General Purpose AI

General Purpose AI (GPAI) zijn AI-modellen die voor veel verschillende taken kunnen worden gebruikt, zonder substantiële aanpassing. Denk aan grote taalmodellen (LLMs) zoals ChatGPT, Claude, Gemini, Llama en Mistral. Deze modellen kunnen tekst genereren, code schrijven, vragen beantwoorden, beelden creëren en veel meer. De EU AI Act stelt specifieke eisen aan providers van deze modellen én aan organisaties die ze gebruiken. Ook image generators zoals DALL-E, Midjourney en Stable Diffusion vallen onder GPAI als ze breed inzetbaar zijn.

Sinds 2 augustus 2025 gelden de GPAI-regels. De definitieve Code of Practice is gepubliceerd op 10 juli 2025 en ondertekend door Google, Microsoft, OpenAI, Anthropic, Amazon, Meta en andere grote spelers. Providers moeten nu technische documentatie bijhouden, copyright respecteren en trainingsdata-samenvattingen publiceren. Handhaving met boetes start formeel augustus 2026, maar toezichthouders kunnen nu al informeren en waarschuwen. Voor deployers (organisaties die GPAI gebruiken) geldt al de AI-geletterdheidsverplichting (Artikel 4) en de transparantieverplichting (Artikel 50).

De EU AI Act onderscheidt twee niveaus van GPAI. Standaard GPAI-modellen moeten technische documentatie bijhouden via een Model Documentation Form, informatie aan downstream providers verstrekken, EU-auteursrecht respecteren (inclusief robots.txt), en een samenvatting van trainingsdata publiceren. GPAI-modellen met systemisch risico (getraind met >10²⁵ FLOPs, denk aan GPT-4, Claude 3 Opus, Gemini Ultra) hebben aanvullende verplichtingen: externe audits, red teaming, systeemrisico-beoordelingen, incidentrapportage aan de Europese Commissie, en uitgebreide cybersecurity maatregelen.

De Code of Practice biedt een "presumption of compliance" - als je de code volgt, wordt aangenomen dat je voldoet aan de wet. Dit is cruciaal voor rechtszekerheid. De code is ontwikkeld in een multi-stakeholder proces en bevat vier hoofdstukken: 1) Governance - interne structuur, verantwoordelijkheden, C-level ownership, 2) Transparantie - documentatie van architectuur, trainingsdata, mogelijkheden en beperkingen, 3) Copyright - respect voor auteursrechten, volgen van robots.txt, opt-out procedures voor rechthebbenden, 4) Veiligheid - specifiek voor systemisch risico modellen: red teaming, cybersecurity, incidentmanagement.

Naast de GPAI Code of Practice werkt de Commissie aan een afzonderlijke gedragscode voor transparantie rond AI-gegenereerde content (Artikel 50). Providers moeten zorgen dat AI-content markeerbaar en detecteerbaar is via watermarking, metadata en fingerprinting. Deployers moeten AI-gegenereerde content labelen, vooral bij deepfakes en content van publiek belang. Er komt onderscheid tussen "volledig AI-gegenereerd" en "AI-assisted" content. Detectie moet als service beschikbaar worden - gratis of tegen lage kosten.

Als je GPAI-tools gebruikt (zoals ChatGPT, Copilot, Claude) in je organisatie, gelden nu al concrete verplichtingen. AI Geletterdheid (Artikel 4): sinds februari 2025 moet je medewerkers trainen - documenteer dit! Transparantie (Artikel 50): informeer gebruikers/klanten dat ze met AI te maken hebben. Begrijp beperkingen: ken de hallucination-risico's en beperkingen van je tools. Beleid: stel intern AI-beleid op met duidelijke regels. Let op provider-risico: als je een GPAI integreert in je eigen product en dit op de markt brengt, kun je provider worden van het gecombineerde systeem met alle bijbehorende verplichtingen!