Stats
Actions
Tags
Help us improve
Share bugs, ideas, or general feedback.
From ai-governance
Helpt bij het beoordelen van AI-systemen op naleving van de EU AI Act (Verordening 2024/1689). Classificeert AI-systemen in risicocategorieën, checkt verplichte documentatie (technische documentatie, conformiteitsbeoordeling, risicomanagement), genereert EU AI Act compliance checklists, en adviseert over governance-structuren voor hoog-risico AI-systemen. Integreert met BIO2, IAMA en NORA voor Nederlandse overheidscontext. Gebruik deze skill wanneer de gebruiker vraagt over 'EU AI Act', 'AI-verordening', 'AI governance', 'AI compliance', 'algoritme toezicht', 'AI risicoclassificatie', 'hoog risico AI', 'conformiteitsbeoordeling AI', 'AI transparantie', 'AI documentatieplicht', 'FRIA', 'fundamental rights', 'AI toezichthouder', 'AI autoriteit', 'AI sandbox', 'IAMA', 'algoritmerisico', 'discriminatie AI', 'bias AI', 'AI uitlegbaarheid', 'AI transparantie', 'menselijk toezicht AI', 'human-in-the-loop AI', 'AI kwaliteitsmanagement', 'AI incident melden', 'notified body AI', 'CE-markering AI', of wanneer de gebruiker een AI-systeem wil laten voldoen aan de EU AI Act.
npx claudepluginhub djimit/ai-governanceHow this skill is triggered — by the user, by Claude, or both
Slash command
/ai-governance:ai-governancesonnetThis skill is limited to the following tools:
The summary Claude sees in its skill listing — used to decide when to auto-load this skill
Toets AI-systemen aan de EU AI Act (Verordening 2024/1689). De AI Act is van kracht sinds 1 augustus 2024 met gefaseerde inwerkingtreding:
Guides Next.js Cache Components and Partial Prerendering (PPR): 'use cache' directives, cacheLife(), cacheTag(), revalidateTag() for caching, invalidation, static/dynamic optimization. Auto-activates on cacheComponents: true.
Processes PDFs: extracts text/tables/images, merges/splits/rotates pages, adds watermarks, creates/fills forms, encrypts/decrypts, OCRs scans. Activates on PDF mentions or output requests.
Share bugs, ideas, or general feedback.
Toets AI-systemen aan de EU AI Act (Verordening 2024/1689). De AI Act is van kracht sinds 1 augustus 2024 met gefaseerde inwerkingtreding:
Bron: EU AI Act full text | AI Act Regulatory Timeline
Is het AI-systeem verboden onder Art. 5?
├── Ja → ONAANVAARDBAAR RISICO (verboden)
└── Nee
└── Valt het onder Annex III (hoog-risico use cases)?
├── Ja → HOOG RISICO (Art. 6 + Annex III)
└── Nee
└── Is het een GPAI-model met systemisch risico?
├── Ja → SYSTEMISCH RISICO (Art. 51-55)
└── Nee
└── Interageert het direct met natuurlijke personen?
├── Ja → BEPERKT RISICO (transparantieplicht Art. 50)
└── Nee → MINIMAAL RISICO (vrijwillige codes of practice)
| Praktijk | Kenmerken |
|---|---|
| Subliminale manipulatie | Technieken onder het bewustzijn die gedrag wezenlijk verstoren |
| Manipulatie van kwetsbaren | Uitbuiting van kwetsbaarheden door leeftijd of handicap |
| Social scoring | Classificering van natuurlijke personen op basis van sociaal gedrag (zowel publiek als privaat) |
| Individuele risicovoorspelling | Profiling om crimineel gedrag te voorspellen op basis van persoonlijkheidskenmerken (uitzondering: objectieve feiten met menselijke beoordeling) |
| Gezichtsdatabases scrapen | Ongerichte scraping van internet/CCTV voor gezichtsherkenningsdatabases |
| Emotieherkenning | Op werkplek (uitzondering: medisch/veiligheid) en in onderwijs |
| Biometrische categorisatie | Op basis van gevoelige kenmerken (ras, politiek, religie, seksueel) — met uitzonderingen voor wetshandhaving |
| Real-time biometrische identificatie | In publieke ruimten voor wetshandhaving (beperkt: vermiste personen, terreurdreiging, ernstige misdrijven, met rechterlijke toestemming) |
Annex III use cases — altijd hoog risico:
| Domein | Use case |
|---|---|
| Biometrie (excl. verboden) | Biometrische identificatie op afstand (niet real-time), biometrische categorisatie (niet-gevoelig), emotieherkenning (buiten verbod) |
| Kritieke infrastructuur | Veiligheidscomponenten in beheer en aansturing van kritieke digitale infrastructuur, wegverkeer, water, gas, warmte, elektriciteit |
| Onderwijs | Toelating tot onderwijsinstellingen, toewijzing aan opleidingen, evaluatie van leerresultaten |
| Werkgelegenheid | Werving en selectie, prestatiebeoordeling, promotiebeslissingen, taaktoewijzing op basis van AI, beëindiging arbeidsrelatie |
| Essentiële diensten | Toegang tot publieke diensten, kredietwaardigheidsbeoordeling, risicobeoordeling levens-/ziektekostenverzekering |
| Wetshandhaving | Recidiverisicobeoordeling, leugendetectie, bewijsmateriaalanalyse, voorspelling van strafbare feiten (uitzondering: verboden profiling) |
| Migratie | Asiel- en visumbeoordeling, grenscontrole, risicobeoordeling irreguliere migratie |
| Rechtspraak | Rechtsfeitelijk onderzoek, interpretatie van rechtsregels, toepassing van recht |
| Democratische processen | Potentieel beïnvloeden van verkiezingsuitslagen of stemgedrag (uitzondering: informatievoorziening aan kiezers) |
Art. 6(1) — productveiligheidslijn: AI als veiligheidscomponent in producten onder EU-harmonisatiewetgeving (machines, medische hulpmiddelen, speelgoed, liften, radioapparatuur, etc.) die een derdepartij conformiteitsbeoordeling vereisen.
Uitzondering op hoog-risico classificatie (Art. 6(3)): Een AI-systeem is GEEN hoog risico, ook al valt het onder Annex III, indien het:
MAAR: profiling maakt deze uitzondering ongeldig.
Continue, iteratief proces gedurende de hele levenscyclus:
| Stap | Vereiste |
|---|---|
| Risico-identificatie | Bekende en redelijkerwijs voorzienbare risico's in kaart brengen bij gebruik conform bestemming én redelijk voorzienbaar misbruik |
| Risico-analyse | Impact op gezondheid, veiligheid en grondrechten schatten; waarschijnlijkheid en ernst bepalen |
| Risico-evaluatie | Vergelijken met bestaande risico's zonder AI; bepalen of resterende risico's aanvaardbaar zijn |
| Risicobeperking | Passende maatregelen treffen voor elk geïdentificeerd risico; resterende risico's documenteren |
| Testprocedures | Testen voor gebruik in de markt brengen en na elke significante wijziging |
| Eisen voor training, validatie en test datasets |
|---|
| Relevante datagovernance- en beheerpraktijken |
| Onderzoek op bias die kan leiden tot discriminatie |
| Relevant, representatief, foutloos en compleet (zo veel mogelijk) |
| Rekening houden met geografische, contextuele en gedragskenmerken van de inzetomgeving |
| Verwerking van bijzondere persoonsgegevens voor bias-detectie onder strikte waarborgen |
Moet aantonen dat aan alle eisen is voldaan. Minimaal bevatten:
Hoog-risico AI-systemen moeten vergezeld gaan van een gebruiksinstructie met:
Doel: risico's voorkomen of minimaliseren. De gebruiksinterface moet natuurlijke personen in staat stellen:
| Eis | Detail |
|---|---|
| Nauwkeurigheid | Gepast niveau van nauwkeurigheid, robuustheid en cyberbeveiliging; consistente prestaties |
| Robuustheid | Weerbaar tegen fouten, foute of onverwachte input, en pogingen tot manipulatie |
| Back-up plannen | Fail-safe plannen voor technische kwetsbaarheden |
| Cyberbeveiliging | Bescherming tegen pogingen om het systeem te veranderen via 'data poisoning', adversarial examples, model poisoning, etc. |
| Zelflerend | Bij zelflerende systemen: specifieke maatregelen om bias-feedbackloops te voorkomen |
Transparantieverplichting voor AI-systemen die interacteren met natuurlijke personen:
| Systeem | Verplichting |
|---|---|
| Directe interactie met personen | Natuurlijke personen informeren dat ze met een AI-systeem interacteren (tenzij duidelijk uit de context) |
| Synthetische content | Output van AI die audio, beeld, video of tekst genereert die op echte personen/content lijkt, moet als kunstmatig worden gemarkeerd |
| Deepfakes | Extra markeringseisen; vrijgave van bestaan deepfakes |
| Emotieherkenning/biometrie | Informeren over de werking van het systeem aan de blootgestelde personen |
Algemene AI-modellen met systemisch risico (>10^25 FLOPs cumulatief):
| Rol | Definitie | Kernverplichtingen |
|---|---|---|
| Aanbieder (Art. 2(2)) | Ontwikkelt AI-systeem of laat ontwikkelen en brengt op de markt | Volledige compliance, CE-markering, conformiteitsverklaring, EU-databank registratie |
| Gebruiksverantwoordelijke (deployer) (Art. 2(4)) | Gebruikt AI-systeem in professionele context (niet particulier, niet de aanbieder) | Menselijk toezicht waarborgen, inputdata relevant en representatief houden, monitoring, incidenten melden, FRIA uitvoeren |
| Importeur (Art. 2(5)) | Brengt AI-systeem uit derde land op EU-markt | Verificatie dat aanbieder voldoet aan alle verplichtingen, naam en adres op systeem |
| Distributeur (Art. 2(6)) | Maakt AI-systeem beschikbaar op EU-markt (niet aanbieder, niet importeur) | Verificatie CE-markering en documentatie; niet beschikbaar stellen bij niet-compliance |
| Gemachtigde (Art. 2(3)) | Namens niet-EU aanbieder in de EU | Volledige compliance namens aanbieder; documentatie 10 jaar bewaren |
Let op: De gebruiksverantwoordelijke van een hoog-risico AI-systeem heeft de plicht tot het uitvoeren van een Fundamental Rights Impact Assessment (FRIA) volgens Art. 27.
Gebruiksverantwoordelijken (deployers) van hoog-risico AI moeten:
| Stap | Vereiste |
|---|---|
| 1. Procesbeschrijving | Het proces waarin het AI-systeem wordt gebruikt vastleggen |
| 2. Gebruiksperiode en frequentie | Periode en frequentie van AI-gebruik bepalen |
| 3. Getroffen personen | Categorieën van natuurlijke personen en groepen die geraakt kunnen worden |
| 4. Risico-analyse | Specifieke risico's voor grondrechten uit Art. 9 |
| 5. Menselijk toezicht | Te treffen maatregelen voor menselijk toezicht volgens instructies |
| 6. Mitigerende maatregelen | Te treffen maatregelen bij materialisatie van risico's |
FRIA-resultaten moeten aan de AI-autoriteit worden gemeld (via formulier).
Uitzonderingen: MKB-bedrijven (klein/micro); uitzondering geldt NIET voor overheidsinstanties, ook niet kleinere gemeenten!
Voor overheidsorganisaties die AI-systemen gebruiken:
Nieuw sinds 2 februari 2025: Iedereen die AI-systemen gebruikt of erop toezicht houdt moet voldoende AI-geletterdheid bezitten. Voor organisaties:
Elke lidstaat moet minimaal één nationale toezichthoudende autoriteit aanwijzen. In Nederland wordt dit naar verwachting een nieuwe AI-autoriteit (niet de AP).
Bevoegdheden: markttoezicht, documentatie opvragen, testen uitvoeren, systemen van de markt halen, sancties opleggen.
| Overtreding | Maximale boete |
|---|---|
| Verboden AI-praktijken | €35 miljoen of 7% van wereldwijde jaaromzet (hoogste) |
| Andere inbreuken op AI Act | €15 miljoen of 3% |
| Verstrekken van onjuiste informatie | €7,5 miljoen of 1.5% |
| Unierecht voor MKB/startups | Laagste van de twee bedragen |
Lidstaten moeten AI-regulatory sandboxes opzetten voor gecontroleerd testen van innovatieve AI. De nationale AI-autoriteit houdt toezicht en geeft begeleiding over compliance.
Bij AI-systemen in overheidscontext moet ook het IAMA (Impact Assessment Mensenrechten en Algoritmes) worden doorlopen. De FRIA en IAMA overlappen:
| Aspect | FRIA (AI Act) | IAMA (NL) |
|---|---|---|
| Doel | Grondrechten-effecten AI | Integrale algoritme-effecten |
| Reikwijdte | Hoog-risico AI only | Alle overheidsalgoritmen |
| Diepgang | Gebruik bij specifiek proces | Gehele levenscyclus |
| Verplicht | Ja, voor deployers | Ja, voor overheid |
| Meldplicht | Aan AI-autoriteit | Aan controller/eigenaar |
Praktijkadvies: Voer de IAMA uit als hoofdproces en documenteer FRIA-specifieke elementen apart — overlap is groot genoeg om niet dubbel te starten.