90% van de organisaties die AI gebruiken zijn gebruikers die modellen van derde partijen integreren — OpenAI, Anthropic, Azure AI of AI SaaS-tools. Begrijp uw verplichtingen: wat de aanbieder u moet geven, wat u moet doen en wanneer u zelf aanbieder wordt.
De realiteit van AI van derde partijen: de meeste organisaties zijn gebruikers
De meerderheid van Europese organisaties die AI gebruiken zijn noch OpenAI, noch Mistral, noch een onderzoekslaboratorium. Ze integreren bestaande modellen — via een API, een SaaS-platform, een Azure AI-component of een plugin voor zakelijke tools. Salesforce Einstein, Copilot voor Microsoft 365, een HR-chatbot aangedreven door een groot taalmodel, een kredietscoringsoplossing ingekocht bij een gespecialiseerde leverancier: in al deze gevallen bent u een gebruiker van een AI-systeem dat door iemand anders is gebouwd.
Deze positie wordt ingenomen door de grote meerderheid van organisaties die worden beïnvloed door de EU AI-verordening. Ze brengt precieze verplichtingen met zich mee — anders dan die van de aanbieder, maar niet verwaarloosbaar. Ze kan ook evolueren: als u het systeem wijzigt of doorverkoopt, verandert uw juridische status.
Uw positie in de AI-waardeketen begrijpen is de eerste stap in elke nalevingsinspanning.
Uw verplichtingen als gebruiker
Gebruikersverplichtingen verschillen afhankelijk van het risiconiveau van het AI-systeem dat u gebruikt.
Voor hoog-risico AI-systemen (Bijlage III)
Als u een extern AI-systeem inzet dat kwalificeert als hoog risico (beoordeling van kredietwaardigheid, biometrische identificatie, wervingsscreening, beheer van kritieke infrastructuur, enz.), zijn uw verplichtingen op grond van Art. 26:
1. Volg de gebruiksinstructies Gebruik het systeem uitsluitend voor het beoogde doel en in overeenstemming met de instructies die de aanbieder verplicht is te leveren. Het gebruik van een hoog-risico AI-systeem buiten het gevalideerde toepassingsgebied is een nalevingsfout, zelfs als u slechts een gebruiker bent.
2. Wijs menselijk toezicht toe Wijs een natuurlijke persoon aan met de competentie, bevoegdheid en middelen om zinvol menselijk toezicht uit te oefenen over de outputs van het AI-systeem. Deze persoon moet kunnen begrijpen wat het systeem doet, afwijkingen detecteren en het systeem indien nodig overrulen of stoppen.
3. Zorg voor kwaliteit invoergegevens Zorg ervoor dat gegevens die u in het systeem invoert, relevant, voldoende representatief en geschikt zijn voor het beoogde doel in uw specifieke inzetcontext. Een systeem dat is gevalideerd op één populatie kan anders presteren op de uwe — dat is uw risico om te beheren.
4. Monitor werking en detecteer afwijkingen Monitor actief de werking van het systeem op afwijkingen, onverwachte outputs of prestatieverslechtering. Dit is niet de verantwoordelijkheid van de aanbieder bij inzet — het is de uwe.
5. Bewaar logboeken Activeer en bewaar de geautomatiseerde logboeken die door het systeem worden geproduceerd voor de periode die de verordening vereist (en eventuele sectorale regelgeving die van toepassing kan zijn). Schakel logging niet uit om opslagkosten te besparen.
6. Meld ernstige incidenten Als u op de hoogte raakt van een ernstig incident of storing — een incident dat overlijden, ernstig letsel, schendingen van grondrechten of significante materiële schade heeft veroorzaakt of had kunnen veroorzaken — informeer de aanbieder zonder onnodige vertraging. In sommige gevallen (met name wanneer de inzet openbare diensten of aan rechtshandhaving grenzende activiteiten betreft) kan ook directe rapportage aan de nationale markttoezichtautoriteit vereist zijn.
7. Grondrechtenbeoordeling (overheidsinstanties) Als u een overheidsinstantie bent, of een private entiteit die AI-systemen inzet op gebieden die grondrechten waarschijnlijk beïnvloeden (gezondheidszorg, sociale diensten, onderwijs, rechtshandhaving), moet u vóór inzet een grondrechtenbeoordeling uitvoeren (Art. 27).
Voor uitsluitend transparantie AI-systemen (Art. 50)
Als u een chatbot, door AI gegenereerd inhoudsysteem of emotieherkenningtool inzet die geen hoog risico is maar valt onder de Art. 50 transparantieverplichtingen, moet u:
- Gebruikers informeren dat ze communiceren met een AI-systeem (Art. 50(1))
- Zorgen dat door AI gegenereerde inhoud technisch is gemarkeerd (Art. 50(4)) waar van toepassing
- Blootgestelde personen informeren wanneer emotieherkenning of biometrische categorisering wordt gebruikt (Art. 50(2)–(3))
Deze verplichtingen zijn van toepassing zelfs bij gebruik van een API of SaaS-tool van derden. De aanbieder is verantwoordelijk voor het inbouwen van de technische mogelijkheid; u bent verantwoordelijk voor het activeren ervan en ervoor zorgen dat de bekendmaking daadwerkelijk gebruikers bereikt.
Voor minimaal-risico AI-systemen
Geen specifieke wettelijke verplichtingen op grond van de AI-verordening. Vrijwillige gedragscodes zijn van toepassing. Goede governance-praktijk beveelt nog steeds basisdocumentatie aan van gebruikte AI-systemen en periodieke beoordeling van hun prestaties.
Wat u moet eisen van uw externe AI-aanbieder
Uw vermogen om gebruikersverplichtingen na te komen, hangt rechtstreeks af van wat de aanbieder u geeft. De EU AI-verordening verplicht aanbieders van hoog-risico AI-systemen specifieke informatie te leveren — en aanbieders van GPAI-modellen hebben parallelle documentatieverplichtingen. Gebruik deze checklist bij de aanschaf van externe AI:
Voor elk AI-systeem
- Systeembeschrijving: Wat doet het systeem, welke invoer neemt het, welke output produceert het en welke beslissingen kan het beïnvloeden?
- Beoogd doel: Voor welke toepassingen is het systeem precies ontworpen, gevalideerd en goedgekeurd?
- Bekende beperkingen: Onder welke omstandigheden presteert het systeem slecht? Welke populaties, talen of gegevenstypen vallen buiten het gevalideerde toepassingsgebied?
- Gebruiksinstructies: De volledige set instructies die de aanbieder verplicht is te leveren op grond van Art. 13 voor hoog-risico systemen
Specifiek voor hoog-risico systemen
- Conformiteitsverklaring of samenvatting van conformiteitsbeoordelingsresultaten
- Risicobeheerdocumentatie — welke risico's zijn geïdentificeerd en hoe zijn ze beperkt?
- Resultaten vertekening- en eerlijkheidstests — welke beschermde kenmerken zijn getest, welke metrieken zijn gebruikt en welke resultaten zijn gevonden?
- Prestatiemetrieken — nauwkeurigheid, fout-positief/-negatief percentages en prestaties uitgesplitst naar relevante demografische groepen
- Loggingmogelijkheid — bevestiging dat het systeem de logboeken genereert vereist door Art. 12 en instructies voor toegang tot en bewaring ervan
- Incidentmeldingsproces — wie te contacteren, in welk tijdsbestek en via welk kanaal bij een ernstig incident
- Updatebeleid — hoe informeert de aanbieder u over materiële updates en welke hervalidatie is vereist na updates?
Voor GPAI-modellen (API's en toegang tot basismodellen)
- Modelkaart of technische samenvatting — capaciteiten, beperkingen, samenvatting trainingsgegevens, evaluatieresultaten
- Verklaring auteursrechtnaleving — hoe pakt de aanbieder auteursrecht aan voor trainingsgegevens en outputs?
- Acceptabel gebruiksbeleid — welke toepassingen zijn verboden door de aanbieder en wat gebeurt er als u ze overtreedt?
- Gegevensverwerkingsvoorwaarden — hoe gaat de aanbieder om met uw invoergegevens? Worden ze gebruikt voor verdere training?
Wanneer u een aanbieder wordt
Art. 25 van de EU AI-verordening is cruciaal voor gebruikers van externe AI: het definieert wanneer een gebruiker overgaat naar aanbieder en alle aanbiedersverplichtingen aanneemt.
U wordt een aanbieder wanneer u:
1. Een hoog-risico AI-systeem substantieel wijzigt
Als u een hoog-risico AI-systeem neemt en substantiële wijzigingen aanbrengt die verder gaan dan wat de aanbieder bedoelde — het model wijzigen, hertrainen op uw gegevens, kernlogica aanpassen — bent u nu aanbieder van een nieuw of substantieel gewijzigd systeem. Alle aanbiedersverplichtingen zijn van toepassing: conformiteitsbeoordeling, technische documentatie, CE-markering, registratie in EU-databank.
Kernvraag: Is uw aanpassing "gebruik binnen de beoogde parameters" of "ontwikkeling van een nieuwe capaciteit"? Het fine-tunen van een model op uw domeingegevens kan al dan niet een substantiële wijziging zijn afhankelijk van de mate van verandering en of het het risicoprofiel beïnvloedt.
2. Het beoogde doel wijzigen naar hoog risico
Als u een systeem dat niet is geclassificeerd als hoog risico, inzet voor een hoog-risico toepassing — een algemene tekstclassificeerder gebruiken om werkgelegenheidsbeslissingen te nemen, bijvoorbeeld — heeft u het beoogde doel zodanig gewijzigd dat hoog-risicoclassificering wordt getriggerd. U wordt de aanbieder van een hoog-risico AI-systeem en moet voldoen aan alle aanbiedersverplichtingen voor die inzet.
3. Het systeem op de markt brengen onder uw eigen naam
Als u een AI-systeem aanschaft of in licentie neemt en het doorverkoopt of aan anderen aanbiedt als uw eigen product (white-labelling), brengt u het op de markt onder uw eigen naam en wordt u de aanbieder. Dit is gebruikelijk in de SaaS-sector: het integreren van een model van een derde partij in uw eigen productaanbod maakt u de aanbieder voor dat product.
4. Grote wijzigingen aanbrengen in een GPAI-model
Als u een GPAI-model neemt en grote wijzigingen aanbrengt in de capaciteiten of toepassing — verder dan fine-tuning binnen de beoogde parameters van de aanbieder — kunt u aanbieder worden van een nieuw GPAI-model met uw eigen Hoofdstuk V-verplichtingen.
Contractuele bescherming voor gebruikers
Omdat uw naleving afhankelijk is van wat de aanbieder u geeft, zijn uw contracten met externe AI-leveranciers een cruciaal nalevingsinstrument. Sleutelclausules om in op te nemen:
Informatierechten
- Recht om een regelmatig bijgewerkte versie van de gebruiksinstructies te ontvangen
- Recht op toegang tot de conformiteitsverklaring en samenvatting van de conformiteitsbeoordeling
- Recht op ontvangst van resultaten van vertekening-tests en prestatiemetrieken
- Recht op documentatie van materiële modelupdates vóór inzet
Incidentbeheer
- Verplichting voor aanbieder u te informeren over ernstige incidenten of kwetsbaarheden waarvan zij op de hoogte zijn, binnen een gedefinieerde termijn
- Duidelijk kanaal en proces voor u om incidenten aan de aanbieder te melden
- Toezegging van aanbieder tot medewerking aan uw incidentonderzoeken en regelgevingsvragen
Auditrechten
- Recht om te controleren of auditrapportages te ontvangen over de naleving van de aanbieder van AI-verordening-verplichtingen
- Recht om bijgewerkte documentatie te vragen wanneer significante wijzigingen optreden
Updateverplichtingen
- Aanbieder moet u informeren vóór materiële updates aan het AI-systeem te implementeren
- Aanbieder moet adviseren of een update een substantiële wijziging vormt waarvoor hervalidatie vereist is
- Continuïteit van documentatie — bijgewerkte technische documentatie moet worden verstrekt bij elke materiële update
Aansprakelijkheidsverdeling
- Duidelijkheid over welke partij verantwoordelijk is voor welke verplichtingen op grond van Art. 25
- Vrijwaring voor verliezen voortkomend uit niet-naleving door aanbieder van leveranciersverplichtingen
- Aansprakelijkheidsbeperkende bepalingen die uw vermogen om regelgevende verplichtingen na te komen niet ondermijnen
De AI-leveranciersmarkt: wat te volgen
De markt voor AI-tools en -diensten evolueert snel en de EU AI-verordening nalevingshouding van leveranciers varieert aanzienlijk:
- Grote cloud- en AI-aanbieders (Microsoft, Google, AWS, OpenAI, Anthropic) hebben zwaar geïnvesteerd in AI-governance en GPAI-nalevingsdocumentatie. Hun servicevoorwaarden en modelkaarten bieden meer informatie dan de meeste andere leveranciers.
- Gespecialiseerde verticale AI-leveranciers (HR-tech, legal tech, fintech, healthtech) bevinden zich in verschillende stadia van EU AI-verordening gereedheid. Velen zijn kmo's die hun verplichtingen nog niet volledig in kaart hebben gebracht.
- Ingeboude AI in SaaS-tools (AI-functies in CRM, ERP, productiviteitstools) worden mogelijk niet op de markt gebracht als "AI-producten" — maar als ze consequente beslissingen over individuen nemen of beïnvloeden, zijn EU AI-verordening-verplichtingen van toepassing.
Inkoopteams moeten AI-verordening nalevingsscreening toevoegen aan due diligence voor leveranciers — door leveranciers te vragen hun nalevingsstatus te bevestigen, conformiteitsdocumentatie te verstrekken voor hoog-risico systemen en toe te zeggen tot doorlopend informatie-uitwisseling naarmate het regelgevende landschap zich ontwikkelt.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Ja, als gebruikers. De API-aanbieder (OpenAI, Anthropic) is de aanbieder van het GPAI-model en draagt de GPAI-verplichtingen. Als u een applicatie bouwt op hun API en deze beschikbaar stelt aan gebruikers, wordt u de aanbieder van die applicatie (een AI-systeem). U heeft gebruikersverplichtingen ten aanzien van het onderliggende GPAI-model, en aanbiedersverplichtingen voor uw eigen AI-systeem.
Voor hoog-risico AI-systemen: de leverancier (als aanbieder) moet gebruiksinstructies (Art. 13) leveren en een samenvatting van de conformiteitsbeoordeling of de conformiteitsverklaring. Voor GPAI-modellen: aanbieders moeten technische documentatie en informatie leveren die nodig is voor downstream-naleving. Vraag contractueel: systeembeschrijving, bekende beperkingen, resultaten van vertekening-tests, prestatiemetrieken en incidentrapportageprocedures.
Contractueel kunt u verantwoordelijkheid toewijzen tussen partijen — maar regelgevende aansprakelijkheid kan niet contractueel worden overgedragen. Als u een hoog-risico AI-systeem inzet, heeft u gebruikersverplichtingen ongeacht uw overeenkomst. Gebruik contracten om ervoor te zorgen dat de aanbieder u geeft wat u nodig heeft om uw verplichtingen na te komen, niet om eraan te ontsnappen.
De EU AI-verordening is van toepassing op AI-systemen die op de Europese markt worden gebracht ongeacht waar de aanbieder is gevestigd. Niet-EU aanbieders moeten een gemachtigde vertegenwoordiger in de EU aanwijzen (Art. 22) die dezelfde wettelijke verplichtingen heeft als een in de EU gevestigde aanbieder. Verifieer dat de leverancier een gemachtigde vertegenwoordiger heeft vóór u zijn AI-systeem inzet.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.