Skip to content Skip to footer

De AI Act en biometrische identificatie: wat mag er nog?

De AI Act is de Europese verordening die kunstmatige intelligentie reguleert op basis van risico. Biometrie is daarin een van de gevoeligste onderdelen. Sommige toepassingen zijn verboden, andere gelden als hoog-risico, en een deel valt onder een lichter regime. Voor organisaties die identiteiten controleren, zit het verschil in één vraag: identificeer je iemand, of verifieer je iemand?

In het kort

  • De AI Act (ook wel de AI-verordening) deelt AI-toepassingen in naar risico: verboden, hoog-risico, beperkt risico en minimaal risico.
  • Een aantal biometrische praktijken is verboden, zoals het ongericht schrapen van gezichten en real-time gezichtsherkenning in de openbare ruimte.
  • Veel biometrische identificatie geldt als hoog-risico en krijgt strikte eisen.
  • Biometrische verificatie (1-op-1 controleren of iemand is wie die zegt) valt onder een lichter regime dan identificatie (iemand uit een groep herkennen).
  • De regels voor hoog-risico biometrie gaan gefaseerd in, met een belangrijke datum op 2 december 2027.
  • De AI Act geldt ook voor Nederlandse organisaties die zulke systemen gebruiken.

Inhoudsopgave

Wat is de AI Act?

De AI Act is de eerste brede Europese wet over kunstmatige intelligentie. De officiële naam is de AI-verordening. De kern is een risicogebaseerde aanpak: hoe groter het risico van een toepassing voor veiligheid en grondrechten, hoe zwaarder de eisen.

De verordening kent vier niveaus. Bovenaan staan de verboden toepassingen, die een duidelijke bedreiging vormen. Daaronder hoog-risico systemen, die mogen blijven maar onder strikte voorwaarden. Dan beperkt risico, met vooral transparantieplichten. En tot slot minimaal risico, waar de meeste AI-toepassingen onder vallen en geen nieuwe regels gelden.

Biometrie zit niet in één vakje. Afhankelijk van wat een systeem precies doet, kan dezelfde technologie verboden, hoog-risico of relatief licht gereguleerd zijn. Dat maakt het onderwerp lastiger dan een simpele ja-of-nee-vraag.

Hoe behandelt de AI Act biometrie?

Biometrische gegevens zijn kenmerken van je lichaam waarmee je herkenbaar bent: een gezicht, een vingerafdruk, een irispatroon. De AI Act maakt onderscheid tussen drie dingen die je daarmee kunt doen.

Het eerste is biometrische identificatie: uit een groep bepalen wie iemand is, één-op-veel. Het tweede is biometrische categorisatie: mensen indelen op kenmerken, bijvoorbeeld op vermoedelijke afkomst of overtuiging. Het derde is biometrische verificatie: één-op-één controleren of iemand is wie die beweert te zijn.

Die drie worden verschillend behandeld. Categorisatie naar gevoelige kenmerken en bepaalde vormen van identificatie liggen het zwaarst. Verificatie valt onder een lichter regime. Het onderscheid bepaalt of een organisatie zwaar gereguleerd is of niet.

Welke toepassingen zijn verboden of hoog-risico?

Een aantal biometrische praktijken is sinds begin 2025 verboden. Daaronder vallen het ongericht verzamelen van gezichten van internet of camerabeelden om gezichtsdatabases te vullen, het herkennen van emoties op de werkvloer en in het onderwijs, en biometrische categorisatie om gevoelige kenmerken af te leiden. Ook real-time gezichtsherkenning op afstand in de openbare ruimte is in beginsel verboden, met enkele strikt afgebakende uitzonderingen voor opsporing.

Daarboven staat de categorie hoog-risico. Biometrische identificatiesystemen die niet verboden zijn, vallen vaak hierin. Voor die systemen gelden strenge eisen, zoals risicobeheer, kwaliteitseisen aan de gebruikte data, logging, documentatie en menselijk toezicht.

In het kort: “verboden” slaat niet op alle biometrie. Het gaat om toepassingen die mensen volgen, sorteren of op afstand identificeren zonder dat ze het weten. Een vrijwillige controle waarbij iemand zelf zijn identiteit aantoont, is iets heel anders.

Verificatie of identificatie: waarom het verschil telt

Hier zit de kern voor de meeste organisaties. Gezichtsherkenning om iemand uit een menigte te plukken is iets fundamenteel anders dan een gezicht naast een identiteitsdocument leggen om te bevestigen dat het dezelfde persoon is.

Het eerste is identificatie: één-op-veel, vaak zonder dat de betrokkene het doorheeft. Het tweede is verificatie: één-op-één, met medeweten en medewerking van de persoon zelf. Iemand laat een document zien en maakt een selfie, en het systeem controleert of die twee bij elkaar horen. De AI Act behandelt dat verificatie-spoor lichter dan identificatie en categorisatie.

Tip: stel jezelf bij elk biometrisch systeem twee vragen. Werkt het mee met of zonder medeweten van de persoon? En vergelijkt het één-op-één met een document, of zoekt het één-op-veel in een database? De antwoorden plaatsen je meteen in de juiste categorie van de AI Act.

Wat betekent dit in de praktijk?

Voor afdelingen die identiteiten controleren, denk aan HR, finance en de uitzendbranche, verandert er minder dan de krantenkoppen suggereren. Wie een nieuwe medewerker onboardt of een klant verifieert, doet aan verificatie, niet aan surveillance.

Toch betekent het lichtere regime niet “vrijblijvend”. De onderliggende principes van de AI Act, zorgvuldige omgang met data, menselijk toezicht en transparantie naar de betrokkene, zijn ook bij verificatie goede uitgangspunten. Een organisatie die kan onderbouwen hoe een controle is verlopen en wie wat heeft gezien, staat steviger.

Dat raakt direct aan hoe je ID Verificatie inricht. Een controle waarbij een document en een Digital ID tegen elkaar worden gehouden, met een sluitend dossier eronder, is precies de zorgvuldige vorm die past bij de geest van de verordening. Voor wie biometrie inzet om fraude tegen te gaan, helpt het om identiteitsfraude voorkomen en correcte verificatie als één geheel te zien. In sectoren als Human Resources en Finance is dat onderscheid tussen netjes verifiëren en mensen volgen het verschil tussen werkbaar en risicovol.

Wanneer gelden de regels?

De AI Act is op 1 augustus 2024 in werking getreden en wordt gefaseerd van toepassing. De verboden praktijken gelden sinds 2 februari 2025. De regels voor algemene AI-modellen volgden in augustus 2025.

Voor biometrie als hoog-risico toepassing is de relevante datum 2 december 2027. Vanaf dat moment gelden de eisen voor hoog-risico systemen in onder meer biometrie (bron: Europese Commissie). Organisaties hebben dus tijd, maar het loont om nu al te weten in welke categorie je toepassingen vallen.

Hoe DataChecker helpt

DataChecker richt zich op identiteitsverificatie, niet op surveillance. Het platform ondersteunt organisaties bij het controleren van documenten en het vastleggen van wie wat heeft geverifieerd, met menselijk toezicht waar dat nodig is.

Dat is bewust het verificatie-spoor: één-op-één bevestigen dat iemand is wie die zegt te zijn, met medeweten van de persoon en met een dossier dat je achteraf kunt onderbouwen. DataChecker maakt een organisatie niet automatisch “AI-Act-proof”, maar helpt de controle zo in te richten dat ze aansluit bij de principes van de verordening.

Vraag een demo aan en ontdek hoe ID Verificatie van DataChecker werkt.

Laatst bijgewerkt: juni 2026. Deze pagina volgt de stand van zaken zoals gepubliceerd door de Europese Commissie.

Lees ook: Wat is biometrische verificatie en hoe werkt het?

veelgestelde vragen

Veelgestelde vragen over de AI Act en biometrie.

Wat is de AI Act in het kort?

De AI Act is de Europese verordening die AI reguleert op basis van risico. Hoe groter het risico voor veiligheid en grondrechten, hoe strenger de eisen. De wet kent vier niveaus, van verboden tot minimaal risico.

Ja, maar niet elke vorm op dezelfde manier. Real-time gezichtsherkenning op afstand in de openbare ruimte is in beginsel verboden. Andere vormen van gezichtsherkenning kunnen hoog-risico zijn of, bij één-op-één verificatie, onder een lichter regime vallen.

Nee. Verificatie, waarbij iemand met medeweten een document en een biometrisch kenmerk tegen elkaar laat houden, valt onder een lichter regime dan identificatie of categorisatie. Het is geen verboden praktijk.

Identificatie is één-op-veel, verificatie is één-op-één. Identificatie bepaalt wie iemand is binnen een groep, vaak zonder medeweten. Verificatie bevestigt of iemand is wie die zegt, met medewerking van de persoon zelf.

De eisen voor hoog-risico biometrie gelden vanaf 2 december 2027. De verboden praktijken golden al eerder, vanaf 2 februari 2025.

Voor reguliere identiteitscontrole bij onboarding verandert er weinig. Dat is verificatie, niet surveillance. Wel blijven zorgvuldige omgang met data, menselijk toezicht en transparantie naar de betrokkene goede uitgangspunten.

Ja. De AI Act is een Europese verordening en geldt rechtstreeks in alle lidstaten, dus ook voor Nederlandse organisaties die onder de wet vallende systemen ontwikkelen of gebruiken.

Go to Top