EUAI Act EU

Provider (Aanbieder): Verplichtingen onder de AI Act

·3 min leestijd

De provider (aanbieder) is de partij die een AI-systeem ontwikkelt of op de markt brengt. Deze rol draagt de meeste verantwoordelijkheden onder de AI Act.

Definitie: Wie is provider?

Volgens Artikel 3(3) is een provider (aanbieder) een natuurlijke of rechtspersoon die:

  1. Een AI-systeem ontwikkelt of laat ontwikkelen, EN
  2. Het op de markt brengt of in gebruik stelt onder eigen naam of merk

Beslisregel

Als je een AI-systeem ontwikkelt (intern of uitbesteed) en het op de markt brengt onder jouw naam, dan ben je provider en draag je alle provider-verplichtingen.

Als je een bestaand systeem koopt en het significant wijzigt of onder eigen naam verkoopt, dan word je ook provider.

Kernverplichtingen provider

Voor alle AI-systemen

  • Zorg dat het systeem voldoet aan alle toepasselijke eisen
  • Breng geen verboden AI-systemen op de markt
  • Voldoe aan transparantieverplichtingen

Specifiek voor hoog-risico AI

  1. Kwaliteitsmanagementsysteem implementeren
  2. Risicobeheer uitvoeren
  3. Technische documentatie opstellen
  4. Logging mogelijk maken
  5. Conformiteitsbeoordeling uitvoeren
  6. CE-markering aanbrengen
  7. EU database registratie
  8. Gebruiksinstructies verstrekken

Praktijkvoorbeeld

Een Nederlands fintech-bedrijf ontwikkelt een AI-systeem voor kredietscoring. Als provider moet het bedrijf vóór lancering: risicobeoordeling uitvoeren, technische documentatie opstellen, een conformiteitsbeoordeling doen, het systeem registreren in de EU database, en deployers voorzien van uitgebreide gebruiksinstructies.

Kwaliteitsmanagementsysteem (Art. 17)

Providers van hoog-risico AI moeten een QMS implementeren met:

  • Strategie voor regelgevingsconformiteit
  • Ontwerp en ontwikkelingsprocessen
  • Kwaliteitsborging procedures
  • Documentatiebeheersysteem
  • Correctieve actieprocedures
  • Post-market monitoring

Template: QMS componenten

## Kwaliteitsmanagementsysteem AI Act

### 1. Organisatie & Governance
- Compliance officer aangesteld
- Rapportagelijnen gedefinieerd
- Verantwoordelijkheden vastgelegd

### 2. Ontwikkelprocessen
- Design requirements gedocumenteerd
- Code review procedures
- Testprotocollen

### 3. Data Management
- Data governance beleid
- Bias monitoring
- Data quality controls

### 4. Documentatie
- Versiebeheer
- Wijzigingslogboek
- Archivering

### 5. Monitoring & Verbetering
- Incidentenprocedure
- Correctieve acties
- Continue verbetering

Post-market monitoring (Art. 72)

Als provider moet je een post-market monitoring systeem opzetten om:

  • Prestaties te monitoren gedurende levensduur
  • Incidenten te identificeren
  • Correctieve maatregelen te nemen
  • Toezichthouders te informeren bij ernstige incidenten

Meldplichten

Ernstige incidenten (Art. 73)

Bij ernstige incidenten moet je:

  1. Direct onderzoeken wat er is gebeurd
  2. Melden aan de markttoezichtautoriteit binnen termijn
  3. Corrigerende maatregelen nemen
  4. Samenwerken met autoriteiten

Template: Incident rapportage

## Incident Rapport AI Systeem

Datum incident: [DATUM]
Systeem: [NAAM]
EU Database ID: [ID]

### Beschrijving incident
[Wat is er gebeurd]

### Impact
[Wie/wat is geraakt]

### Oorzaakanalyse
[Waarom is het gebeurd]

### Corrigerende maatregelen
[Wat is ondernomen]

### Preventieve maatregelen
[Hoe wordt herhaling voorkomen]

Checklist provider compliance

  • AI-systemen geïnventariseerd en geclassificeerd
  • Kwaliteitsmanagementsysteem geïmplementeerd (hoog-risico)
  • Risicobeheer uitgevoerd per systeem
  • Technische documentatie opgesteld
  • Conformiteitsbeoordeling uitgevoerd
  • CE-markering aangebracht
  • EU database registratie voltooid
  • Gebruiksinstructies verstrekt aan deployers
  • Post-market monitoring systeem actief
  • Incidentenprocedure geïmplementeerd
  • Gemachtigde aangesteld (indien buiten EU)

Bronnen

Changelog:

  • 12 januari 2026 - Eerste publicatie

Veelgestelde vragen

Je bent provider als je een AI-systeem ontwikkelt en op de markt brengt, of als je een bestaand systeem onder eigen naam of merk op de markt brengt, of als je een AI-systeem significant wijzigt.
Als je het systeem ongewijzigd doorverkoopt onder de oorspronkelijke naam, ben je distributeur. Maar als je het onder eigen naam verkoopt of significant wijzigt, word je provider.
Ja, gedeeltelijk. Je kunt bepaalde taken contractueel delegeren aan andere partijen, maar je blijft als provider eindverantwoordelijk voor compliance.

Gerelateerde onderwerpen

provideraanbiederrollenverplichtingencomplianceconformiteit

Gerelateerde artikelen

Rol

Deployer (Gebruiker): Verplichtingen onder de AI Act

De deployer is de partij die een AI-systeem onder eigen verantwoordelijkheid in gebruik neemt. Als gebruiker van AI heb je eigen verplichtingen onder de AI Act.

Lees meer
BegripHoog risico

CE-markering

De CE-markering geeft aan dat een hoog-risico AI-systeem voldoet aan alle eisen van de AI Act. Het is verplicht voordat je het systeem op de EU-markt mag brengen.

Lees meer
Pillar pagina

Boetes & Handhaving onder de AI Act

De AI Act kent zware boetes: tot €35 miljoen of 7% van de wereldwijde jaaromzet. Dit overzicht toont alle boetecategorieën, wie handhaaft, en hoe je sancties voorkomt.

Lees meer
Pillar pagina

Veelgestelde Vragen over de AI Act

Antwoorden op de meest gestelde vragen over de EU AI Act: wat is het, voor wie geldt het, wat zijn de deadlines en boetes, en hoe begin je met compliance?

Lees meer

AI Act Assistent

Met live web search

Vraag me alles over de AI Act

Ik help je met compliance, risicoclassificatie en meer.

AI-antwoorden kunnen fouten bevatten