Registratie van hoog-risico-AI: spanningsveld tussen werkbaarheid en verantwoordingsplicht

Inleiding

In heel wat sectoren rijzen talrijke vragen over de recente ontwikkelingen binnen artificiële intelligentie. Zo wordt in de medische sector steeds vaker de vraag gesteld waar AI precies een meerwaarde biedt en waar de grenzen liggen. We zien uiteenlopende toepassingen, waarvan ook het UZ Leuven gebruik maakt. Een allergietest kan vandaag al tot vier keer sneller worden uitgevoerd en er wordt gewerkt aan projecten met ‘intelligente’ operatiemessen die ingrepen ondersteunen.

Ook in de HR-sector neemt de automatisering sterk toe. Software kan de werkdruk analyseren om depressie en andere problemen te helpen voorkomen, door gegevens te verwerken en inzicht te geven in werklast en welzijn. Daarnaast kunnen cv’s doelgericht worden gerangschikt, wat de efficiëntie binnen een onderneming aanzienlijk kan verhogen.

Het gaat om toepassingen waarbij AI nadrukkelijk wordt ingezet, maar die onder de nieuwe AI Act vaak als ‘hoog risico’ worden gekwalificeerd. Op het eerste gezicht lijken ze bijzonder waardevol, toch blijven risico’s bestaan en is waakzaamheid meer dan ooit aangewezen.

Probleemstelling

De AI Act legt heel wat verplichtingen op aan hoog-risico-AI-systemen, waaronder strengere transparantievereisten en een registratieplicht. Voor een dergelijk systeem moet de aanbieder bovendien de loggegevens bijhouden zolang het systeem bestaat. Deze verplichting is essentieel voor de traceerbaarheid en transparantie en draagt bij tot meer duidelijkheid over verantwoordelijkheid en aansprakelijkheid.

Wanneer we de wettekst nader bekijken, blijkt dat aanbieders of producenten in bepaalde gevallen, bij wijze van uitzonderingsmechanisme, zelf kunnen beoordelen of hun systeem als hoog risico moet worden gekwalificeerd Dat brengt meteen een eerste knelpunt aan het licht, aangezien dit kan leiden tot eventueel misbruik of wetontwijking. Daarmee rijst een bijkomende moeilijkheid. Hoog-risico-AI-systemen moeten immers worden geregistreerd, wat zorgt voor publieke bekendheid en dus externe transparantie. Wanneer een AI-systeem formeel onder hoog risico valt volgens annex III, maar via zelfbeoordeling wordt aangetoond dat het geen significant risico inhoudt en daarom niet als hoog risico wordt aangemerkt, ontstaat een duidelijk spanningsveld.

In een recent voorstel van de Europese Commissie om de verplichtingen van de AI Act te verfijnen en werkbaarder te maken voor aanbieders, zou onder meer de registratieplicht in dat geval niet langer van toepassing zijn. Concreet betekent dit dat een systeem dat formeel onder hoog risico valt, maar via zelfbeoordeling uiteindelijk niet zo wordt gekwalificeerd, niet meer geregistreerd zou moeten worden.

De EDPB en de EDPS hebben zich hierover uitgesproken in hun Joint Opinion 1/2026.Volgens hen zou een dergelijke wijziging de verantwoordingsplicht aanzienlijk ondermijnen en een ongewenste mogelijkheid creëren voor aanbieders om ten onrechte vrijstellingen te claimen en zo publieke controle te ontwijken.

Waarom is een registratieplicht relevant?

1)    In een B2B-context kan de registratieplicht wel degelijk relevant zijn. Stel dat een HR-dienst een overeenkomst sluit met een aanbieder van AI-software die onder annex III van de AI Act valt. Wanneer de aanbieder na zelfbeoordeling besluit dat het systeem niet als hoog risico moet worden aangemerkt, vervalt ook de registratieplicht. Daardoor ontbreekt de publieke registratie die normaal gepaard gaat met hoog-risico-AI-systemen. Indien achteraf blijkt dat het systeem toch aan de verplichtingen voor hoog-risico-AI moest voldoen en/of foutief gekwalificeerd is, kan het ontbreken van registratie mee een rol spelen in de beoordeling van de naleving van de regelgeving. Wanneer de aanbieder contractueel verklaart conform de AI Act te handelen, kan dit in een B2B-relatie aanleiding geven tot discussie over de correcte uitvoering van die verplichtingen.

2)    Ook hier kan een duidelijke link worden gelegd met de nieuwe Richtlijn Productaansprakelijkheid (EU) 2024/2853, waarmee de Europese Commissie beoogt AI expliciet onder het toepassingsgebied te brengen. Ook in dat kader kan zich een probleem stellen wanneer registratie niet langer vereist is als aanbieders hun systeem via zelfbeoordeling niet als hoog risico kwalificeren. Indien de AI-software een gebrek vertoont, rust het bewijs in principe op de schadelijder. Die moet het oorzakelijk verband aantonen tussen de schade en de gebrekkigheid van het AI-systeem. Dat blijkt in de praktijk vaak bijzonder moeilijk, net door de technologische complexiteit.

Om daaraan tegemoet te komen, voorziet de nieuwe richtlijn in een vermoeden van gebrekkigheid en/of van oorzakelijk verband wanneer de eiser buitensporige moeilijkheden ondervindt om dat bewijs te leveren, vooral om technische redenen. De eiser moet dan aannemelijk maken dat het product waarschijnlijk gebrekkig was en/of dat er een verband bestaat tussen het gebrek en de geleden schade. Zodra aan die voorwaarden is voldaan, geldt het vermoeden en wordt de bewijslast aanzienlijk verlicht, waardoor het eenvoudiger wordt om een vergoeding te verkrijgen. Het wegvallen van de registratie ondergraaft ook hier de externe transparantie, waardoor de bewijslast zwaarder kan doorwegen, terwijl de nieuwe Richtlijn Productaansprakelijkheid net beoogt die last voor de gebruiker te verlichten.

3)    Vanuit het GDPR-perspectief sluit de problematiek van zelfbeoordeling deels aan, maar zonder dat zich een registratiekwestie stelt. De verordening voorziet immers niet in een externe registratieverplichting. Wel geldt dus het ‘accountability-beginsel’, verankerd in artikel 5, lid 2 en artikel 24 van de GDPR, dat vereist dat de verwerkingsverantwoordelijke kan aantonen dat hij in overeenstemming met de regels handelt, maar een publieke registratie maakt daar geen deel van uit.

Slot

Met het oog op 2 augustus 2026 kijken we dan ook aandachtig naar hoe deze aspecten zich in de praktijk zullen vertalen en hoe de problematiek zich verder zal ontwikkelen.

Het is dan ook aangewezen om deze evoluties nauwgezet te blijven volgen, zeker wanneer u gebruikmaakt van AI binnen HR-diensten, in de medische sector of van andere hoog-risico-AI-systemen. Het spanningsveld tussen technologische vooruitgang en regelgeving blijft bijzonder actueel, zoals dit kader opnieuw aantoont. Steeds weer komt het neer op het vinden van een evenwicht tussen een doordachte regulering ter bescherming van fundamentele rechten en het vrijwaren van innovatie.

Bij Mr. Franklin volgen we deze ontwikkelingen van nabij op, zodat wij u tijdig en onderbouwd juridisch advies kunnen bieden zodra er meer duidelijkheid is, want ons advies dat blijft plakken!

Veelgestelde vragen FAQ:

1)     Wat is de AI-Act?

De AI-Act is de nieuwe Europese verordening die artificiële intelligentie regelt binnen de EU. Ze is rechtstreeks van toepassing in alle lidstaten en legt verplichtingen op aan bedrijven die AI ontwikkelen, op de markt brengen of gebruiken.

De wet werkt volgens een risicogebaseerde benadering. Dat betekent dat niet elk AI-systeem op dezelfde manier wordt gereguleerd. Hoe groter het mogelijke risico voor veiligheid, gezondheid of grondrechten, hoe strenger de regels.

De AI-Act onderscheidt daarbij vier niveaus:

-              Verboden AI-praktijken (zoals bepaalde vormen van manipulatie of sociale scoring);

-              Hoogrisico-AI-systemen, waarvoor uitgebreide verplichtingen gelden;

-              AI met transparantieverplichtingen (bijvoorbeeld wanneer gebruikers moeten weten dat ze met AI interageren);

-              Laagrisico-AI, waarvoor in principe geen specifieke verplichtingen gelden.

Het doel is een evenwicht te creëren tussen bescherming van fundamentele rechten en het stimuleren van innovatie binnen één geharmoniseerde Europese markt.

2)     Wat zijn ‘hoogrisico’-AI-systemen?

Een AI-systeem wordt als ‘hoog risico’ beschouwd wanneer het valt onder de categorieën die de AI-Act uitdrukkelijk vastlegt. Het gaat dus niet om elke ‘belangrijke’ of ‘impactvolle’ AI, maar enkel om systemen die juridisch binnen die afgebakende gevallen vallen. Dat is bijvoorbeeld zo bij AI die wordt ingezet voor personeelsselectie, toegang tot onderwijs, kredietbeoordeling, biometrische identificatie, rechtshandhaving of toegang tot essentiële diensten.

De AI-Act werkt hier met een wettelijk vastgelegde lijst (Bijlage III) en bijkomende criteria. De kwalificatie gebeurt dus niet op basis van een vrije beoordeling, maar volgens de specifieke voorwaarden uit de verordening.

Voor deze hoogrisico-systemen gelden uitgebreide verplichtingen vóór ze op de markt mogen worden gebracht of in gebruik mogen worden genomen.

3)    Wie moet zich registreren?

Bedrijven die een hoogrisico-AI-systeem op de markt brengen, moeten dat systeem vooraf opnemen in de Europese databank voor hoogrisico-AI-systemen. Die registratie kan pas gebeuren nadat het systeem een conformiteitsbeoordeling heeft doorlopen en is nagegaan of het aan alle wettelijke vereisten voldoet.

Ook sommige overheidsinstanties die een hoogrisico-AI-systeem gebruiken, moeten het systeem registreren wanneer de AI-Act dat expliciet voorschrijft.

De registratie gebeurt vóór het systeem in gebruik wordt genomen of op de markt wordt gebracht.

4)    Wat als het systeem niet geregistreerd is?

Wanneer registratie verplicht is maar niet is gebeurd, voldoet het systeem niet aan de AI-Act. In dat geval mag het niet rechtmatig op de markt worden gebracht of in gebruik worden genomen.

De bevoegde toezichthouder kan handhavend optreden en maatregelen opleggen. Daarnaast kunnen administratieve geldboeten worden opgelegd overeenkomstig de sanctiebepalingen van de AI-Act.

Registratie is dus geen louter administratieve stap, maar een wettelijke voorwaarde voor systemen waarvoor de verordening dat voorschrijft.

Door Madelaine Van Parys en Olivier Sustronck