discrimineert het systeem (onbedoeld) bepaalde groepen?
- Transparantie — kun je uitleggen hoe een beslissing tot stand komt?
- Robuustheid — hoe reageert het op onverwachte of manipulatieve input?
- Privacy en data — welke gegevens gebruikt het, en mag dat?
- Menselijk toezicht — kan een mens echt ingrijpen?
Het resultaat is geen eenmalig vinkje, maar een doorlopend proces dat meebeweegt met je systeem.
Is een AI-risicoanalyse wettelijk verplicht?
Voor hoog-risicosystemen onder de AI Act is risicobeheer expliciet verplicht, inclusief documentatie, logging en menselijk toezicht. Voor lagere risicoklassen is het niet wettelijk vereist, maar wel verstandig.
Ook zonder verplichting voorkomt een analyse schade, reputatieverlies en verrassingen — en je weet pas welke klasse je systeem heeft nádat je hebt gekeken. Begin daarom altijd met een inventarisatie en classificatie van je AI-systemen, ongeacht of je denkt onder de zware eisen te vallen.
Heb ik een governance-platform nodig of volstaat een framework?
Voor een handvol systemen kom je ver met een erkend framework en goede documentatie — desnoods een gestructureerde spreadsheet. De inhoudelijke basis komt van standaarden als het NIST AI RMF en de ISO/IEC 42001-norm.
Een platform als Credo AI of Holistic AI loont zodra je veel AI-systemen beheert of formeel moet kunnen aantonen dat je compliant bent. Die tools bieden een centraal AI-register, automatische risicoscores en audit-klare rapportage — maar ze vervangen de inhoudelijke beoordeling niet.
Wat is het verschil tussen NIST AI RMF en ISO 42001?
Het NIST AI Risk Management Framework is een vrijwillig, breed gedragen raamwerk dat helpt AI-risico's te identificeren, meten en beheersen — flexibel en gratis. ISO/IEC 42001 is een certificeerbare norm voor een AI-managementsysteem, vergelijkbaar met hoe ISO 27001 informatiebeveiliging structureert.
Kort gezegd: NIST AI RMF geeft richting en denkkaders, ISO 42001 geeft een formeel, auditeerbaar systeem dat je kunt laten certificeren. Veel organisaties gebruiken NIST als praktische basis en groeien naar ISO 42001 als ze een aantoonbare, externe stempel nodig hebben.
Wat is het verschil tussen AI-risicoanalyse en modelbeheer?
Modelbeheer (MLOps) richt zich op het technisch betrouwbaar bouwen, uitrollen en draaien van modellen. Risicoanalyse kijkt naar de bredere impact en compliance: bias, grondrechten, transparantie en wettelijke verplichtingen.
Ze versterken elkaar: goede tracering en monitoring uit het modelbeheer leveren het bewijs dat je risicoanalyse en de AI Act vragen. Je kunt moeilijk aantonen dat een systeem veilig is als je niet weet welke versie met welke data draait. Zie modelbeheer.nl voor de technische kant.
Hoe pak je bias in een AI-systeem aan?
Begin met meten: test of het systeem voor verschillende groepen (geslacht, leeftijd, herkomst) systematisch andere uitkomsten geeft die niet te rechtvaardigen zijn. Bias zit vaak al in de trainingsdata, dus daar kijk je als eerste.
Vervolgens neem je maatregelen: de data herbalanceren, het model bijstellen, of een menselijke controle inbouwen bij gevoelige beslissingen. Leg vast wat je vond en wat je deed — die documentatie is onder de AI Act zelf een verplichting. Bias-controle is geen eenmalige actie: herhaal de toets periodiek, want data en context schuiven.