AI bij Review van Uitzonderingen onder de EU AI Act | Compliance Gids

maart 26, 2026 8 min read

Onderwerp en Context

Wat houdt het onderwerp precies in

De review van uitzonderingen op verboden AI-toepassingen is een kritisch compliance-element binnen de EU AI Act (Verordening EU 2024/1689). Dit betreft het systematisch evalueren of een AI-toepassing die potentieel onder een verbodsregel valt, toch onder een gereguleerde uitzondering mag worden ingezet.

Het kernprincipe is dat niet alle verboden absoluut zijn. De AI Act formuleert acht verboden toepassingen met gespecificeerde uitzonderingscategorieën. Bijvoorbeeld: biometrische surveillance in openbare ruimtes is verboden, maar onder strikte voorwaarden mag dit voor wetshandhaving bij vermissing of acute dreigingen. Emotieherkenning is verboden, maar mag in medische of therapeutische contexten.

Binnen welke context wordt het gebruikt

Deze review-praktijk speelt zich af in een nieuw regelgevingslandschap dat sinds 2 februari 2025 verplicht is. Organisaties moeten actief bepalen of hun AI-systemen onder verboden categorieën vallen en, zo ja, of uitzonderingen van toepassing zijn. Dit geldt voor:

  • Overheidsorganisaties (verplicht FRIA – Fundamental Rights Impact Assessment uit te voeren)
  • Private bedrijven die publieke diensten verlenen
  • Financiële instellingen (kredietbeoordeling, verzekeringen)
  • Bedrijven in gezondheidszorg, onderwijs en HR

De risico’s zijn substantieel: boetes tot 35 miljoen euro of 7 procent van de wereldwijde omzet voor non-compliance. Voor organisaties die werken met AI-systemen die afwijkingen en uitzonderingen verwerken, is het essentieel om te begrijpen hoe deze regelgeving van toepassing is op hun specifieke situatie.

Welke begrippen, toepassingen en processen hangen hiermee samen

Bij de review van uitzonderingen onder de EU AI Act spelen diverse risicobeoordelingsprocessen een rol:

  • FRIA (Fundamental Rights Impact Assessment) – voor high-risk systemen
  • Conformiteitsbeoordeling – technische validatie
  • Gap-analyse – inventarisatie van huidige compliance-stand

De verboden categorieën met mogelijke uitzonderingen omvatten:

  • Social scoring (absoluut verboden in algemene vorm, maar AI voor uitkeringsbepaling is wel toegestaan)
  • Biometrische surveillance (uitzonderingen voor vermissing, directe dreigingen)
  • Emotieherkenning (uitzonderingen in medische of therapeutische context)
  • Manipulatieve technieken via onderbewuste methoden
  • Uitbuiting van kwetsbare groepen (leeftijd, handicap, sociaaleconomische status)

Op het vlak van documentatie en transparantie bepaalt artikel 50 van de AI-verordening transparantieverplichtingen bij interactie met personen en generatie van deepfakes. Aanbieders moeten systemen ontwerpen om deze informatie te kunnen verstrekken. Dit raakt direct aan het principe van explainable AI en waarom uitlegbaarheid telt, ook in financiële contexten.

Trends en Ontwikkelingen

Actuele ontwikkelingen

De compliance-druk neemt toe. De eerste nalevingsdeadline van 2 februari 2025 heeft geleid tot intensivering van compliance-inspanningen. Organisaties moeten nu niet alleen systemen inventariseren, maar ook actief bepalen welke uitzonderingen mogelijk van toepassing zijn.

De Europese Commissie geeft verduidelijkingen. In 2025 zal de Commissie aanvullende richtlijnen en interpretaties publiceren over hoe de AI Act in de praktijk moet werken. Dit suggereert dat veel uitzonderingen nog niet volledig uitgewerkt zijn en organisaties momenteel in onzekerheid opereren.

De handhaving intensiveert in de tweede helft van 2025. De regelgeving verschuift van kennisneming naar daadwerkelijk toezicht. Dit maakt review van uitzonderingen urgenter. Organisaties die nu geen FRIA uitvoeren of uitzonderingen niet documenteren, lopen risico.

Er bestaat een gap tussen theorie en praktijk. Niet alle systemen binnen risicocategorieën zijn automatisch high-risk. Artikel 6 lid 3 biedt providers de mogelijkheid aan te tonen dat hun systeem geen significant risico vormt, maar dit vereist gedegen technische en juridische analyse. Dit opent een ruimte voor onderzoek, maar vereist ook expertise.

Rol van AI, automatisering en digitalisering

Op het gebied van AI bij compliance-review zelf is het opvallend dat er nog weinig expliciete AI-gestuurde compliance-toetsing bestaat. Er is een duidelijk gat tussen de behoefte (massa’s systemen moeten gescreend worden) en de huidige praktijk van handmatige review. Net zoals AI het boekhouden verandert, zal AI ook de manier waarop compliance-reviews worden uitgevoerd fundamenteel transformeren.

Op het vlak van documentatie en traceerbaarheid moeten organisaties hun risicobeoordelingsprocessen gedetailleerd vastleggen. Dit vergt digitalisering van compliance-workflows. De waarde van audit trails, zoals ook beschreven bij audit trails in AI-boekhouden, is hierbij van groot belang.

De transparantieverplichtingen uit artikel 50 vereisen dat AI-systemen zelf kunnen communiceren dat zij AI zijn. Dit is een nieuw soort AI-toepassing: meta-AI die informatie over AI-gebruik overbrengt aan gebruikers en betrokkenen.

Toepassingen en Mogelijkheden

Concrete toepassingen en relevante sectoren

In de financiële diensten wordt AI ingezet voor kredietbeoordeling en verzekering. Hier gelden strenge FRIA-verplichtingen, maar veel systemen kunnen onder uitzonderingen vallen als zij ondersteunend werken en niet-beslissend zijn. De inzet van machine learning in financiële administratie valt hierbij onder specifieke compliance-vereisten.

Bij wetshandhaving en veiligheid speelt biometrische AI (gezichtsherkenning) voor het zoeken naar vermiste personen of acute dreigingen. Dit is een duidelijke uitzonderingscategorie, maar vereist strikte voorwaarden en documentatie.

In de gezondheidszorg mag emotieherkenning en diagnostische AI ingezet worden in therapeutische of medische context, maar niet voor monitoring van patiënten buiten medisch doel.

Bij de overheid zijn uitkeringsbepalingen via AI toegestaan zolang dit niet als sociale score wordt ingezet. Dit is een belangrijke nuance in het verbod die zorgvuldige afweging vereist.

In het onderwijs valt personeelsselectie via AI in Bijlage III als high-risk, maar een ondersteunende rol kan onder uitzonderingen vallen.

Praktische mogelijkheden vandaag

Organisaties kunnen vandaag al concrete stappen zetten om compliant te worden met de EU AI Act:

  • Systematische audit van het AI-portfolio: organisaties kunnen hun bestaande systemen tegen de verbodscriteria afzetten en bepalen welke screenings nodig zijn
  • Gestructureerde FRIA-uitvoering: voor systemen in high-risk categorieën kunnen formele fundamentele rechten impact assessments worden uitgevoerd met gedetailleerde documentatie
  • Uitzonderingen expliciet maken: door use cases nauwkeurig te documenteren (bijvoorbeeld biometrische identificatie alleen voor vermiste personen, niet voor routinematig toezicht), kunnen organisaties rechtvaardigen dat uitzonderingen van toepassing zijn
  • Transparantie-implementatie: AI-systemen kunnen worden uitgerust met metadata of interfaces die communiceren dat AI wordt gebruikt, conform artikel 50

Zich ontwikkelende mogelijkheden

Geautomatiseerde compliance-screening is een belangrijke ontwikkeling. Omdat de compliance-last massief is (honderdduizenden organisaties, miljarden AI-systemen), ontstaat vraag naar geautomatiseerde first-pass screening tools die bepalen welke risicocategorie waarschijnlijk van toepassing is.

Daarnaast ontwikkelen zich uitzondering-verificatie frameworks. Dit zijn gestructureerde methodologieën om aan te tonen dat een uitzondering rechtmatig van toepassing is, mogelijk ondersteund door AI-tools voor documentatie en evidence gathering.

Cross-border compliance intelligence is eveneens in opkomst. Omdat nationale implementaties zullen verschillen, ontstaat behoefte aan intelligence over hoe lidstaten uitzonderingen interpreteren.

Vragen en Behoeften

Onderliggende vragen

Bij de implementatie van de EU AI Act komen diverse fundamentele vragen naar voren:

  • Hoe scherp zijn de grenzen van uitzonderingen? Veel uitzonderingen zijn geformuleerd als “onder specifieke omstandigheden” of “strikt noodzakelijk”. Wat betekent dit in de praktijk? Hoeveel discretie hebben organisaties?
  • Wie bepaalt of een uitzondering rechtmatig is? Is dit het risico van de organisatie, de toezichthouder, of beide? Wat zijn criteria voor gedegen technische en juridische analyse?
  • Hoe wordt non-compliance opgemerkt? De handhaving intensiveert in de tweede helft van 2025, maar hoe onderzoeken toezichthouders of uitzonderingen echt van toepassing zijn? Dit vereist verificatie van claims.
  • Wat met legacy-systemen? Veel bestaande AI is eerder gebouwd dan deze regelgeving. Hoe streng moet review van oude systemen zijn?
  • Hoe verhoudt zich dit tot andere regelgeving? GDPR, privacywetten, sectorale regelgeving (medisch, financieel) – hoe interacteren deze met AI Act uitzonderingen? Vergelijkbare vragen spelen ook bij het thema AVG en AI: wat mag wel en niet.

Onderliggende problemen en behoeften

Juridische onzekerheid vormt een groot obstakel. De AI Act is nieuw en interpretaties evolueren nog. Organisaties betalen hoge premies voor juridisch advies om uitzonderingen te rechtvaardigen, maar zekerheid ontbreekt.

Technische complexiteit speelt eveneens een rol. Bepalen of een AI-systeem geen significant risico vormt, vereist diepgaande technische kennis. Veel organisaties hebben deze expertise niet in huis.

De schaal van de compliance-taak is immens. Het enorme volume aan AI-systemen dat gescreend moet worden, maakt handmatige review niet schaalbaar. Dit is vergelijkbaar met de uitdagingen die organisaties ervaren bij het opschalen van andere geautomatiseerde processen.

De documentatie-last is aanzienlijk. FRIA’s, conformiteitsbeoordelingen en gap-analyses vereisen allemaal uitgebreide documentatie. Dit is arbeidsintensief en vraagt om gespecialiseerde kennis.

De taalbarrière in regulering zorgt voor extra complexiteit. De AI Act gebruikt voorzichtige, genuanceerde taal (“onder specifieke omstandigheden”, “redelijkerwijze”). Dit vereist juridische interpretatie en leidt tot onzekerheid bij implementatie.

Terugkerende thema’s

Bij de review van uitzonderingen onder de EU AI Act komen steeds dezelfde thema’s terug:

  • Nuance en discretie: veel verboden zijn niet absoluut, maar dit maakt ze lastiger na te leven dan absolute verboden
  • Documentatie als compliance-mechanisme: rechtvaardiging van uitzonderingen verloopt primair via deugdelijke documentatie
  • Mensenarbeid als bottleneck: review van uitzonderingen is nog grotendeels handmatig werk
  • Gebrek aan best practices: omdat dit terrein nieuw is, ontbreken gestandaardiseerde methoden

Inzichten en Aanbevelingen

Belangrijkste inzichten

Uitzonderingen zijn kritischer dan verboden. Veel organisaties richten zich op de gedachte dat ze bepaalde systemen niet gebruiken, maar beter inzicht ontstaat door te begrijpen dat veel huidige AI-toepassingen wel toegestaan zijn onder voorwaarde van deugdelijke documentatie van uitzonderingen.

De oplossing voor verwerking van jouw boekhouding met AI. In 3 minuten gekoppeld.

Met Autoboeker automatiseer je factuurverwerking van herkennen naar afhandelen. Onze AI leest facturen en bonnetjes zonder templates, matcht leverancier, grootboek en btw, en zet ontbrekende informatie automatisch uit via vraagposten. Jij houdt de regie met drempels, rollen en een volledige audit-trail — zo werk je sneller, met minder correcties en meer zekerheid.

Een rommelige administratie kost tijd en geld. Autoboeker geeft je direct overzicht: realtime KPI’s (zoals auto-boekings % en doorlooptijd), bank- en betalingsmatching en heldere controles op dubbele of afwijkende boekingen. Dankzij onze koppelingen is alles in enkele minuten aangesloten en kun je direct boekingen verwerken.

Plan een gratis demo voor persoonlijk advies en bekijk hoe Autoboeker in jouw proces past. Documenten aanleveren, antwoorden op vraagposten en boeken: alles geregeld in één platform, zonder e-mailgevecht.

Gratis demo met een van onze adviseurs Autoboeker demo

Begin vandaag nog en je bent binnen 3 minuten live: Aanmelden

Veelgestelde vragen

Waarom is de EU AI Act belangrijk voor organisaties?

De EU AI Act is belangrijk omdat het zorgt voor een gereguleerd kader waarbinnen AI-systemen moeten opereren. Het stelt eisen aan transparantie, risicobeoordeling en compliance voor AI-toepassingen, wat van groot belang is voor zowel innovatie als ethiek.

Wat zijn de boetes voor non-compliance met de EU AI Act?

Boetes voor non-compliance met de EU AI Act kunnen oplopen tot 35 miljoen euro of 7 procent van de wereldwijde jaaromzet van de overtreder, afhankelijk van wat hoger is.

Hoe kunnen organisaties zich voorbereiden op de naleving van de AI Act?

Organisaties kunnen zich voorbereiden door hun AI-systemen te auditen, risicobeoordelingsprocedures in te richten, uitzonderingen goed te documenteren en ervoor te zorgen dat zij aan de transparantievereisten voldoen. Het inrichten van een FRIA kan ook noodzakelijk zijn.

Welke AI-toepassingen vallen onder de verboden categorieën van de AI Act?

Verboden AI-toepassingen onder de AI Act omvatten onder andere sociale scoring, biometrische surveillance zonder wettige reden, emotieherkenning buiten de medische context en technieken die gebruik maken van manipulatie en exploiteren van kwetsbare groepen.

Wat betekent de term ‘FRIA’ in de context van de EU AI Act?

FRIA staat voor Fundamental Rights Impact Assessment. Het is een procedure die noodzakelijk is voor high-risk AI-systemen om te bepalen of de toepassing fundamentele rechten schendt en welke maatregelen genomen moeten worden om deze te beschermen.

Starten