Toetsingskader AI
funderend onderwijs

Beoordeel stap voor stap of een AI-systeem onder de AI Verordening valt en welke risicoclassificatie van toepassing is.

↓ Download (PDF)

Inleiding

Kansen en kaders van AI in het onderwijs

Artificiële intelligentie (AI) biedt grote kansen voor het onderwijs: van gepersonaliseerd leren en efficiëntere administratie tot innovatieve leermiddelen. Tegelijk brengt AI risico's mee, zoals privacyschendingen, discriminatie door algoritmische vooroordelen en ondoorzichtige besluitvorming die de autonomie van leerlingen en docenten kan aantasten. Om kansen te benutten én risico's te beheersen, is helder inzicht nodig in de verplichtingen en verantwoordelijkheden rond de inzet van AI. De Europese AI-Verordening (AI Act) vormt daarbij het centrale wettelijke kader voor de beoordeling van AI-toepassingen, de risicoclassificatie daarvan en de daaruit voortvloeiende verplichtingen voor leveranciers en scholen.

Het is essentieel dat leveranciers en scholen de AI-Verordening op dezelfde wijze uitleggen en toepassen. Dit Toetsingskader AI voor het funderend onderwijs helpt leveranciers en scholen te beoordelen of AI-systemen voldoen aan wettelijke eisen, zoals de AVG en de AI-Verordening, en of zij ethisch verantwoord en veilig kunnen worden ingezet. Zo borgt de inzet van AI niet alleen innovatie, maar ook de bescherming van grondrechten, gelijkheid en transparantie in het onderwijs. Het toetsingskader helpt vast te stellen of een toepassing van artificiële intelligentie in een ict-systeem of digitaal onderwijsmiddel, zoals digitaal leermateriaal of een leerlingadministratiesysteem, onder de AI-Verordening valt en welke risicoclassificatie daarop van toepassing is.

Het toetsingskader richt zich in eerste plaats op leveranciers. Zij kunnen hiermee, op basis van de AI-Verordening, nagaan of hun ict-systeem met AI onder de nieuwe regels valt, welke risico's dat meebrengt en welke maatregelen nodig zijn om aan de wettelijke eisen te voldoen en risico's voor leerlingen en medewerkers te beperken. Daaruit volgt dat scholen met dit toetsingskader kunnen beoordelen of de leverancier de vereiste maatregelen heeft genomen én welke maatregelen de school zelf nog moet treffen.

Dit Toetsingskader AI voor het funderend onderwijs vertaalt de AI-Verordening naar de Nederlandse onderwijspraktijk. Het kader schept geen nieuwe verplichtingen en biedt partijen een eenduidige uitleg van kernbegrippen uit de AI-Verordening.

Lees verder

AI-Verordening

De AI-Verordening kent een risicogebaseerde benadering voor ict-systemen en software waarin AI wordt toegepast. Afhankelijk van de risicoclassificatie gelden verschillende verplichtingen voor leveranciers en gebruikers. De verordening beoogt innovatie en het gebruik van AI te stimuleren, terwijl tegelijk gezondheid, veiligheid en fundamentele rechten worden beschermd. Of een toepassing onder de AI-Verordening valt, wordt in dit toetsingskader beoordeeld aan de hand van stappen die gebaseerd zijn op de richtsnoeren van de Europese Commissie over de definitie van een AI-systeem.

De AI-Verordening is op 1 augustus 2024 in werking getreden en wordt gefaseerd van kracht: Voor AI-systemen in ontwikkeling geldt dat de verordening volledig in werking treedt op 2 augustus 2026, wat betekent dat deze systemen vanaf die datum aan de voorschriften moeten voldoen. Voor AI-systemen in gebruik die vóór 2 augustus 2026 zijn geïntroduceerd, geldt dat de verordening alleen van toepassing is als ze significante wijzigingen ondergaan, maar voor AI-systemen met een hoog risico, met name die bedoeld voor overheidsgebruik, moeten aanbieders uiterlijk op 2 augustus 2030 aan alle vereisten voldoen, ongeacht ontwerpwijzigingen.

In dit toetsingskader worden de termen aanbieder en leveranciers afwisselend gebruikt: het gaat hierbij om de partij die een AI-systeem ontwikkelt (laat ontwikkelen) en dat systeem in de handel brengt of in gebruik stelt onder eigen naam. Met gebruiksverantwoordelijke worden de schoolbesturen bedoeld, de partij die een AI-systeem onder eigen verantwoordelijkheid gebruikt. Daarnaast kan er een importeur zijn die een AI-systeem van buiten naar binnen de EU importeert. De distributeur is de partij die in de toeleverketen die ene AI-systeem in de EU op de markt aanbiedt.

Voorbehoud en status van dit toetsingskader

Dit toetsingskader is gebaseerd op de stand van zaken tot en met 9 maart 2026. Nieuwe uitleg van de Europese Commissie over hoog risico AI1 en eventuele wijzigingen (zoals uit de Digitale Omnibus2) worden in latere versies verwerkt. Het kader is daarmee nadrukkelijk dynamisch, heeft een voorlopig karakter en wordt, na nieuwe informatie is gepubliceerd, in 2026 door SIVON bijgewerkt.

Het toetsingskader biedt richting voor het funderend onderwijs, maar de individuele beoordeling van een AI-systeem blijft steeds leidend. Het wijst daarom niet categorisch aan welke systemen wel of niet onder de AI-Verordening vallen of welke AI-systemen kwalificeren als hoog risico.

Wat is dit toetsingskader niet?

Dit toetsingskader richt zich op educatieve AI3 in ict-systemen en software voor scholen. Algemene of generatieve AI-modellen4 vallen buiten de primaire focus, tenzij zij in de praktijk worden ingezet als educatieve AI. Het kader gaat over leren mét of ondersteund door AI, niet over leren óver AI (AI-geletterdheid). Ook beoordeelt het niet of de inzet van AI past binnen de visie of het beleid van de school of pedagogisch geschikt is. Daarvoor kan onder meer de Handreiking AI in het onderwijs van Kennisnet worden gebruikt.

Niet elk algoritme valt onder de definitie van een AI-systeem in de zin van de AI-Verordening. Dat een leverancier zijn product als "AI" aanduidt, is dus geen garantie dat de verordening van toepassing is. Dit toetsingskader richt zich primair op AI-systemen die leveranciers in hun producten hebben ingebouwd, niet op losse AI-tools of generatieve taalmodellen zoals Copilot, Claude of ChatGPT (General-Purpose AI, GPAI). Voor die laatste gelden overigens wel aparte verplichtingen in de AI-Verordening.

Een aandachtspunt vormt het gebruik van generatieve AI voor toepassingen die mogelijk onder de hoog-risicocategorieën vallen. In dat geval bestaat de kans dat een school wordt aangemerkt als aanbieder in de zin van de verordening, met de bijbehorende verplichtingen.

Valt een toepassing buiten de AI-Verordening, dan blijven andere kaders, zoals de AVG, cyberveiligheidsregels en onderwijswetgeving onverminderd van toepassing en kunnen algoritmische risico's voor de rechten en vrijheden van betrokkenen nog steeds aan de orde zijn. Soms is een vorm van geautomatiseerde besluitvorming onder omstandigheden geen hoog risico, maar daarop kan wel het verbod van geautomatiseerde besluitvorming (art 22 AVG) van toepassing zijn.

Eigen afweging en ethiek blijft uitgangspunt

Scholen en leveranciers moeten blijven beoordelen of de inzet van AI rechtvaardig, transparant, uitlegbaar en onder menselijke controle plaatsvindt, zonder bias of discriminatie. AI in het onderwijs roept niet alleen juridische en technische, maar ook ethische vragen op. AI moet rechtvaardig, transparant en inclusief worden ingezet, met respect voor de fundamentele rechten en waardigheid van leerlingen en medewerkers. In het bijzonder vraagt dit aandacht voor bias en discriminatie, transparantie en uitlegbaarheid en menselijke controle. De AI-Verordening gaat er van uit dat menselijk toezicht altijd mogelijk blijft.

In bijlage 1 zijn de ethische richtsnoeren voor gebruik van AI in het onderwijs opgenomen, deze geven richting ook voor die gevallen dat er geen sprake is van hoog risico of een AI-toepassing niet onder de AI-Verordening valt.

Opbouw toetsingskader

Het toetsingskader volgt de stappen die nodig zijn om te beoordelen of een AI-systeem onder de AI-Verordening valt en welke verplichtingen daaruit voortvloeien. Achtereenvolgens komen aan bod: de AI-definitie, verboden AI-toepassingen, hoog-risico-AI en de uitzonderingen daarop, en de verplichtingen voor hoog-risico-AI-systemen, leveranciers en scholen.

De bijlagen bieden verdieping op een aantal aangrenzende thema's. Bijlage 1 werkt de ethische richtsnoeren voor AI in het onderwijs verder uit. Bijlage 2 bevat een check voor algoritmen, ook bruikbaar voor systemen die buiten de AI-Verordening vallen. Als laatste zijn in bijlage 3 veelgestelde vragen opgenomen. Tot slot zijn de bronnen en verwijzingen opgenomen in een apart hoofdstuk.

  1. https://ai-act-service-desk.ec.europa.eu/en/faq: The Commission is currently preparing guidelines on the classification of high-risk AI systems, which should be published in February 2026.
  2. https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-ai-regulation-proposal
  3. Educational AI, in: Updated Guidelines on the ethical use of artificial intelligence and data in teaching and learning for educators (Europese Commissie November 2025, updated March 2026)
  4. GPAI: general purpose AI

NB. De informatie op deze website is 1-op-1 overgenomen uit de pdf Toetsingskader AI. Je kunt naar eigen wens de pdf gebruiken of via deze website door de tekst navigeren.

Stap voor stap door het toetsingskader

Doorloop de vier stappen om te bepalen of een AI-systeem onder de AI Verordening valt en welke verplichtingen van toepassing zijn.

A
Valt het AI-systeem onder de AI Verordening? Om te bepalen of een AI-toepassing of ict-systeem met AI, onder de AI-Verordening valt, moet worden voldaan aan de definitie van artikel 3 lid 1 van de AI-Verordening.
Lees verder

"AI-systeem": een op een machine gebaseerd systeem dat is ontworpen om met verschillende niveaus van autonomie te werken en dat na het inzetten ervan aanpassingsvermogen kan vertonen, en dat, voor expliciete of impliciete doelstellingen, uit de ontvangen input afleidt hoe output te genereren zoals voorspellingen, inhoud, aanbevelingen of beslissingen die van invloed kunnen zijn op fysieke of virtuele omgevingen.

Deze definitie is op te delen in zeven aparte onderdelen waarop kan worden getoetst. Als wordt voldaan aan deze zeven criteria, valt de AI-toepassing onder de AI-Verordening en is er sprake van een 'AI-systeem'. Hierbij geldt dat er niet op alle momenten tegelijk aan alle criteria moet worden voldaan: er is de fase van het ontwikkelen van het AI-systeem en de fase van het inzetten van het AI-systeem. Ook moeten de elementen van de definitie niet mechanisch1 worden toegepast maar op basis van de specifieke architectuur en functionaliteit van ieder specifiek systeem.

Het gaat om de volgende zeven criteria:

1 Commission Guidelines on the definition of an artificial intelligence system established by Regulation (EU) 2024/1689 (AI Act), overweging 6.
B
Is sprake van verboden AI-praktijken? Bepaalde AI-praktijken brengen een onaanvaardbaar risico met zich mee voor mensen en de samenleving en zijn daarom verboden
C
Wat is de risicoclassificatie? Bepaal of het systeem een hoog-risico-AI-systeem is
D
Uitzonderingen op hoog-risico Controleer of een uitzondering van toepassing is (art. 6 lid 3) en of transparantieverplichtingen gelden (art. 50).

4. Maatregelen voor hoog-risico-AI-systemen

Als er sprake is van een hoog-risico-AI-systeem, dan moeten de leverancier en de school een aantal maatregelen nemen. Deze maatregelen vallen uiteen in drie categorieën;

  1. eisen aan het systeem,
  2. verplichtingen voor de leverancier,
  3. verplichtingen voor de school.

Er kan hierbij sprake zijn van een wisselwerking. De eisen waaraan het systeem moet voldoen en de verplichtingen die de gebruiksverantwoordelijke heeft hangen namelijk samen met de maatregelen die de leverancier moet nemen.

De AI-Verordening treedt gefaseerd in werking. Voor hoog-risico-AI-systemen als bedoeld in Bijlage III gelden de verplichtingen vanaf 2 augustus 2026. Hoog-risico-AI-systemen die vóór die datum op de markt zijn gebracht of in gebruik zijn genomen, vallen alleen onder de verordening als zij daarna ingrijpend worden gewijzigd. Voor zulke systemen die bedoeld zijn voor gebruik door overheidsinstanties geldt een overgangstermijn tot uiterlijk 31 december 2030.

Eisen voor hoog-risico-AI-systemen

Hoog-risico-AI-systemen moeten aan de volgende eisen voldoen:

  • Algemene conformiteitseis (art. 8): de hoofdregel voor hoog-risico AI-systemen is dat het systeem, gelet op het beoogde gebruik en de stand van de techniek, moet voldoen aan alle hieronder opgenomen eisen (art. 9-15). Deze naleving moet vóór het op de markt brengen of in gebruik nemen aantoonbaar zijn gemaakt via een toepasselijke conformiteitsbeoordeling (art. 43) die de leverancier uitvoert. Daarop volgend stelt de leverancier een EU-conformiteitsverklaring (art. 47) op, en brengt een CE-markering (art 48) aan.
  • Risicobeheersysteem (art. 9): er moet een risicobeheersysteem zijn in de vorm van een continu proces dat de gehele levenscyclus van het AI-systeem bestrijkt, én dat regelmatig wordt geëvalueerd en bijgewerkt. De risicobeheersmaatregelen zijn erop gericht risico's weg te nemen of te beperken. Er moeten tests worden uitgevoerd om naleving en prestaties te waarborgen, waarbij rekening moet worden gehouden met personen jonger dan 18 jaar en kwetsbare groepen. Aanbieders kunnen deze vereisten integreren in bestaande risicobeheerprocessen die voortvloeien uit andere EU-wetgeving.
  • Eisen aan data en data governance (art. 10): de gebruikte datasets moeten onder passende data governance en databeheer vallen. Dit betekent onder meer beoordeling van de herkomst van de data, voorbereiding, beschikbaarheid en geschiktheid van de data, onderzoek naar mogelijke bias, maatregelen om bias te voorkomen of te beperken, en herstel van datagaten of andere tekortkomingen. De datasets moeten, gelet op het beoogde gebruik, relevant, voldoende representatief en zoveel mogelijk foutvrij en volledig zijn, rekening houdend met de context van inzet. Bijzondere persoonsgegevens mogen alleen bij uitzondering en onder strikte voorwaarden worden verwerkt voor biasdetectie en biascorrectie.
  • Technische documentatie (art. 11): technische documentatie moet worden opgesteld vóór het op de markt brengen en actueel worden gehouden. Bevat onder meer: beschrijving van het systeem, ontwerp- en ontwikkelingsproces, risicobeheersysteem, monitoring, validatieresultaten en conformiteitsverklaring. (bijlage IV bij de AI-Verordening bevat de minimumvereisten).
  • Registratie en logging (art. 12): het hoog-risico AI-systeem moet automatisch relevante gebeurtenissen kunnen loggen gedurende de levenscyclus. Die logging moet voldoende traceerbaarheid bieden om risico's te herkennen, post-market monitoring te ondersteunen en de werking van het systeem te controleren. Voor bepaalde biometrische systemen gelden aanvullende minimumeisen voor de inhoud van die logs.
  • Transparantie en informatieverstrekking aan gebruiksverantwoordelijken (art. 13): hoog risico systemen moeten transparant zijn om gebruiksverantwoordelijken in staat te stellen de output van een systeem te interpreteren en op passende wijze te gebruiken en vergezeld gaan van gebruiksinstructies. De instructies moeten bevatten: identiteit van de aanbieder, kenmerken en beperkingen van het systeem, prestatieniveaus, bekende risico's, vereiste menselijk toezicht, verwachte levensduur en onderhoud. Deze transparantie-eis is daarmee inhoudelijk anders dan die van artikel 50.
  • Menselijk toezicht (art. 14): hoog-risico AI-systemen moeten effectief menselijk toezicht mogelijk maken. De gebruiksverantwoordelijke moet het systeem en de beperkingen ervan kunnen begrijpen, de werking kunnen monitoren, afwijkingen kunnen signaleren, output kunnen beoordelen en zo nodig kunnen negeren, overschrijven of het systeem veilig kunnen stoppen. Daarbij moet worden voorkomen dat blind op AI-uitkomsten wordt vertrouwd.
  • Nauwkeurigheid, robuustheid en cyberbeveiliging (art 15): het systeem moet een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging hebben gedurende de levenscyclus. Vereist: consistente prestaties, weerstand tegen fouten/storingen/manipulatie, bescherming tegen vijandige aanvallen (adversarial attacks), en technische redundantie waar nodig.
Verplichtingen voor de aanbieder/leverancier

Aanbieders / leveranciers van AI-systemen met een hoog-risicoclassificatie moeten de volgende maatregelen nemen:

  • AI Geletterdheid (art. 4): aanbieders van AI-systemen (overigens ook bij niet-hoog risico) moeten maatregelen nemen om ervoor te zorgen dat hun personeel en andere personen die namens hen betrokken zijn bij de exploitatie en het gebruik van AI-systemen, over voldoende kennis van AI beschikken. Daarbij moeten zij rekening houden met hun technische kennis, ervaring, opleiding en training, alsook met de context waarin de AI-systemen zullen worden gebruikt en met de personen op wie de AI-systemen zullen worden toegepast.
  • De aanbieder zorgt ervoor dat het hoog-risico AI-systeem voldoet aan de vereisten van artikelen 8–15. Vóór het op de markt brengen of in gebruik nemen moet het systeem de toepasselijke conformiteitsbeoordeling hebben doorlopen.
  • Algemene verplichtingen van aanbieders (art. 16: hoofdartikel): de aanbieder is eindverantwoordelijk voor conformiteit van het hoog risico AI-systeem. Alle verplichtingen uit artikelen 8–15 rusten primair op de aanbieder (zie opsomming hiervoor). Aanbieders vermelden op het AI-systeem met een hoog risico of, wanneer dit niet mogelijk is, op de verpakking of in de bij het product gevoegde documentatie, naargelang het geval, hun naam, geregistreerde handelsnaam of geregistreerd merk en hun contactadres.
  • Kwaliteitsbeheersysteem (art. 17): om naleving van de regelgeving te waarborgen moet de aanbieder een kwaliteitsbeheersysteem opzetten en documenteren. Dit systeem heeft betrekking heeft op het ontwerp, ontwikkeling, testen, risicobeheer en gegevensverwerking. Dit beheersysteem moet procedures omvatten voor monitoring na het in de handel brengen, incidentmelding en communicatie met de autoriteiten. De invoering moet in verhouding staan tot de omvang van de aanbieder en kan worden geïntegreerd in bestaande kwaliteitsmanagementsystemen.
  • Bewaring van technische documentatie (art. 18): de aanbieder bewaart de technische documentatie en de EU-conformiteitsverklaring minimaal 10 jaar na het op de markt brengen van het systeem.
  • Automatisch gegenereerde logs (art. 19): aanbieders moeten automatisch gegenereerde logbestanden ten minste zes maanden bewaren (of zo lang als de toepasselijke wetgeving voorschrijft) om naleving en traceerbaarheid te waarborgen.
  • Corrigerende maatregelen en informatieplicht (art. 20): aanbieders moeten onmiddellijk corrigerende maatregelen nemen als zij vermoeden/vaststellen dat niet voldaan wordt aan de verplichtingen (waaronder het uit de handel nemen, uitschakelen of terugroepen van het systeem) inclusief informeren van distributeurs, gebruikers en autoriteiten over het probleem en de genomen maatregelen. Aanbieders onderzoeken de oorzaken en werken indien nodig samen met de gebruikers en toezichthouders.
  • Samenwerking bevoegde autoriteiten (art. 21): aanbieders moeten op verzoek van een toezichthouder alle benodigde informatie en documentatie verstrekken om aan te tonen dat aan de vereisten van de AI-wet wordt voldaan, en toegang verlenen tot de automatisch gegenereerde logbestanden van het systeem indien daarom wordt verzocht. Verkregen informatie wordt vertrouwelijk behandeld.
  • Conformiteitsbeoordeling (art. 43): aanbieders moeten - voor het in de handel brengen of in gebruik nemen - zelf een (interne) conformiteitsbeoordeling uitvoeren (zonder een aangemelde autoriteit in te schakelen). Bij wezenlijke wijzigingen aan het AI-systeem moet een nieuwe conformiteitsbeoordelingen worden uitgevoerd (tenzij de wijzigingen vooraf zijn vastgesteld en gedocumenteerd).
  • EU-conformiteitsverklaring (art. 47): de aanbieder moet voor elk hoog-risico AI-systeem een EU-conformiteitsverklaring opstellen, bewaren gedurende tien jaar en op verzoek beschikbaar houden voor de bevoegde autoriteiten. In die verklaring moet het betreffende AI-systeem duidelijk zijn geïdentificeerd.
  • CE-markering (art. 48): de aanbieder moet het hoog-risico AI-systeem van een juiste en toegankelijke CE-markering voorzien. Die markering moet schriftelijk machineleesbaar, fysieke of elektronisch ondertekend zichtbaar en duurzaam zijn, zo nodig op verpakking of documentatie, en moet waar relevant ook het nummer van de aangemelde instantie en naleving van andere toepasselijke EU-regels vermelden.
  • Registratie (art. 49): voordat AI-systemen met een hoog risico in de handel worden gebracht of in gebruik worden genomen, moeten aanbieders zichzelf en hun systemen registreren in de EU-databank voor AI-systemen met hoog risico (art 71).
  • Post-market monitoring (art 72): de aanbieder stelt een post-market monitoringssysteem in dat actief gegevens verzamelt over de werking van het systeem na ingebruikname. Dit systeem maakt vroegtijdig ingrijpen mogelijk bij onverwachte risico's.
  • Meldplicht ernstige incidenten (art. 73): aanbieders met een hoog risico melden ernstige incidenten bij de markttoezichtautoriteiten.

De onderstaande artikelen bevatten ketenverplichtingen: verplichtingen voor andere partijen in de AI-waardeketen die de naleving van de aanbiedersverplichtingen moeten ondersteunen, controleren en afdwingbaar maken. Deze verplichtingen zijn van toepassing op andere partijen dan de aanbieders, maar deze regels gaan over de nakoming van de verplichtingen voor de aanbieder:

  • Gemachtigde vertegenwoordiger aanbieder (art. 22): aanbieders van buiten de EU moeten een gemachtigde vertegenwoordiger binnen de EU aanstellen voordat zij hun systemen op de markt brengen. De vertegenwoordiger controleert de nalevingsdocumentatie, bewaart de gegevens gedurende tien jaar en werkt samen met de autoriteiten bij verzoeken en risicobeperking.
  • Importeurs (art 23): importeurs moeten nagaan of het systeem voldoet aan de AI-wet, met inbegrip van conformiteitsbeoordelingen, technische documentatie, CE-markering vergezeld van de EU-conformiteitsverklaring en de aanwijzing van een gemachtigde vertegenwoordiger. Zo niet, dan mag het AI-systeem niet op de markt worden gebracht.
  • Distributeurs (art 24): distributeurs moeten controleren of het systeem voorzien is van de CE-markering, de EU-conformiteitsverklaring en de gebruiksaanwijzing, en of de aanbieders en importeurs aan hun verplichtingen hebben voldaan. Zo niet, dan mag het AI-systeem niet op de markt worden gebracht. Ook zorgen distributeurs voor de juiste opslag- en transportomstandigheden en nemen zij corrigerende maatregelen als zij na het op de markt brengen problemen constateren, waarbij zij de relevante partijen en autoriteiten op de hoogte stellen.
Verplichtingen voor de gebruiksverantwoordelijke/school

Schoolbesturen (gebruikersverantwoordelijke) die gebruik maken van een systeem met een hoog risico-classificatie moeten de volgende maatregelen nemen:

  • Geletterdheid (art. 4): scholen die AI-systemen gebruiken (ook niet-hoog risico) moeten maatregelen nemen om ervoor te zorgen dat hun personeel en andere personen die namens hen betrokken zijn het gebruik van AI-systemen, over voldoende kennis van AI beschikken. Daarbij moeten zij rekening houden met hun technische kennis, ervaring, opleiding en training, alsook met de context waarin de AI-systemen zullen worden gebruikt en met de personen op wie de AI-systemen zullen worden toegepast.
  • Verplichting school als gebruiksverantwoordelijke (art. 26):
    • Gebruiksaanwijzing opvolgen: de school neemt passende technische en organisatorische maatregelen om het systeem te gebruiken in overeenstemming met de gebruiksaanwijzing die de aanbieder heeft verstrekt.
    • Menselijk toezicht organiseren: de school draagt het menselijk toezicht op aan natuurlijke personen die over de nodige bekwaamheid, opleiding en autoriteit beschikken (AI geletterd zijn) en de nodige ondersteuning krijgen.
    • Inputdata controleren: voor zover de school controle heeft over de inputdata, zorgt hij ervoor dat deze relevant en voldoende representatief zijn voor het beoogde doel van het systeem.
    • Monitoring en meldplicht bij risico's en incidenten: de school monitort de werking van het systeem op basis van de gebruiksaanwijzing. Bij risico's stelt hij de aanbieder of distributeur én de markttoezichtautoriteit (art. 72) in kennis en onderbreekt hij het gebruik. Bij een ernstig incident stelt hij onmiddellijk eerst de aanbieder in kennis, en vervolgens de markttoezichtautoriteit.
    • Bewaring van logs: de school bewaart de automatisch gegenereerde logs voor zover deze onder zijn controle vallen, gedurende een passende periode voor het beoogde doel, of ten minste zes maanden, tenzij Unie- of nationaal recht anders bepaalt.
    • Informeren van werknemers: voordat het systeem op de werkplek in gebruik wordt gesteld, informeert de gebruiksverantwoordelijke als werkgever de werknemersvertegenwoordigers en de betrokken werknemers dat zij worden blootgesteld aan het hoog-risico-AI-systeem.
    • Registratieplicht voor overheidsinstanties: gebruiksverantwoordelijken die overheidsinstanties zijn, leven de registratieverplichtingen van artikel 49 na. Indien het systeem niet in de EU-databank is geregistreerd, wordt het systeem niet gebruikt en wordt de aanbieder of distributeur daarvan in kennis gesteld.
    • DPIA uitvoeren: de school gebruikt de informatie van de leverancier over transparantie en informatieverstrekking (art. 13) om te controleren of een DPIA nodig is en voert deze ook uit (artikel 35 AVG).
    • Informeren van betrokkenen: scholen moeten betrokken personen informeren over de hoog-risico-AI-systemen (van Bijlage III) die beslissingen nemen of helpen nemen over natuurlijke personen, alsmede dat die hoog-risico-AI-systemen op hen wordt toegepast.
    • Medewerking aan toezichthouders: scholen werken samen met bevoegde autoriteiten bij alle maatregelen die zij nemen in het kader van de uitvoering van de verordening.
  • Grondrechtenbeoordeling (FRIA; art 27): scholen voeren vóór ingebruikname een beoordeling uit van de gevolgen voor de grondrechten. Deze beoordeling omvat: beschrijving van de processen waarin het systeem wordt gebruikt, periode en frequentie van gebruik, betrokken categorieën personen, specifieke risico's op schade voor die personen, beschrijving van menselijk toezicht, en maatregelen bij het optreden van risico's. NB. SIVON ontwikkelt hiervoor dienstverlening en levert de vereiste modellen.
  • Kennisgeving aan markttoezichtautoriteit (Artikel 27 lid 3): na uitvoering van de grondrechtenbeoordeling stelt de gebruiksverantwoordelijke de markttoezichtautoriteit in kennis van de resultaten, met gebruikmaking van het door het AI-bureau ontwikkelde sjabloon.
  • Samenloop met DPIA (Artikel 27 lid 4): indien de grondrechtenbeoordeling overlapt met een reeds uitgevoerde DPIA op grond van artikel 35 AVG, vormt de FRIA een aanvulling daarop en hoeft het deel waarop de DPIA eerder is uitgevoerd, niet volledig opnieuw te worden uitgevoerd.
  • Scholen moeten als zij kwalificeren als publiekrechtelijke instellingen (of, hoog-risico-AI-systemen registreren in de EU databank (art 71) als zij deze systemen gebruiken (Artikel 49 lid 3).
  • Als de school een hoog-risico-AI-systeem inzet bij besluitvorming, moet deze procedures, verantwoordelijkheden en documentatie zodanig inrichten dat aan betrokkenen op verzoek een duidelijke en betekenisvolle uitleg kan worden gegeven over de rol van het AI-systeem in de besluitvorming en de belangrijkste gronden van het genomen besluit (Artikel 86 lid 1).

Er is discussie of de school moet verifiëren of het AI-systeem een geldige CE-markering en EU-conformiteitsverklaring heeft (art. 26 lid 1) en of de aanbieder/AI-systeem zijn geregistreerd in EU-database (art. 49/71). Deze verplichting zou afgeleid zijn van de verplichting het AI-systeem te gebruiken conform de instructies. Toch is het raadplegen van deze informatie voor gebruik te adviseren omdat de school op basis van deze registraties (of het ontbreken ervan) de verplichtingen van de aanbieder/leverancier kan afleiden.

Fundamental Rights Impact Assessment (FRIA)

Een van de bovengenoemde maatregelen die een schoolbestuur moet nemen is het uitvoeren van een beoordeling van de gevolgen voor de grondrechten van AI-systemen met een hoog risico (art. 27), ook wel Fundamental Rights Impact Assessment (FRIA) genoemd. Voor het primair en voortgezet onderwijs voert SIVON deze namens de scholen uit.

Een FRIA moet specifiek aandacht besteden aan de volgende in de AI-Verordening opgenomen punten:

Lees verder
  1. Beschrijving van het AI-systeem en de gebruikscontext: wat is het beoogde doel, hoe en waar wordt het systeem ingezet, en wie zijn de betrokkenen (leerlingen, docenten, ouders)?
  2. Periode en frequentie van gebruik: hoe lang wordt het systeem ingezet en hoe vaak neemt het beslissingen of ondersteunt het die?
  3. Betrokken personen en groepen: welke categorieën natuurlijke personen ondervinden naar verwachting gevolgen van het gebruik, en zijn er kwetsbare groepen zoals jonge kinderen of leerlingen met een beperking?
  4. Identificatie van specifieke risico's: welke risico's op schade bestaan er voor de onder c) geïdentificeerde groepen? Denk aan bias, discriminatie, onjuiste beoordelingen of uitsluiting.
  5. Menselijk toezicht: hoe is het toezicht ingericht overeenkomstig de gebruiksinstructies van de aanbieder? Wie kan het systeem monitoren, corrigeren of uitschakelen?
  6. Governance en klachtenafhandeling: wat zijn de interne afspraken als een risico zich voordoet, en welke klachtenregeling is beschikbaar voor betrokkenen?

Er zijn modellen in ontwikkeling om te gebruiken. Als het uitvoeren van een FRIA verplicht is, en er is of wordt een DPIA uitgevoerd, dan mag de FRIA daarmee gecombineerd worden.

Transparantieverplichtingen

Transparantie is een voorwaarde om effectief menselijk toezicht op AI-systemen te kunnen uitoefenen. Bij gebruik van AI-systemen die onder de AI-Verordening vallen, moeten gebruikers goed worden geïnformeerd over het gebruik en de risico's van het systeem. Die informatie is relevant voor medewerkers, leerlingen en ouders. Artikel 50 legt daarvoor vier concrete verplichtingen op:

  1. Informeren dat je met AI praat. Wie een AI-systeem inzet dat direct communiceert met mensen, denk aan een chatbot voor leerlingen of ouders, moet die personen informeren dat zij met AI interageren. Dat geldt niet als het overduidelijk is, maar in een onderwijscontext is dat zelden vanzelfsprekend.
  2. Labelen van AI-gegenereerde content. Systemen die tekst, beeld, audio of video genereren moeten hun output machineleesbaar markeren als kunstmatig gegenereerd. Voor scholen die AI inzetten voor het produceren van lesmateriaal of communicatie is dit een technische verplichting die bij de aanbieder ligt, maar waarop de school als deployer moet toezien.
  3. Informeren bij emotieherkenning en biometrische categorisering. Als een school een systeem inzet dat emoties herkent of leerlingen biometrisch categoriseert, moeten de betrokkenen over de werking worden geïnformeerd. Verwerking van persoonsgegevens moet daarnaast voldoen aan de AVG, deze twee verplichtingen lopen dus samen.
  4. Openbaarmaking van deepfakes en AI-tekst voor publieke informatie. Wie AI-gegenereerde of bewerkte content publiceert om het publiek te informeren, bijvoorbeeld via de schoolwebsite of nieuwsbrief, moet duidelijk maken dat die content kunstmatig is gegenereerd. Een uitzondering geldt als de tekst redactionele controle heeft ondergaan en een natuurlijke of rechtspersoon daarvoor verantwoordelijkheid draagt.

De informatieplicht geldt steeds uiterlijk bij het eerste contact of de eerste blootstelling, en moet voldoen aan toegankelijkheidseisen, wat in het onderwijs extra gewicht heeft gezien de diversiteit van de doelgroep.

Bijlagen

De onderstaande bijlagen bevatten aanvullende informatie over ethische richtlijnen, het gebruik van algoritmes buiten de AI-verordening en veelgestelde vragen.

Bijlage 1 — Ethische leidraad voor gebruik AI en data

Mensenrechten en ethiek

Het toetsingskader richt zich vooral op juridische en technische aspecten van AI. Maar het gebruik van AI in het onderwijs brengt niet alleen technische en juridische uitdagingen met zich mee, maar ook ethische verantwoordelijkheden. Gebruikte AI moet veilig zijn en de grondrechten van mensen respecteren. AI kan al snel impact hebben op:

  • Recht op onderwijs (art. 14 Handvest): AI mag geen belemmering vormen voor toegang tot of kwaliteit van onderwijs.
  • Non-discriminatie (art. 21 Handvest): AI-systemen moeten vrij zijn van bias en discriminatie, bijvoorbeeld bij toelating, beoordeling, of tracking.
  • Transparantie en uitlegbaarheid: Leerlingen en ouders moeten begrijpen hoe AI-systemen beslissingen nemen en welke gegevens worden gebruikt.
  • Menselijke tussenkomst: Bij hoog-risicotoepassingen (zoals examens of toelating) moet altijd menselijk toezicht mogelijk zijn.

Uit onderzoeken blijkt namelijk dat 'foute AI' grote impact kan hebben op de levens van mensen. AI kan grote voordelen bieden, maar het brengt ook risico's mee zoals onterechte profilering, manipulatie, discriminatie en verlies van menselijke controle over beslissingen die mensen direct raken.

De verordening introduceert daarom een risicogebaseerd kader: hoe groter het risico op schade, hoe strenger de eisen. Daarmee wil de wetgever innovatie mogelijk houden, maar wel binnen ethische en juridische grenzen die burgers beschermen.

Voor onderwijsinstellingen is dit relevant omdat zij AI inzetten voor kwetsbare groepen (leerlingen) bij wie fouten of misbruik van AI ingrijpende gevolgen kunnen hebben voor hun ontwikkeling en toekomst. Dit betekent dat scholen niet alleen moeten voldoen aan wettelijke eisen (zoals de AI-Verordening en AVG), maar ook actief moeten werken aan bewustwording en kritisch denken over AI-toepassingen. De inzet van AI hangt daarmee nauw samen met ethiek8. Bij de inzet van AI is het daarom verstandig breder te kijken dan alleen dit toetsingskader, en de totale impact van AI. Kennisnet heeft voor scholen een 'Handreiking AI'9 ontwikkelt die scholen helpt bij de inzet van AI, evenals de Waardenwijzer en Ethiekkompas.

Ethische richtlijnen voor leveranciers en scholen

Voor leveranciers en scholen zijn er verschillende ethische afwegingskaders beschikbaar bij het ontwikkelen van educatieve AI en AI-systemen.

Voor ontwikkelaars van AI en AI-systemen zijn de Ethische richtlijnen voor betrouwbare kunstmatige intelligentie10 beschikbaar. Ook als een AI-toepassing niet onder AI-Verordening valt of lijkt te vallen, verdient het aanbeveling deze richtlijnen te volgen. De ethische richtlijnen voor betrouwbare AI beschrijven de belangrijkste principes om ervoor te zorgen dat AI-systemen wettig, ethisch en robuust zijn. Ze benadrukken menselijke zeggenschap, technische veiligheid, privacy, transparantie, eerlijkheid, maatschappelijk welzijn en verantwoordelijkheid bij de ontwikkeling en implementatie van AI. De richtlijnen zijn opgesteld door de High-Level Expert Group van de Europese Commissie.

Bij gebruik van AI staat menselijke controle centraal. Hierbij worden drie vormen onderscheiden:

  1. human-in-the-loop (HITL) beoordeelt een mens elke individuele uitkomst vóórdat die effect heeft. Vergelijkbaar met de menselijke tussenkomst uit art. 22 AVG.
  2. Bij human-on-the-loop (HOTL) handelt het systeem zelfstandig maar monitort een mens de werking en kan ingrijpen, wat aansluit bij het menselijk toezicht uit art. 14 AI Act.
  3. Bij human-in-command (HIC) heeft een mens de strategische regie over de inzet van het systeem als geheel, inclusief de beslissing om het níet te gebruiken.

Dit onderscheid is cruciaal omdat een school kan menen dat "er een mens bij zit" terwijl er in werkelijkheid sprake is van automation bias: iemand klikt op akkoord zonder echt te beoordelen. Dit maakt zichtbaar welk niveau van betrokkenheid een specifiek AI-systeem vereist en of dat in de praktijk ook werkelijk wordt ingevuld. Menselijke tussenkomst is de term van artikel 22 AVG: het is verboden om volledig geautomatiseerd besluiten te nemen die rechtsgevolg hebben of iemand significant raken. Er moet dus een mens zijn die het besluit neemt.

Voor scholen zijn soortgelijke richtlijnen opgesteld11. Deze ethische overwegingen zijn intrinsiek waardevol en begeleiden docenten en schoolleiders bij hun beslissingen over het gebruik van AI-tools en algemene AI-modellen in het onderwijs. Het blijft van wezenlijk belang om bij het inzetten van AI voor leren, lesgeven en beoordelen de risico's en context centraal te stellen. De vijf ethische criteria zijn samengevat:

  • Menselijke waardigheid (human dignity) — AI moet de intrinsieke waarde van iedere persoon respecteren, inclusief privacy, autonomie en menselijke handelingsvrijheid.
  • Billijkheid / eerlijkheid (fairness) — AI moet bijdragen aan gelijke kansen, inclusie, non-discriminatie en een eerlijke verdeling van rechten en verantwoordelijkheden.
  • Vertrouwen / betrouwbaarheid (trust/trustworthiness) — AI moet op een eerlijke, transparante, betrouwbare en privacy-respecterende manier worden ingezet, in het belang van leerlingen en goed onderwijs.
  • Academische integriteit (academic integrity) — AI moet eerlijk en verantwoord worden gebruikt, zonder misleiding, met correcte bronvermelding en met behoud van geldige toetsing en menselijke oordeelsvorming.
  • Gerechtvaardigde keuze (justified choice) — keuzes over AI moeten berusten op kennis, feiten en data, en tot stand komen via transparante, participatieve en uitlegbare besluitvorming.

Verantwoord inzetten van AI in de onderwijspraktijk betekent, zoals door de Europese Commissie benadrukt in de Guidelines on the ethical use of artificial intelligence (Europese Commissie, 2026) ook:

  • Afstemming op onderwijsdoelen: AI moet leerprocessen verrijken en aansluiten bij de visie van de school.
  • Actieve betrokkenheid van stakeholders: Leerlingen, ouders en docenten moeten geïnformeerd en getraind zijn in het gebruik van AI.
  • Kritische reflectie: AI mag nooit de menselijke verantwoordelijkheid vervangen, maar moet worden ingezet als ondersteunend instrument.
Bijlage 2 — Checklist algoritmes

Los van de vraag of de AI-toepassing onder de definitie in en van de AI-Verordening valt, brengt het gebruik van algoritmes (de basis van AI) ook risico's met zich mee. Bij AI-systemen die niet onder de AI-Verordening vallen, is het wel raadzaam om te controleren of het algoritme en gebruik van het AI-systeem veilig (genoeg) is.7

Nr. Principe Toelichting Toelichting voor toetsing
1 Proportionaliteit en 'Do No Harm' (Voorkomen van schade) Het gebruik van AI mag niet verder gaan dan noodzakelijk is voor een legitiem doel. Er moet vooraf een zorgvuldige risicoanalyse plaatsvinden om mogelijke schade voor individuen of groepen te voorkomen. → Is het doel legitiem en proportioneel?
→ Is er vooraf een risicoanalyse gedaan (DPIA / ethische toets)?
→ Zijn maatregelen getroffen om schade te voorkomen?
2 Veiligheid en beveiliging AI-systemen mogen geen onnodige veiligheidsrisico's opleveren en moeten beschermd worden tegen kwetsbaarheden en aanvallen. → Zijn veiligheids- en cybersecurityrisico's in kaart gebracht?
→ Zijn passende beveiligingsmaatregelen genomen?
3 Recht op privacy en gegevensbescherming Privacy moet in alle fasen van de AI-levenscyclus worden beschermd en bevorderd. Er moet een adequaat juridisch en organisatorisch gegevensbeschermingskader bestaan (AVG/UAVG). → Worden beginselen van gegevensminimalisatie, doelbinding en beveiliging toegepast?
→ Is er een DPIA uitgevoerd?
→ Wordt naleving van AVG/UAVG geborgd?
4 Meerdere belanghebbenden en adaptief bestuur Bestuur van AI moet inclusief zijn en de deelname van diverse belanghebbenden mogelijk maken. Internationale normen en nationale soevereiniteit moeten worden gerespecteerd. → Zijn relevante stakeholders betrokken (burgers, experts, onderwijsprofessionals, leerlingen, ouders)?
→ Is governance ingericht op aanpassing bij veranderende risico's?
5 Verantwoordelijkheid en aansprakelijkheid AI-systemen moeten controleerbaar, auditeerbaar en herleidbaar zijn. Er moeten mechanismen bestaan voor toezicht, effectbeoordeling, due diligence en audits om conflicten met mensenrechten en milieuschade te voorkomen. → Is duidelijk wie verantwoordelijk is voor beslissingen en fouten?
→ Zijn audit- en toezichtmechanismen ingericht?
→ Is er documentatie die herleidbaarheid mogelijk maakt?
6 Transparantie en uitlegbaarheid AI-systemen moeten in een mate die past bij de context transparant en uitlegbaar zijn. Er moet rekening worden gehouden met spanningen tussen uitlegbaarheid en andere beginselen (zoals privacy of veiligheid). → Is de werking van het algoritme begrijpelijk uitgelegd (technisch, beleidsmatig, richting betrokkenen)?
→ Is documentatie zoals model cards of datasheets aanwezig?
→ Zijn de beperkingen en aannames van het systeem bekend?
7 Menselijke controle en eindverantwoordelijkheid AI mag menselijke verantwoordelijkheid niet vervangen. Er moet altijd sprake blijven van betekenisvolle menselijke tussenkomst en eindverantwoordelijkheid. → Is er voorzien in menselijke toetsing, override of goedkeuring?
→ Is duidelijk wie de eindbeslissing neemt en aansprakelijk is?
8 Duurzaamheid AI moet worden beoordeeld op zijn impact op duurzame ontwikkeling, in lijn met de VN-doelstellingen voor duurzame ontwikkeling (SDG's). → Is er aandacht voor energieverbruik, milieu-impact en sociale duurzaamheid?
→ Draagt het systeem bij aan duurzame maatschappelijke doelen?
9 Bewustwording en digitale geletterdheid Het publiek moet inzicht krijgen in AI en datagebruik via open en toegankelijke educatie, burgerparticipatie, digitale vaardigheden en AI-ethiektraining. → Is er beleid om gebruikers, personeel en betrokkenen te informeren en te scholen?
→ Is er transparante communicatie over werking en risico's van het systeem?
10 Rechtvaardigheid en non-discriminatie AI moet sociale rechtvaardigheid, eerlijkheid en non-discriminatie bevorderen. De voordelen van AI moeten voor iedereen toegankelijk zijn. → Zijn bias- en discriminatierisico's systematisch getoetst en gemonitord?
→ Worden fairness-principes toegepast in ontwerp en evaluatie?
→ Zijn kwetsbare groepen meegenomen in de impactbeoordeling?
Bijlage 3 — FAQ en aanbevelingen
1. Kan een aanbieder het beoogde doelbewust smal formuleren om hoog-risico-classificatie te vermijden?

Nee. De AI-Verordening sluit dit op meerdere manieren uit.

Ten eerste telt niet alleen het opgegeven beoogde doel, maar ook de functie van het AI-systeem, modaliteiten van gebruik en redelijkerwijs te voorzien misbruik mee (art. 9 lid 2 sub b en overweging 65). Een aanbieder die weet dat scholen een AI-module zullen gaan gebruiken voor overgangsbeslissingen, kan zich niet verschuilen achter de omschrijving "administratieve ondersteuning." Het beoogde doel moet bovendien consistent zijn in alle communicatie: gebruiksinstructies, reclame- en verkoopmateriaal én technische documentatie (art. 3 lid 12).

Ten tweede kijken nationale markttoezichtautoriteiten naar de feitelijke technische werking van het AI-systeem. Als die overeenkomt met een hoog-risicocategorie uit Bijlage III, prevaleert dat boven de opgegeven beschrijving. In dat geval voldoet de leverancier niet aan de verplichtingen voor AI-systemen met een hoog risico.

Ten derde werkt er een vangnet van de ketenverantwoordelijkheid: de school is als gebruiksverantwoordelijke verplicht het AI-systeem in te zetten volgens de gebruiksinstructies. Als de school dat niet doet, en het AI-systeem (dat niet als hoog risico was geclassificeerd) wél voor een hoog-risico-AI-toepassing inzet, dan wordt de school zelf gezien als aanbieder (art. 25) met alle bijbehorende verplichtingen.

Ten slotte is het opzettelijk verkeerd etiketteren, en het verstrekken van onjuiste informatie, onvolledige of misleidende informatie, een zelfstandige overtreding in de AI-Verordening (boetecategorie 15 miljoen euro/3% wereldwijze jaarlijkse omzet respectievelijk 7,5 miljoen euro/1% wereldwijze jaarlijkse omzet).

2. Als docenten AI-tools of generatieve AI zoals ChatGPT, Copilot of Mistral zelf aanpassen voor onderwijstoepassingen, kan de school daardoor zelf als aanbieder van dat AI-systeem worden aangemerkt en is dat een probleem?

Ja, onder omstandigheden. Het enkele gebruik van een bestaande AI-tool zoals ChatGPT, Copilot of Mistral door docenten maakt de school meestal nog geen aanbieder, maar een gebruiksverantwoordelijke. De AI-Verordening kent wel een specifieke bepaling voor situaties waarin een bestaand AI-systeem wordt aangepast voor een nieuw doel: degene die die aanpassing doet, kan worden aangemerkt als aanbieder in de zin van de verordening (art. 25). Omdat de docent in dienst is bij de school, vallen deze activiteiten onder verantwoordelijkheid van de school.

Dit risico is concreet relevant bij het gebruik van generatieve AI (zoals Copilot, Claude of ChatGPT). Wanneer een docent of school een AI-systeem via een systeem-prompt, fine-tuning of geavanceerde inrichting of integratie inricht voor een specifieke toepassing, bijvoorbeeld het beoordelen van huiswerk of toetsen of opstellen van overgangsadviezen, en die toepassing valt onder een hoog-risicocategorie uit Bijlage III, dan kan de school als aanbieder worden aangemerkt. Dat geldt ook bij vibecoding waarbij er op een bestaand AI-platform wordt geprogrammeerd, doorgaans is dat platform niet ingericht op onderwijsspecifieke situaties en risico's.

De school is dan zelf verantwoordelijk voor de conformiteitsbeoordeling, technische documentatie, registratie in de EU-databank en alle overige verplichtingen die normaal bij de oorspronkelijke leverancier liggen. Deze gevolgen voor de school zijn, los van eventuele handhaving en boetes, groot evenals de risico's voor de gezondheid, veiligheid en fundamentele rechten van leerlingen en medewerkers. Uiteraard zal de school niet aan deze verplichtingen kunnen gaan voldoen.

De ketenverantwoordelijkheid geldt ook als de school geen commercieel oogmerk heeft. De verordening kijkt naar de functie en het gebruik, niet naar de juridische of commerciële status van de inzetter.

Let op: het gaat er om dat de school méér doet dan normaal gebruik of lichte configuratie van een AI-systeem, AI-model of generatieve AI (zoals ChatGPT). Zie voor meer toelichting de uitleg in de paragraaf "Verschuiving van aanbiedersverantwoordelijkheid" in het hoofdstuk over hoog-risico-AI.

3. Is een AI-systeem altijd het gehele softwarepakket, of kan het een afzonderlijk onderdeel zijn?

Een AI-systeem kan binnen de AI-Verordening zowel een afgebakend onderdeel van een groter ict- of softwarepakket zijn als het gehele geïntegreerde systeem of softwarepakket (ongeacht of het geïntegreerd is of losgekoppeld functioneert). Dit volgt ook expliciet uit de AI-Verordening zelf: AI-systemen die onderdeel zijn van grootschalige IT-systemen vallen onder de AI-Verordening, ook als het bredere systeem al vóór 2027 op de markt was gebracht. De kwalificatie en verplichtingen kleven aan het juridisch relevante AI-systeem. Dat kan een afgebakende AI-component zijn, maar ook het geïntegreerde geheel, afhankelijk van wat precies op de markt wordt gebracht of in gebruik wordt genomen en met welk beoogd gebruik.

Voor AI-systemen met hoog risico betekent dit het volgende. Als een groter softwarepakket meerdere functies bevat en slechts één afgebakend AI-subsysteem is bedoeld voor bijvoorbeeld beoordeling, toelating of examinering (hoog risico), dan is in beginsel alleen dat AI-subsysteem hoog-risico. De rest van het pakket wordt niet door nabijheid automatisch meegetrokken. De classificatie hangt immers af van de functie, het beoogde gebruik en de modaliteiten van gebruik van het AI-systeem zelf.

Maar als het geïntegreerde geheel als één AI-systeem op de markt wordt gebracht voor een hoog-risicofunctie, of het gebruik van het gehele pakket is verbonden met de AI-module, dan is dat gehele systeem hoog-risico. De scheidslijn loopt dus niet langs de technische grens tussen "hele applicatie" en "module," maar bij de relevante vraag: wát wordt er precies in gebruik genomen, en met welk beoogd doel? Een geïntegreerd systeem kan daarmee als geheel hoog-risico zijn als het beoogde gebruik dat rechtvaardigt.

Voorbeeld: bij de beoordeling van een LAS met AI-functionaliteit is de eerste vraag niet "is dit pakket hoog-risico?" maar "welk AI-systeem of welke AI-component zit hierin, en wat is het beoogde gebruik daarvan?".

Bronvermelding en verantwoording

De totstandkoming van dit Toetsingskader AI voor het funderend onderwijs is mogelijk dankzij subsidie van het ministerie van OCW. De verschillende conceptversies zijn opgesteld in samenwerking en nauwe afstemming met Kennisnet. In verschillende stadia van de ontwikkeling van het toetsingskader heeft overleg en afstemming plaatsgevonden met Edu-V, PO-Raad, VO-raad, NOLAI, NPULS en SURF, alsmede brancheorganisaties van leveranciers MEVW, VDOD en een aantal leveranciers die de (ontwikkeling van) hun producten met SIVON deelden. SIVON is alle partijen erkentelijk voor hun medewerking.

Dit Toetsingskader AI is mede gebaseerd op de inzichten uit de volgende publicaties:

  • VERORDENING (EU) 2024/1689 VAN HET EUROPEES PARLEMENT EN DE RAAD van 13 juni 2024 tot vaststelling van geharmoniseerde regels betreffende artificiële intelligentie en tot wijziging van de Verordeningen (EG) nr. 300/2008, (EU) nr. 167/2013, (EU) nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 en (EU) 2019/2144, en de Richtlijnen 2014/90/EU, (EU) 2016/797 en (EU) 2020/1828 (verordening artificiële intelligentie)
  • Updated Guidelines on the ethical use of artificial intelligence and data in teaching and learning for educators (Europese Commissie November 2025, updated March 5th 2026)
  • Making informed choices on digital education content: EU guidelines for teachers and educators (Europese Commissie, 2025)
  • Richtsnoeren van de Commissie betreffende verboden artificiële-intelligentiepraktijken zoals vastgesteld bij Verordening (EU) 2024/1689 (AI Verordening), Europese Commissie, C2025 5052 final.
  • Commission Guidelines on the definition of an artificial intelligence system established by Regulation (EU) 2024/1689 (AI Act), (EC July 2025)
  • Assessing high-risk artificial intelligence - fundamental rights risks (European Union Agency for Fundamental Rights, 2025)
  • AI Verordening Beslishulp (MinBZK, maart 2026) — aiverordening-beslishulp.apps.digilab.network
  • Tijdlijn AI Verordening Algoritmekader — minbzk.github.io/Algoritmekader
  • European Commission - Questions and answers Artificial Intelligence (EC August 2024)
  • Gids AI-Verordening (versie 1.1 september 2025, Ministerie van EZ)
  • Cloud Sovereignty Framework (ver 1.2.1 Oct 2025)
  • Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679 (wp251rev.01), (EDPB 2018)
  • Navigating the AI Act – FAQ — digital-strategy.ec.europa.eu
  • The AI Board Workshop on High-Risk Classification – Education and vocational training – Annex III Point 3 (EC June 2025)
  • AI Act digital strategy – AI ACT FAQ (EC jan 2026) — digital-strategy.ec.europa.eu
  • Shaping Europe's digital future (EC 2026) — digital-strategy.ec.europa.eu
  • AI Act Service desk FAQ (Oct 2025) — ai-act-service-desk.ec.europa.eu
  • Navigating the AI Act, FAQ, (EC 2026) — digital-strategy.ec.europa.eu

Download het toetsingskader

Het volledige AI Toetsingskader Funderend Onderwijs is beschikbaar als PDF-document. Handig om offline te raadplegen, te delen binnen uw organisatie of als bijlage bij inkooptrajecten.

↓ Download het toetsingskader (PDF)

Versie 1.0 — april 2026 — SIVON & Kennisnet — CC BY 4.0

Colofon

Auteurs
Job Vos (SIVON), Loes van Zuijdam en Wietse van Bruggen (Kennisnet), Arjan Geurts (SIVON)
Met dank aan
MEVW, VDOD, EDU-V, SURF, PO-Raad/VO-raad, NOLAI en NPULS
Versie
1.0 (1 april 2026)
Status
voorlopig

Hoewel aan dit document de uiterste zorg is besteed, aanvaarden SIVON en de auteurs geen aansprakelijkheid voor eventuele fouten, onvolkomenheden en zijn evenmin aansprakelijkheid voor schade van welke aard dan ook, ontstaan uit het (onjuiste) gebruik van dit document.

Het Toetsingskader AI is opgesteld door SIVON en verschijnt onder de licentie Creative Commons Naamsvermelding 4.0 Nederland.

Heb je vragen over dit document? Kijk voor meer informatie op www.sivon.nl of stuur een mail naar ibp@sivon.nl.

Dit Toetsingskader AI is opgesteld door SIVON en mogelijk gemaakt door een bijdrage van het ministerie van OCW.