Artikel 25 van Verordening (EU) 2024/1689 — Verantwoordelijkheden in de AI-waardeketen. Officiële tekst, praktische interpretatie, belangrijkste verplichtingen en compliance-implicaties.
Samenvatting van de officiële tekst
Artikel 25 van Verordening (EU) 2024/1689 (de EU AI-verordening) stelt de voorwaarden vast waaronder andere partijen dan de oorspronkelijke aanbieder verantwoordelijkheden op aanbiederniveau voor een hoog-risico AI-systeem overnemen. Het artikel is opgenomen in Titel III, Hoofdstuk 3, dat de verplichtingen van aanbieders en gebruiksverantwoordelijken gedurende de gehele levenscyclus van hoog-risico AI-systemen regelt.
Het artikel specificeert drie scenario's die aanleiding geven tot overgang van verantwoordelijkheid. Ten eerste wordt een distributeur, importeur, gebruiksverantwoordelijke of andere derde een aanbieder — met alle bijbehorende verplichtingen op grond van Hoofdstuk 2 van Titel III — wanneer zij een hoog-risico AI-systeem op de markt brengen of in gebruik stellen onder hun eigen naam of handelsmerk. Ten tweede wordt de status van aanbieder aangenomen wanneer een derde een substantiële wijziging aanbrengt in een hoog-risico AI-systeem. Ten derde kan een verandering in het beoogde doel van een hoog-risico AI-systeem — zelfs zonder fysieke wijziging — aanleiding geven tot herclassificatie- en herbeoordelingsvereisten.
Wanneer een dergelijke overgang van verantwoordelijkheid plaatsvindt, wordt de oorspronkelijke aanbieder niet automatisch vrijgesteld van aansprakelijkheid. De verordening vereist dat contractuele regelingen tussen partijen in de toeleveringsketen duidelijk aangeven wie welke verplichtingen op welk moment heeft. Dit zorgt ervoor dat de regelgevende verantwoordelijkheid volgt bij de entiteit die effectieve controle uitoefent over de inzet of wijziging van het systeem. Het artikel versterkt het bredere principe dat de EU AI-verordening verplichtingen toekent op basis van de werkelijke rol en invloed van elke actor in de waardeketen, niet slechts op formele contractuele benamingen.
Wat dit in de praktijk betekent
Artikel 25 heeft directe compliance-implicaties voor elke organisatie die een hoog-risico AI-systeem van derden integreert, hermerkt, substantieel wijzigt of opnieuw inzet. Het voorkomt de gangbare commerciële praktijk waarbij men ervan uitgaat dat de compliance-verantwoordelijkheid uitsluitend bij de upstream-leverancier berust.
Systeemintegratoren en wederverkopers die een hoog-risico AI-systeem op de EU-markt brengen onder hun eigen merk — bijvoorbeeld een softwarebedrijf dat een kredietscoremodel van derden op basis van AI insluit in zijn eigen product en dit op de markt brengt onder zijn eigen naam — worden aanbieders op grond van de verordening. Zij moeten alle verplichtingen van Artikel 16 nakomen, waaronder conformiteitsbeoordelingen, technische documentatie, registratie in de EU-databank en het aanbrengen van de CE-markering.
Bedrijven die AI-systemen wijzigen moeten beoordelen of hun wijzigingen een substantiële wijziging vormen. Het opnieuw trainen van een model op een nieuwe dataset, het aanpassen van beslissingsdrempels op een wijze die risicoprofielen verandert, of het uitbreiden van de functionaliteit van het systeem naar een nieuw domein zijn voorbeelden die waarschijnlijk aanleiding geven tot herbeoordeling. Zelfs een zuiver softwarematige wijziging die de uitkomsten in een gereguleerde context beïnvloedt, kan daarvoor in aanmerking komen.
Gebruiksverantwoordelijken die systemen herbestemmen buiten het oorspronkelijk beoogde gebruik — bijvoorbeeld het gebruik van een algemene tool voor werkplekanalyse voor het nemen van arbeidsbesluiten — moeten beoordelen of het nieuwe gebruiksscenario valt onder een hoog-risico categorie en, zo ja, of zij in feite de aanbieder van het systeem zijn geworden.
In de praktijk moeten organisaties alle AI-systemen in hun stack controleren, het door de oorspronkelijke aanbieder gedocumenteerde beoogde doel in kaart brengen en interne governanceprocessen instellen om te signaleren wanneer voorgestelde wijzigingen of nieuwe gebruiksscenario's de drempelwaarden van Artikel 25 naderen.
Belangrijkste verplichtingen
- Verplichtingen als aanbieder overnemen bij rebranding: Elke distributeur, importeur of derde die een hoog-risico AI-systeem op de markt brengt of inzet onder zijn eigen naam of handelsmerk, moet alle verplichtingen van aanbieders op grond van Artikel 16 nakomen, waaronder technische documentatie, conformiteitsbeoordeling en registratie in de EU-databank.
- Herbeoordelen na substantiële wijziging: Elke partij die een substantiële wijziging aanbrengt in een hoog-risico AI-systeem, moet het gewijzigde systeem behandelen als een nieuw hoog-risico AI-systeem, de relevante conformiteitsbeoordelingsprocedure herhalen en alle documentatie dienovereenkomstig bijwerken.
- Het systeem opnieuw registreren: Wanneer de status van aanbieder wordt aangenomen of een substantiële wijziging wordt aangebracht, moet de nieuwe aanbieder het systeem (of de gewijzigde versie ervan) registreren in de EU-databank voor hoog-risico AI-systemen die is ingesteld op grond van Artikel 71.
- Beoogd doel beoordelen vóór inzet: Gebruiksverantwoordelijken moeten verifiëren dat hun gebruik van een hoog-risico AI-systeem binnen het door de oorspronkelijke aanbieder gedocumenteerde beoogde doel blijft; elke materiële afwijking moet worden beoordeeld op compliance-implicaties op grond van Artikel 25.
- Duidelijke contractuele toewijzing van verantwoordelijkheden: Alle partijen in de AI-waardeketen — oorspronkelijke aanbieders, importeurs, distributeurs en gebruiksverantwoordelijken — moeten ervoor zorgen dat hun overeenkomsten de compliance-verantwoordelijkheden duidelijk toewijzen, met name wanneer wijzigingen of rebranding worden voorzien.
- Informatie van de oorspronkelijke aanbieder bewaren: Wanneer een derde de status van aanbieder aanneemt, moeten zij toegang hebben tot — en in stand houden — alle technische documentatie en conformiteitsinformatie die oorspronkelijk door de upstream-aanbieder is geproduceerd, aangezien dit de basis vormt voor hun eigen compliance-verplichtingen.
Relatie tot andere artikelen
Artikel 25 fungeert als brug tussen de verplichtingen van aanbieders die zijn gedefinieerd in Artikel 16 (verplichtingen van aanbieders van hoog-risico AI-systemen) en de verplichtingen van gebruiksverantwoordelijken in Artikel 26. Het zorgt ervoor dat de in Artikel 16 opgesomde verantwoordelijkheden — technische documentatie, conformiteitsbeoordeling, kwaliteitsmanagement, post-market monitoring — niet kunnen worden omzeild door contractuele regelingen of bedrijfsstructurering.
Het moet worden gelezen samen met Artikel 6 (classificatieregels voor hoog-risico AI-systemen) en Bijlage III, die bepalen wanneer een systeem hoog-risico is en daarmee onderworpen is aan het volledige regime van verplichtingen voor aanbieders. Artikel 47 (EU-conformiteitsverklaring) en Artikel 48 (CE-markering) zijn direct van belang wanneer een nieuwe aanbieder een gewijzigd systeem opnieuw moet certificeren.
Artikel 71 (EU-databank van hoog-risico AI-systemen) is relevant omdat herregistratie vereist is wanneer de status van aanbieder verandert. Overweging 79 biedt interpretatieve begeleiding over wat een substantiële wijziging inhoudt. Voor toeleveringsketens met GPAI-modellen regelen Artikelen 51–56 de verplichtingen van de upstream-modelaanbieder, maar bepaalt Artikel 25 wanneer een systeemintegrator die op dat model bouwt in eigen recht een aanbieder van hoog-risico AI-systemen wordt.
Tijdlijn voor naleving
De EU AI-verordening is op 1 augustus 2024 in werking getreden (twintig dagen na publicatie in het Publicatieblad van de EU op 12 juli 2024). De toepassing is gefaseerd:
- 2 februari 2025 — Verboden op AI-praktijken met onaanvaardbaar risico (Titel II) begonnen van toepassing te zijn. Artikel 25 was nog niet van toepassing.
- 2 augustus 2025 — Verplichtingen voor AI-modellen voor algemene doeleinden (Titel VIII, Artikelen 51–56) en governancebepalingen (Titel III, Hoofdstuk 4; Titel V) begonnen van toepassing te zijn. Artikel 25 was nog niet van toepassing op hoog-risico AI-systemen vermeld in Bijlage III.
- 2 augustus 2026 — Artikel 25 en het volledige regime van verplichtingen voor aanbieders en gebruiksverantwoordelijken op grond van Hoofdstuk 3 zijn van toepassing op hoog-risico AI-systemen vermeld in Bijlage III (waaronder biometrische systemen, kritieke infrastructuur, werkgelegenheid, onderwijs, toegang tot essentiële diensten en rechtshandhavingstoepassingen). Organisaties die in deze sectoren actief zijn, moeten vóór deze datum over governanceprocessen, contractuele kaders en procedures voor wijzigingsbeoordeling beschikken.
- 2 augustus 2027 — Verplichtingen op grond van Artikel 25 worden uitgebreid naar hoog-risico AI-systemen die vallen onder Bijlage I (productveiligheidswetgeving, zoals medische hulpmiddelen en machines), waarbij die systemen vóór augustus 2026 al op de markt waren en onderworpen zijn aan een overgangsperiode.
Organisaties moeten ruim vóór de deadline van augustus 2026 beginnen met de compliance-mapping voor Artikel 25 — met name audits van de toeleveringsketen en protocollen voor wijzigingsbeheer.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Artikel 25 is van toepassing op distributeurs, importeurs, gebruiksverantwoordelijken en andere derden die een hoog-risico AI-systeem op de markt brengen of in gebruik stellen onder hun eigen naam of handelsmerk, of die een hoog-risico AI-systeem op een zodanige wijze wijzigen dat het beoogde doel of de nalevingsstatus ervan verandert. In dergelijke gevallen nemen die partijen verplichtingen op aanbiederniveau over op grond van de verordening.
Een gebruiksverantwoordelijke wordt beschouwd als aanbieder — en moet aan alle verplichtingen van aanbieders voldoen — wanneer zij een hoog-risico AI-systeem op de markt brengen of in gebruik stellen onder hun eigen naam of handelsmerk, een substantiële wijziging aanbrengen in een hoog-risico AI-systeem die het beoogde doel ervan verandert, of een hoog-risico AI-systeem op een wijze wijzigen die van invloed kan zijn op de naleving van de vereisten van Titel III, Hoofdstuk 2.
Een substantiële wijziging is een verandering in een hoog-risico AI-systeem, fysiek of logisch, die de naleving van de vereisten van Titel III, Hoofdstuk 2 door het systeem beïnvloedt, of resulteert in een wijziging van het beoogde doel waarvoor het systeem is beoordeeld. Een substantiële wijziging leidt tot herbeoordelings- en herregistratieverplichtingen.
Wanneer een derde de status van aanbieder aanneemt op grond van Artikel 25, wordt de oorspronkelijke aanbieder niet automatisch vrijgesteld van alle aansprakelijkheid. Contractuele regelingen en de aard van de wijziging bepalen de voortdurende verplichtingen. Partijen worden aangemoedigd om verantwoordelijkheden duidelijk te documenteren in technische en juridische overeenkomsten in de hele toeleveringsketen.
Artikel 25 richt zich op verantwoordelijkheden binnen de waardeketen van hoog-risico AI-systemen. Voor AI-modellen voor algemene doeleinden (GPAI) gelden afzonderlijke verplichtingen op grond van Titel VIII (Artikelen 51–56). Integratoren die hoog-risico AI-systemen bouwen bovenop GPAI-modellen, moeten echter beoordelen of hun integratie verplichtingen als aanbieder op grond van Artikel 25 in werking stelt.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.