EU AI Act artikel 4 voor mid-market: Wat je echt moet doen

EU AI Act artikel 4 is over "high-risk" AI-systemen. Sinds februari 2024 officieel van kracht. Voor mid-market bedrijven: wat raakt je werkelijk, en wat is regulatory theater?

Wat is artikel 4 eigenlijk

Artikel 4 zegt: AI-systemen in bepaalde domeinen (recruitment, krediet, veiligheid) zijn "high-risk" en moeten voldoen aan strikte eisen.

High-risk AI domeinen:

• Recruitment (CV-filtering)
• Krediet (lening-beslissing)
• Arbeidsomstandigheden monitoring
• Strafrechtshandhaving & veiligheid
• Identificatie via biometrie
• Essentiële diensten

Voor meeste mid-market: recruitment is relevant.

Alles ander: waarschijnlijk niet.

Artikel 4 eisen (samengevat)

Voor high-risk systemen moet je:

1. Risk assessment: wat kan fout gaan?
2. Training data documenten: waar komt trainingsdata vandaan?
3. Human oversight bouwen: kan mensen nog ingrijpen?
4. Testing en validatie: werkt het op alle relevante groepen?
5. Logging: kan je bewijzen wat je deed?
6. Transparency: moet gebruiker weten dat AI beslist?

Dit voelt zwaar. Maar voor mid-market in praktijk?

Recruitment als voorbeeld

Je wilt CV's filteren met AI.

Artikel 4 zegt:

• Test of je AI bias heeft tegen vrouwen / bepaalde leeftijdsgroepen / bepaalde nationaliteiten
• Zorg dat een mens de AI-beslissing nog kan overrullen
• Log wat de AI deed
• Vertel kandidaat dat AI was betrokken

In praktijk:

• Bias-test: 100 CV's handmatig in, vergelijk AI-score met expert-score. Verschillen > 5%? Fix je data
• Human oversight: AI rankt top-10, recruiter kiest top-3. Niet "AI beslist"
• Logging: sla je AI-score op per CV. Later kan je nakijken
• Transparency: zeg "we gebruiken AI-screening" in je vacature

Dit is 2-3 dagen werk. Niet 3 maanden.

De rest van artikel 4 voor mid-market

Krediet-besluiten: voelt relevant, maar meeste bedrijven doen dit niet (banken wel).

Veiligheid/strafrecht: tenzij je overheid bent, niet relevant.

Biometrie: tenzij je gezichtsherkenning op kantoor zet, niet relevant.

Essentiële diensten: tenzij je infra bent (elektriciteit, water, internet), niet relevant.

Wat veel bedrijven verkeerd doen

Fout 1: Denken dat artikel 4 al overal van toepassing is

Artikel 4 = high-risk. De meeste AI die bedrijven gebruiken is laag-risk:

• Chatbot op website: laag-risk
• Automatische email-triage: laag-risk
• Documentanalyse met OCR: laag-risk
• Prognose-model voor voorraden: laag-risk
• Recruitment-filter: HIGH-risk

Enkel voor high-risk hoef je artikel 4 na te leven.

Fout 2: "We hebben een data scientist, klaar"

Artikel 4 vereist documentatie en testing. Dit is niet: "laat de data scientist testen". Dit is:

• Schriftelijk risk assessment
• Gelogde test-resultaten
• Compliance checklist
• Proof dat humans kunnen overrullen

Dit is governance, niet science.

Fout 3: "We kopen een compliance tool"

Er zijn bedrijven die "artikel 4 compliantie" verkopen. Dit is overkill voor mid-market.

Je hebt:

• Google Doc met risk assessment (1 pagina)
• Test resultaten in Excel (1 blad)
• Logboek van wie keurt af (Firestore of database)

Klaar. Geen tool nodig.

Stap-voor-stap als je recruitment-AI gebruikt

Week 1: Bepaal je scope

Filteren jullie CV's met AI? Ja / Nee.

Als ja: artikel 4 relevant. Als nee: ga verder met je leven.

Week 2: Risk assessment schrijven

1 pagina. Vragen:

• Wat kan fout gaan? (bias, false negatives)
• Hoe ernstig? (jobscheiding, minder goede kandidaat)
• Hoe voorkomen? (diverse trainingsdata, human review)

Klaar.

Week 3: Bias-test

100 CV's handmatig reviewed door recruiter. Run dezelfde door je AI. Score beide.

Check:

• Verschil in scores tussen vrouw/man > 5%?
• Verschil tussen leeftijdsgroepen > 5%?
• Verschil tussen nationaliteiten > 5%?

Uitkomst: "Geen significante bias gevonden in groepering X/Y/Z."

Klaar.

Week 4: Human oversight

Zet je systeem in:

CV input → AI score → Top-10 list → Recruiter picks top-3 → Beslissing

Niet: "AI automatisch aannemen ja/nee".

Altijd: "AI helpt, mens beslist".

Week 5: Logging

Voor elke CV sla je op:

• CV ID
• AI score + timestamp
• Recruiter choice (aangenomen / afgewezen)
• Reason (if rejected)

Dit is Firestore of gewone database.

Week 6: Documenteer alles

1 document: "Artikel 4 compliance assessment: Recruitment AI"

Inhoud:

• Risk assessment (week 2)
• Bias test results (week 3)
• Systeem diagram (week 4)
• Logging schema (week 5)
• Sign-off door management

Klaar.

Wie checkt dit eigenlijk

Europese regelgevers zijn nog bezig met enforcement. In praktijk:

• Klanten kunnen ernaar vragen (vooral grote bedrijven)
• Auditors leggen het vast bij compliance-checks
• Banken kunnen het eisen bij leningen voor AI-investeringen
• Verzekeraars zien het mee

Dit is niet "politie staat voor je deur". Maar het telt mee.

Tl;dr voor mid-market

Artikel 4 raakt je als je recruitment-AI gebruikt. Dan moet je:

1. Documenteren hoe je AI werkt
2. Testen op bias
3. Zorgen dat mensen kunnen overrullen
4. Alles loggen

Dit is 3-4 weken werk. Niet een project-plan.

Doen het nu, terwijl niemand streng is. Later is het harder.

Tags: EU AI Act, compliance, artikel 4, recruitment, risk assessment...