De EU AI-Act (Verordening (EU) 2024/1689) verandert de manier waarop Europese organisaties AI inzetten op gevoelige documenten. Voor advocaten, notarissen, bedrijfsartsen, compliance-teams en overheidsinstellingen is de vraag niet langer of AI in het werkproces past, maar onder welke voorwaarden. De verordening onderscheidt AI-systemen naar risico en legt bij de zwaarste categorie — hoog-risico AI — concrete verplichtingen op. Dit artikel loopt de kern van die regels langs en legt daarna de verbinding met wat dat praktisch betekent voor document-gedreven AI-workflows.
Wanneer is een AI-systeem hoog-risico?
Artikel 6 van de verordening bevat de classificatieregels voor hoog-risico AI-systemen. Het legt vast wanneer een systeem in die categorie valt, onder meer op basis van de toepassingsgebieden uit Annex III. Tegelijk kent artikel 6 uitzonderingen: systemen die slechts een beperkte procedurele taak uitvoeren of louter voorbereidend en ondersteunend werken, vallen niet automatisch onder het volledige hoog-risicoregime.
Voor de praktijk betekent dit een genuanceerd beeld. Een AI-agent die zelfstandig beslissingen neemt of voorbereidt in een gevoelig domein — denk aan besluitvorming die mensen direct raakt — komt eerder in de hoog-risicocategorie terecht. Een tool die uitsluitend samenvat, markeert of een voorstel doet dat een professional daarna zelf beoordeelt, kan afhankelijk van de context lager-risico blijven. Waar de grens precies ligt, hangt af van de concrete toepassing; artikel 6 is het startpunt van die analyse, niet het eindpunt.
Verplichtingen voor aanbieders en gebruikers
Artikel 16 beschrijft de verplichtingen voor aanbieders van hoog-risico AI-systemen. Daaronder vallen onder meer een kwaliteitsmanagementsysteem, technische documentatie, logging, een conformiteitsbeoordeling, corrigerende maatregelen en het kunnen aantonen van naleving aan bevoegde autoriteiten. De High-level summary of the AI Act vat de bijbehorende technische eisen samen: risicomanagement, datagovernance, transparantie, menselijk toezicht, nauwkeurigheid, robuustheid en cyberbeveiliging. De rode draad is dat hoog-risico AI uitlegbaar, traceerbaar en controleerbaar moet zijn — geen ondoorzichtige black box.
Minstens zo belangrijk voor organisaties die AI inkopen in plaats van bouwen: artikel 26 legt verplichtingen op aan gebruikers (deployers). Die moeten bekwaam menselijk toezicht beleggen, de werking monitoren, zorgen voor representatieve invoergegevens, logs bewaren gedurende ten minste zes maanden, en bij een ernstig incident het gebruik opschorten en de autoriteiten informeren. Ook bestaat er een informatieplicht richting werknemers wanneer hoog-risico AI op de werkvloer wordt ingezet.
Deze verdeling verschuift de aandacht van leveranciers naar de organisaties zelf. Banken, advocatenkantoren, ziekenhuizen en publieke instellingen die documentverwerkende AI gebruiken, dragen eigen verantwoordelijkheden voor logging, toezicht en incidentrespons.
De tijdlijn: 2027 en 2028
De verordening kent een gefaseerde invoering. Volgens de Guidelines for providers and deployers of AI high-risk systems van de Europese Commissie gaan regels voor bepaalde hoog-risicogebieden gelden vanaf 2 december 2027, en voor systemen die geïntegreerd zijn in bepaalde gereguleerde producten vanaf 2 augustus 2028. Die data lijken ver weg, maar het opzetten van governance, logging en verificatie in bestaande werkprocessen kost tijd. De jaren richting 2027–2028 zijn daarmee de periode waarin organisaties hun aanpak concreet moeten maken.
Wat dit betekent voor werken met vertrouwelijke documenten
De gemeenschappelijke noemer in artikel 16, artikel 26 en de high-level summary is dat AI-inzet aantoonbaar en herleidbaar moet zijn. Voor professionals die met vertrouwelijke informatie werken komen daar twee dingen bij: de inhoud van documenten is zelf gevoelig, en het resultaat van een AI-antwoord moet controleerbaar blijven.
Op die twee punten is Vera ontworpen als verificatielaag — geen chatbot en geen eigen taalmodel. De Semantic Privacy Shield anonimiseert documenten op EU-infrastructuur voordat de inhoud aan de geselecteerde AI-modellen wordt aangeboden; alleen geanonimiseerde inhoud verlaat die voorbewerking. Dat sluit aan bij het uitgangspunt van datagovernance en gegevensbescherming dat in de verordening centraal staat, zonder dat dit een claim is over volledige AVG-verwerkerscompliance of volledige Europese soevereiniteit.
Voor de controleerbaarheid van uitkomsten laat Vera AI-antwoorden via meerdere modellen verifiëren en maakt die verificatiestappen zichtbaar. Dat elimineert AI-fouten niet en garandeert geen correctheid of waarheid; het verkleint wél het risico dat fouten onopgemerkt blijven, doordat een professional kan zien waar antwoorden uiteenlopen of onderbouwing ontbreekt. Het evidence-spoor maakt bovendien inzichtelijk welke stappen zijn doorlopen — relevant tegen de achtergrond van de logging- en toezichtverplichtingen uit artikel 26.
Tot slot kan een gebruiker via Vera Office documenten bekijken en bewerken in Collabora Online binnen dezelfde beveiligde omgeving. Vera Office bewerkt documenten niet autonoom; de professional houdt de regie. Dat past bij de eis van menselijk toezicht: het eindoordeel blijft altijd bij de mens.
Vooruitkijken
De hoog-risicoregels van de EU AI-Act maken uitlegbaarheid, logging en menselijk toezicht geen extra's, maar bouwstenen van elke serieuze AI-workflow op gevoelige documenten. Of een specifieke toepassing als hoog-risico kwalificeert, vergt per geval een analyse langs artikel 6. Wie nu al werkt met tooling die anonimisering, verificatie en herleidbaarheid ondersteunt, staat er richting 2027–2028 in ieder geval beter voor. De verantwoordelijkheid — en het oordeel — blijven bij de organisatie en de professional zelf.