AI Act voor Tech & AI-Aanbieders
Softwarebedrijven, AI-startups en foundation model providers hebben uitgebreide verplichtingen als aanbieder. GPAI-modellen hebben specifieke eisen, hoog-risico systemen vereisen conformiteitsbeoordeling.
AI Act impact op tech & AI-aanbieders
Softwarebedrijven, AI-startups, foundation model providers en cloud services hebben als aanbieder (provider) de meest uitgebreide verplichtingen onder de AI Act.
Wie is aanbieder?
Volgens Artikel 3(3) is een aanbieder:
Een natuurlijke of rechtspersoon die een AI-systeem of GPAI-model ontwikkelt of laat ontwikkelen en op de markt brengt of in gebruik stelt onder eigen naam of merk.
Je bent aanbieder als je:
- Een AI-systeem ontwikkelt en verkoopt
- Een foundation model aanbiedt (API of download)
- Een white-label AI-oplossing levert
- Een AI-systeem significant aanpast (dan word je "nieuwe aanbieder")
GPAI: General-Purpose AI verplichtingen
Wat is GPAI?
General-purpose AI modellen (foundation models) zoals GPT-4, Claude, Gemini, Llama, etc. die:
- Kunnen worden gebruikt voor diverse taken
- Geïntegreerd kunnen worden in andere systemen
- Getraind zijn op grote hoeveelheden data
Artikel 53 verplichtingen voor alle GPAI
| Verplichting | Beschrijving |
|---|---|
| Technische documentatie | Trainingsproces, evaluaties, beperkingen |
| Auteursrecht compliance | Beleid voor naleving EU auteursrecht |
| Training data samenvatting | Overzicht van gebruikte trainingsdata |
| Informatie downstream | Info voor aanbieders die GPAI integreren |
GPAI met systeemrisico (Artikel 55)
Extra verplichtingen voor modellen met systeemrisico (>10^25 FLOPS training):
- Model evaluatie inclusief adversarial testing
- Risicobeoordeling en mitigatie
- Incident rapportage
- Adequate cybersecurity
Deadline GPAI: 2 augustus 2025
Hoog-risico AI: Provider verplichtingen
Artikel 16: Volledige compliance vereist
Voor aanbieders van hoog-risico AI-systemen:
| Verplichting | Artikel | Beschrijving |
|---|---|---|
| Kwaliteitsmanagement | Art. 17 | QMS voor hele levenscyclus |
| Technische documentatie | Art. 11 | Conform Annex IV |
| Risicobeheer | Art. 9 | Continue risico-identificatie |
| Data governance | Art. 10 | Trainingsdata kwaliteit |
| Logging | Art. 12 | Automatische logging |
| Transparantie | Art. 13 | Gebruiksinstructies |
| Menselijk toezicht | Art. 14 | Design for oversight |
| Nauwkeurigheid | Art. 15 | Robuustheid, cybersecurity |
| Conformiteitsbeoordeling | Art. 43 | Intern of via notified body |
| EU Database registratie | Art. 49 | Vóór marktintroductie |
| Post-market monitoring | Art. 72 | Continue monitoring |
Conformiteitsbeoordeling
Wanneer intern, wanneer extern:
| Type systeem | Beoordeling |
|---|---|
| Meeste Annex III systemen | Interne beoordeling (Annex VI) |
| Biometrische identificatie | Notified body (Annex VII) |
| Onder andere EU-wetgeving | Volg die wetgeving |
CE-markering
Na succesvolle conformiteitsbeoordeling:
- Stel EU conformiteitsverklaring op
- Breng CE-markering aan
- Registreer in EU database
- Bewaar documentatie 10 jaar
Compliance stappenplan voor aanbieders
Stap 1: Classificeer je AI
- Is het een AI-systeem volgens Artikel 3?
- Is het een GPAI model?
- Welke risico-categorie?
Stap 2: Bepaal verplichtingen
GPAI model:
- Technische documentatie
- Auteursrecht beleid
- Training data samenvatting
Hoog-risico systeem:
- Alle Artikel 16 verplichtingen
- Conformiteitsbeoordeling
- CE-markering
Beperkt risico:
- Transparantieverplichtingen (Art. 50)
Stap 3: Implementeer QMS
Kwaliteitsmanagementsysteem omvat:
- Strategieën voor compliance
- Data management procedures
- Risicomanagement systeem
- Post-market monitoring
- Incident handling
- Communicatie met autoriteiten
Stap 4: Documenteer
Technische documentatie (Annex IV):
- Algemene systeembeschrijving
- Ontwerp specificaties
- Development proces
- Monitoring en controle
- Risicobeheer documentatie
Stap 5: Test en evalueer
- Nauwkeurigheidstesten
- Robuustheidstesten
- Bias-analyse
- Security testing
Stap 6: Conformiteitsbeoordeling
- Voer interne beoordeling uit (of schakel notified body in)
- Documenteer resultaten
- Stel conformiteitsverklaring op
Stap 7: Ga naar markt
- Registreer in EU database
- Breng CE-markering aan
- Publiceer gebruiksinstructies
- Start post-market monitoring
Deadlines voor aanbieders
| Verplichting | Deadline |
|---|---|
| GPAI compliance | 2 augustus 2025 |
| Hoog-risico compliance | 2 augustus 2026 |
| Onder andere EU-wetgeving | 2 augustus 2027 |
Checklist AI-aanbieder compliance
- AI-systeem geclassificeerd
- GPAI status bepaald (indien van toepassing)
- Risico-categorie vastgesteld
- Kwaliteitsmanagementsysteem opgezet
- Technische documentatie opgesteld
- Risicobeheer geïmplementeerd
- Data governance procedures actief
- Logging systeem geïmplementeerd
- Gebruiksinstructies geschreven
- Menselijk toezicht ingebouwd
- Testen uitgevoerd (nauwkeurigheid, bias, security)
- Conformiteitsbeoordeling voltooid
- EU database registratie gereed
- CE-markering aangebracht
- Post-market monitoring actief
Bronnen
- AI Act Hoofdstuk III - Hoog-risico verplichtingen
- AI Act Hoofdstuk V - GPAI modellen
- AI Act Annex IV - Technische documentatie
- EU AI Office
Changelog:
- 12 januari 2026 - Eerste publicatie
Veelgestelde vragen
Gerelateerde onderwerpen
Gerelateerde artikelen
General Purpose AI: Regels voor Foundation Models
General Purpose AI (GPAI) modellen zoals GPT-4 en Claude krijgen eigen regels onder de AI Act. Modellen met systeemrisico hebben extra verplichtingen.
AI Act voor de Financiële Sector
Banken, verzekeraars en fintechs gebruiken AI voor kredietbeoordeling en risico-inschatting. Deze toepassingen vallen vaak onder hoog-risico en vereisen strenge compliance.
AI Act voor HR: Impact en Compliance
De HR-sector wordt sterk geraakt door de AI Act. AI voor werving, beoordeling en personeelsbeslissingen valt bijna altijd in de hoog-risico categorie.
AI Act voor Onderwijs
Onderwijsinstellingen en EdTech-bedrijven moeten voldoen aan strenge AI Act eisen. AI voor toelating, beoordeling en examentoezicht is hoog-risico. Emotieherkenning bij minderjarigen is verboden.