4 min leestijd
Hoog risico AI in uw organisatie? Grote kans van wel
Artikelen over de AI Act lijken vaak ver van uw bed. Verboden praktijken zoals real-time gezichtsherkenning of social scoring? Die komen bij de meeste organisaties echt niet morgen binnenwandelen. Maar wie denkt dat daarmee de rest van de AI Act weinig relevant is, komt bedrogen uit. Hoog risico AI – de zwaarste categorie die wél is toegestaan – is veel dichterbij dan de meeste organisaties zich realiseren. In veel gevallen is het zelfs al in gebruik. En dat maakt actie nú urgent, stelt Jesper van Zanten, privacyjurist bij DPA Privacy.
Een AI-chatbot die sollicitanten rangschikt. Een dashboard dat verzuim of prestaties voorspelt. Of ChatGPT die meeleest met interviewverslagen. Slimme toepassingen die managers tijd besparen. Als het beoogde gebruik onder Annex III (o.a. employment/HR) valt, is het hoog risico (mits er geen uitzondering geldt), met bijbehorende verplichtingen op het gebied van transparantie, toezicht en risicobeoordeling. En die verplichtingen vragen nú om actie.
"In het begin dacht ik: de AI Act, dat is iets voor techreuzen of nichebedrijven. Maar al snel zag ik dat ook organisaties die AI alleen toepassen – niet ontwikkelen – ermee te maken krijgen."
Hoog risico AI: dichterbij dan u denkt
De AI Act kent vier risiconiveaus: van ‘minimaal tot geen risico’ tot onaanvaardbaar risico’. De meeste aandacht gaat uit naar ‘hoog risico AI’, omdat die categorie verrassend vaak voorkomt in de dagelijkse praktijk. En vaak zonder dat organisaties het doorhebben.
Denk aan:
- Recruitmenttools die sollicitanten automatisch filteren of rangschikken.
- Performance dashboards die verzuim, betrokkenheid of verloop voorspellen.
- Ook ‘alleen voorbereiden’ met ChatGPT of Copilot kan hoog risico zijn als het advies in de praktijk leidend wordt
- Automatische selectie op basis van cv's in wervingstrajecten.
Op zichzelf lijken dit onschuldige, moderne hulpmiddelen. Maar zodra er consequenties voor medewerkers of kandidaten uit voortkomen, valt de toepassing – vaak zonder dat organisaties dat doorhebben – onder hoog risico AI. En dat brengt verplichtingen met zich mee.
Wat moet u regelen bij hoog risico AI?
De AI Act verplicht organisaties om:
- inzicht te hebben in welke AI-systemen ze gebruiken en waarvoor;
- risico’s en impact op mensen vooraf te beoordelen;
- menselijke controle in te bouwen;
- transparantie in gebruiksinstructies én – waar relevant – kenbaar maken dat men met AI te maken heeft;
- en actief te sturen op datakwaliteit en het voorkomen van bias.
Voor veel organisaties vraagt dit om een inhaalslag. Niet alleen in techniek of beleid, maar vooral in bewustwording.
"Veel bedrijven denken: het is toch maar een feature in bestaande software? Maar de wet kijkt niet naar de technologie, die kijkt naar het effect op mensen"
5 signalen dat u nu in actie moet komen
- AI ondersteunt (HR-)besluiten, bijvoorbeeld via ChatGPT, Copilot of een dashboard.
- Er is geen helder overzicht van welke AI-tools waar in de organisatie worden gebruikt.
- Het interne bewustzijn over juridische of ethische gevolgen van AI-gebruik is beperkt.
- Er is geen vast aanspreekpunt voor AI-compliance of impactanalyse.
- Het gesprek hierover wordt uitgesteld met: “we hebben toch beleid?
Herkenbaar? Dan is het tijd om te handelen.
De risico’s van niets doen
Veel organisaties denken: ‘we gebruiken het toch alleen ter ondersteuning?’ Maar het effect telt en de risico’s stapelen zich snel op:
- Ongelijke behandeling van kandidaten of medewerkers (denk aan bias in sollicitaties).
- Moeilijk uitlegbare beslissingen, waardoor vertrouwen daalt.
- Reputatieschade wanneer AI-fouten aan het licht komen.
- En zodra handhaving op gang komt: boetes die kunnen oplopen tot €15 miljoen of 3% van de wereldwijde jaaromzet. (Afhankelijk van wat hoger is)
“De echte pijn ontstaat pas als u al jaren AI gebruikt zonder dat u het zelf doorhad”, zegt Jesper. “Dan moet u uitleggen waarom u het AI-gebruik nooit als hoog risico hebt geclassificeerd en waarom er geen passende beheersmaatregelen waren ingericht”
Begin hier: drie praktische stappen
- Breng het AI-landschap in kaart. Niet alleen licenties, maar ook ‘shadow AI’: tools die medewerkers zelf gebruiken.
- Stel een AI-review op bij nieuwe toepassingen. Worden er besluiten over mensen genomen? Dan is een risicoanalyse en passende governance vereist.
- Werk multidisciplinair. HR, IT en Legal/Privacy moeten samenwerken om AI op een zorgvuldige manier te integreren.
Hoe DPA Privacy het verschil maakt
Jesper merkt dat juist een frisse blik van buiten helpt om snel te zien waar AI al stilletjes een rol speelt. Niet alleen in officiële tools, maar ook in de hulpmiddelen die medewerkers zelf gebruiken. Omdat onze professionals in uiteenlopende organisaties werken, herkennen zij vroegtijdig waar AI in de praktijk kan doorschieten naar hoog risico – zonder dat iemand dat doorheeft.
"Wij zien vaak patronen die intern worden gemist. En omdat we de AI Act vertalen naar werkbare stappen, ontstaat er duidelijkheid in plaats van vertraging.
DPA Privacy helpt organisaties om AI-gebruik overzichtelijk te maken, risico’s te duiden en kaders neer te zetten die innovatie niet afremmen, maar juist in goede banen leiden. Door HR, IT en Legal bij elkaar te brengen, ontstaat er een gezamenlijke aanpak waarin AI verantwoord kan worden ingezet – nog voordat de handhaving echt op stoom komt.
Conclusie: AI vraagt nú om regie
Hoog risico AI is niet iets voor morgen. Het zit al in processen van vandaag. De AI Act maakt het zichtbaar, maar Jesper ziet in de praktijk hoe weinig organisaties daarop voorbereid zijn.
Wie nú investeert in overzicht en samenwerking, voorkomt juridische of reputatierisico’s later. En maakt AI een waardevol én verantwoord onderdeel van de organisatie.
Wilt u snel grip op AI binnen uw organisatie?
Neem contact op met Frederique Renders, Business Unit Director bij DPA Legal Profit:
📧 frederique.renders@dpa.nl | 📞 +31 625048721
