Het uitstel van verplichtingen voor hoog-risico AI-systemen onder de EU AI Act dreigt organisaties op hoge kosten te jagen. Tegelijkertijd blijven mensen langer blootgesteld aan AI-systemen waarvan de risico’s onvoldoende zijn geborgd. Vooral de publieke sector is kwetsbaar.
Begin mei bereikten het Europees Parlement en de Raad een voorlopig akkoord om de verplichtingen voor hoog-risico AI-systemen verder uit te stellen. Voor stand-alone systemen onder Annex III verschuift de deadline van augustus 2026 naar december 2027. Hoog-risico AI in gereguleerde producten moet pas voldoen in augustus 2028.
Het akkoord moet nog formeel worden bekrachtigd, maar organisaties implementeren intussen wel al in hoog tempo AI-toepassingen. Daarbij kan gedacht worden aan het inschakelen van hulp van kunstmatige intelligentie bij fraudedetectie tot recruitment en kredietbeoordeling.
Volgens consultancybureau ADC is dat een probleem. “Het uitstel wordt al snel gezien als adempauze”, zegt Elianne Anemaat, senior manager Public & Society bij ADC. “Maar wie pas in actie komt wanneer alle richtlijnen definitief zijn, heeft onnodig extra werk. AI-systemen draaien nu al in processen die mensen direct raken.” Organisaties nemen heden ten dage allerlei beslissingen over architectuur, leveranciers en processen, terwijl technische standaarden en richtlijnen voor naleving nog helemaal niet definitief zijn vastgesteld.
Al eerder schoof de EU de handhaving van de AI Act voor hoog-risico systemen naar achteren, onder meer voor audits en boetes. Dat patroon van onzekerheid maakt het voor organisaties moeilijk om koers te bepalen.
Must-read: Helft van organisaties kreeg al te maken met AI-incidenten
Ingebakken systemen en stijgende kosten
Wanneer een organisatie naleving achteraf moet inbouwen in systemen die al volledig in bedrijfsprocessen zijn verweven, kunnen de kosten flink oplopen. Dat geldt niet alleen voor de technische aanpassingen. ADC wijst er ook op dat de precieze afbakening van ‘hoog-risico’ en de bijbehorende technische normen nog kunnen worden aangescherpt, nadat de Europese Commissie op 19 mei conceptrichtlijnen publiceerde die nog niet juridisch bindend zijn.
Wie toch nu al begint met transparante datastromen, logging, duidelijke rollen en toetsbare modellen, kan straks relatief eenvoudig aansluiten op de definitieve standaarden, aldus Anemaat.
Hoog-risico AI wordt bovendien ingezet op plekken waar beslissingen direct ingrijpen in het leven van mensen. Er moet dan gedacht worden aan onder andere sollicitatieprocedures, medische triage, fraudedetectie en in het onderwijs. “Hoe langer de AI Act op zich laat wachten, hoe groter de kans dat mensen onnodig geraakt worden door fouten of blinde vlekken in deze systemen”.
Publieke sector extra kwetsbaar
Vooral gemeenten, uitkeringsinstanties en zorgorganisaties opereren binnen strakke aanbestedingsregels, budgetcycli en politieke verantwoording, waardoor snel bijsturen structureel moeilijker is. “Als een AI-systeem in de private sector faalt, is dat primair een bedrijfsrisico”, zegt Anemaat. “In de publieke sector kan hetzelfde probleem uitgroeien tot een bestuurlijke crisis.”
ADC adviseert organisaties om de gewonnen tijd te gebruiken voor een structurele inventarisatie van hun AI-gebruik. Dat omvat ook AI-functionaliteiten die verwerkt zijn in bestaande software of dashboards. Daarnaast adviseert het bureau om impact assessments uit te voeren, systemen te toetsen op bias en uitlegbaarheid, en te investeren in AI-geletterdheid. Het Nederlandse kabinet zette eerder al een stap richting nationaal AI-toezicht. Vanaf augustus 2026 gaat er meer handhaving van start op onder meer AI-geletterdheid en verboden praktijken.
Lees ook: Waarom een AI-agent een juridische tijdbom is voor je bedrijf