ChatGPT
Claude
Perplexity
Gemini
GrokWelke risicocategorie geldt voor uw instelling? De directe kaart
De EU AI-verordening (Verordening 2024/1689) deelt alle AI-systemen in vier risiconiveaus in. Voor een hogeschool of universiteit die werkt met toelatingschatbots, scoringtools of aanbevelingsalgoritmen, geldt als vuistregel: informatieve chatbots zijn beperkt risico; elke tool die toelatingsbeslissingen beïnvloedt, is hoog risico. De deadline voor naleving van de hoog-risicoverplichtingen is 2 augustus 2026.
Dit artikel legt de vier niveaus uit, plaatst concrete AI-toepassingen in de juiste categorie en beschrijft de verplichtingen die op uw instelling van toepassing zijn als "deployer" — in de Nederlandse context aangeduid als "gebruiker" in de zin van de verordening.
De vier risiconiveaus van de AI-verordening
De AI-verordening (Verordening EU 2024/1689) werkt met een risicogestuurde benadering. Hoe hoger het potentiële risico voor grondrechten, hoe zwaarder de verplichtingen.
Onaanvaardbaar risico — verboden systemen
Systemen in deze categorie zijn per 2 februari 2025 volledig verboden. Het gaat onder meer om sociale-scoringsystemen, subliminale manipulatie en uitbuiting van kwetsbare groepen.
In onderwijscontexten: een toelatingsalgoritme dat studenten beoordeelt op basis van sociale-mediagedrag, politieke opvattingen of gedrag buiten de academische context zou in deze categorie vallen. In de praktijk zijn de meest risicovolle toepassingen in het Nederlandse hoger onderwijs eerder hoog risico dan onaanvaardbaar — maar de grens verdient aandacht bij holistische profielanalyse van kandidaten.
Hoog risico — strikte verplichtingen
Dit is de meest relevante categorie voor Nederlandse hogescholen en universiteiten. Bijlage III van de verordening classificeert expliciet als hoog risico: "AI-systemen die worden gebruikt om de toegang tot, of toelating tot, onderwijs- en beroepsopleidingsinstellingen te bepalen" (Bijlage III, punt 3a).
Concreet omvat dit elke tool die toelatingsbeslissingen of academische beoordelingen beïnvloedt — ook als die beslissing uiteindelijk door een mens wordt bevestigd.
Beperkt risico — transparantieverplichtingen
AI-chatbots die informeren en begeleiden — inclusief toelatingschatbots en studiekeuze-assistenten — vallen in deze categorie. De kernverplichting is transparantie richting de gebruiker (Art. 50).
Minimaal risico — geen specifieke verplichtingen
Spellingcontrole, spamfilters, roosteroptimalisatie. Geen wettelijke AI-verordening-verplichtingen, maar goede praktijken voor transparantie blijven aanbevolen.
Welke AI-systemen vallen in welke categorie?
| AI-toepassing in het Nederlandse hoger onderwijs | Risicocategorie | Primaire verplichting |
|---|---|---|
| Informatieve toelatingschatbot (FAQ, studiekeuze) | Beperkt risico | Transparantie (Art. 50): identificatie als AI |
| Geautomatiseerde kandidaatselectie / ranking | Hoog risico | Art. 29: menselijk toezicht, risicodossier, EU-registratie |
| AI-plagiaatdetector (invloed op beoordeling) | Hoog risico | Art. 29: volledige technische documentatie |
| Studiekeuze-aanbevelingsalgoritme (zonder beslissing) | Beperkt risico | Art. 50: transparantie over AI-gebruik |
| AI voor cijferadministratie of planningssystemen | Minimaal risico | Geen specifieke verplichtingen |
| Oriëntatietool die studenten naar opleidingen leidt | Hoog risico (indien beslissend) | Art. 29: auditeerbaar, menselijk toezicht |
| Chatbot met profieling van kandidaatgedrag | Hoog risico | Art. 29 + AVG Art. 22 |
| Spamfilter, spellingchecker in LMS | Minimaal risico | Geen |
| AI-vertaaltool voor onderwijscontent | Beperkt risico | Identificatie bij tekstgeneratie |
Twijfelt u over de classificatie van een specifieke tool? De Autoriteit Persoonsgegevens (AP) heeft richtsnoeren gepubliceerd voor AI-gebruik in het onderwijs en biedt een zelfevaluatie-instrument.
Hoog risico: verplichtingen voor deployers onder artikel 29
Als "deployer" — de organisatie die een AI-systeem van een leverancier inzet in de eigen context — draagt uw instelling specifieke verplichtingen. Artikel 29 van de AI-verordening is het centrale artikel.
Verplichting 1 — Menselijk toezicht: geen enkele toelatingsbeslissing mag volledig geautomatiseerd zijn. Een medewerker moet de AI-output kunnen beoordelen, aanvechten en corrigeren. Dit geldt ook als de software van een externe leverancier afkomstig is.
Verplichting 2 — Risicobeheersysteem: uw instelling moet een gedocumenteerd risicobeheersysteem hebben dat de specifieke risico's van het hoog-risicosysteem in de eigen context beschrijft. Een leveranciersdocument volstaat niet — u moet de toepassingsrisico's voor uw eigen studentenpopulatie evalueren.
Verplichting 3 — Data governance en bias: u moet verifiëren dat de data die voor het systeem worden gebruikt representatief zijn en geen historische discriminatoire patronen versterken. De AP heeft bij haar AI-richtsnoeren specifiek aandacht besteed aan bias in onderwijscontexten.
Verplichting 4 — Technische documentatie en logging: volledige logging van in- en uitvoer, minimaal 6 maanden bewaard. Toegankelijk voor toezicht door de AP.
Verplichting 5 — Registratie in EU-database: hoog-risicosystemen moeten worden geregistreerd in de Europese AI-database (EUID). De leverancier is primair verantwoordelijk voor registratie, maar de deployer moet controleren of dit is uitgevoerd.
Verplichting 6 — Transparantie naar betrokkenen: kandidaten moeten weten dat een AI-systeem betrokken is bij een beslissing die hen betreft, en ze moeten het recht hebben op uitleg.
De kosten voor compliance met hoog-risicoverplichtingen liggen doorgaans tussen de 15.000 en 50.000 euro, afhankelijk van de complexiteit van de tool en de mate van documentatie die de leverancier al aanlevert. Zie ook ons artikel over AI-bias in studentenwerving voor een diepere analyse van discriminatierisico's.
Beperkt risico: transparantieplicht voor AI-chatbots (artikel 50)
De meeste AI-chatbots die hogescholen en universiteiten inzetten voor studievoorlichting of toelatingsinformatie, vallen onder beperkt risico. Artikel 50 legt de transparantieplicht vast.
Wat artikel 50 vereist: de gebruiker moet onmiddellijk en ondubbelzinnig worden geïnformeerd dat hij of zij met een AI-systeem communiceert. Dit geldt voor elke chatbot die voor menselijk contact kan worden aangezien.
Een openingsbericht als "Ik ben de AI-assistent van [naam instelling]. Ik beantwoord vragen over opleidingen en aanmelding via Studielink. Een studieadviseur is bereikbaar via [contactmogelijkheid]" voldoet volledig aan artikel 50.
Wat artikel 50 niet vereist: uitgebreide technische documentatie, registratie in de EU-database of een risicobeheersysteem. De beperkt-risico-categorie is intentioneel laagdrempelig gehouden voor informatieve toepassingen.
72% van de vragen van studiegeïnteresseerden is automatisch te beantwoorden via FAQ — slechts 7% vereist menselijke tussenkomst (Bron: geautomatiseerde classificatie van 12.000 Skolbot-gesprekken, 2025). Dat maakt transparante AI-chatbots niet alleen compliant maar ook operationeel efficiënt — mits de 7% complexe vragen correct worden doorgezet naar een menselijke medewerker.
Wilt u weten hoe een AVG-conforme chatbot technisch is ingericht? Onze gids over AI-chatbots en gegevensverzameling conform de AVG beschrijft de technische vereisten.
De AP als toezichthouder: wat u kunt verwachten
De Autoriteit Persoonsgegevens is de nationale markttoezichthouder voor de AI-verordening in Nederland. De AP heeft al in 2024 en 2025 actief opgetreden in het onderwijsdomein voor AVG-schendingen en heeft aangekondigd de AI-verordening-handhaving te intensiveren na augustus 2026.
De AP heeft bevoegdheden om te inspecteren, corrigerende maatregelen op te leggen en boetes uit te schrijven. De maxima zijn aanzienlijk: tot 35 miljoen euro (of 7% van de jaarlijkse omzet) voor verboden praktijken, 15 miljoen euro (3%) voor schendingen van hoog-risicoverplichtingen, 7,5 miljoen euro (1%) voor onjuiste informatieverstrekking.
De AP werkt nauw samen met de NVAO (Nederlands-Vlaamse Accreditatieorganisatie) — de AI-compliance van een instelling kan indirect ook relevant worden voor accreditatieprocedures waarbij digitale governance wordt beoordeeld.
Voor instellingen die twijfelen over hun positie, biedt de AP een AI-vraag-en-antwoord-formulier en richtsnoeren op haar website. Gebruik deze als eerste stap — voor specifieke juridische vragen is gespecialiseerde juridische ondersteuning aanbevolen.
Compliance roadmap voor Nederlandse onderwijsinstellingen
De onderstaande stappen zijn voldoende voor de meeste hogescholen en universiteiten die geen hoog-risicosystemen gebruiken, en vormen de basis voor instellingen die dat wel doen.
Stap 1 — AI-inventarisatie (week 1–2): maak een volledige lijst van alle AI-tools in gebruik: chatbots, CRM-scoringmodules, plagiaatdetectie, studiekeuze-aanbevelingen, proctoring. Inclusief tools die zijn ingebouwd in bestaand software (LMS-modules, CRM-add-ons).
Stap 2 — Risicoklassificatie per tool (week 2–3): beoordeel elke tool aan de hand van Bijlage III van de verordening. Wanneer een tool toelatingsbeslissingen of academische beoordelingen beïnvloedt, is hoog risico de standaard classificatie tenzij het tegendeel bewezen is.
Stap 3 — Leveranciersaudit (week 3–6): vraag elke AI-leverancier om een gedateerde conformiteitsverklaring, risicoklassificatie met onderbouwing en technische documentatie. Leveranciers van hoog-risicosystemen zijn wettelijk verplicht deze informatie te verstrekken.
Stap 4 — Chatbot-transparantie implementeren (week 4–5): voeg een duidelijke AI-identificatie toe aan iedere chatbot-interface. Controleer ook het privacybeleid: zijn de chatbot-verwerkingen gedocumenteerd? Onze gids over recht op verwijdering en AVG voor prospectgegevens is relevant voor de dataretentieaspecten.
Stap 5 — Menselijk toezicht waarborgen (doorlopend): documenteer wie de eindverantwoordelijkheid heeft voor AI-gestuurd beslissingen. Geen kandidaat mag op basis van een AI-output worden afgewezen zonder menselijke beoordeling.
Stap 6 — Jaarlijkse review: de AI-verordening is een levend kader. Plan een jaarlijkse compliance-review, idealiter gealigneerd met de reguliere AVG-audit. Ons artikel over de volledige AI-verordening in het hoger onderwijs biedt het bredere kader.
FAQ
Valt mijn toelatingschatbot onder hoog risico?
Nee, niet als de chatbot uitsluitend informeert. Een chatbot die vragen beantwoordt over opleidingen, Studielink-procedures, collegegeld en open dagen, is beperkt risico. De enige verplichting is artikel 50: de gebruiker informeren dat hij met een AI-systeem communiceert. Een chatbot wordt hoog risico zodra hij meebepaalt of een kandidaat wordt toegelaten of afgewezen — dat is een fundamenteel ander gebruik.
Welke verplichtingen heeft mijn instelling als deployer van een hoog-risicosysteem van een externe leverancier?
U draagt medeverantwoordelijkheid. De leverancier is primair verantwoordelijk voor de conformiteitsverklaring en technische documentatie; uw instelling als deployer is verantwoordelijk voor menselijk toezicht, gebruik van de tool conform de bedoelde doeleinden en melding van incidenten. U kunt een hoog-risico-verplichting niet volledig uitbesteden aan de leverancier.
Is de AI-verordening van toepassing op AI-plagiaatdetectie?
Ja, wanneer de detectieutkomst de beoordeling of een academische beslissing beïnvloedt. Als een hoogleraar of commissie besluit op basis van de AI-detectie zonder zelfstandige beoordeling, is er sprake van een hoog-risicotoepassing. Menselijk toezicht is hier niet optioneel.
Geldt de AI-verordening voor internationale instellingen die in Nederland werven?
Ja. De verordening heeft extraterritoriale werking: elk AI-systeem waarvan de uitvoer in de EU wordt gebruikt, valt onder de verordening — ongeacht waar de aanbieder of deployer gevestigd is. Een Britse of Amerikaanse instelling die een rankingalgoritme gebruikt om Nederlandse kandidaten te selecteren, is gebonden aan de verordening.
Wat zijn de sancties bij niet-naleving van de transparantieplicht (Art. 50)?
Tot 7,5 miljoen euro of 1,5% van de jaarlijkse omzet voor schendingen van artikel 50. In de praktijk zal de AP bij een eerste overtreding doorgaans beginnen met een corrigerende maatregel. De reputatieschade bij studenten en hun ouders die ontdekken dat een chatbot niet als AI was geïdentificeerd, weegt echter minstens even zwaar als de boete.
Voor het volledige juridische kader van gegevensbescherming in het Nederlandse hoger onderwijs, zie onze AVG-gids voor studentengegevens. Voor een analyse van hoe AI-systemen de aanbevelingen van zoekmachines en chatbots beïnvloeden, zie ook ons artikel over AI-chatbot en gegevensverzameling voor hogescholen.
Test Skolbot op uw school in 30 secondenDit artikel heeft een informatief karakter en vormt geen juridisch advies. Voor de specifieke compliance-positie van uw instelling raadpleegt u een gespecialiseerde juridische adviseur of uw functionaris gegevensbescherming.
