Op 10 juli 2025 publiceerde de Europese Commissie de definitieve General-Purpose AI Code of Practice (GPAI-CoP) — een vrijwillige, maar invloedrijke gedragscode die modelleveranciers een duidelijk pad biedt naar naleving van de EU AI Act, die op 2 augustus 2025 van kracht wordt. Vice-voorzitter Henna Virkkunen noemde de Code “een duidelijke, gezamenlijke route naar compliance” in het begeleidende persbericht uit Brussel.
Eén kompas, drie hoofdstukken
De Code bundelt de belangrijkste verplichtingen voor aanbieders in drie thematische hoofdstukken. De kerninformatie staat in de onderstaande tabel.
| Hoofdstuk | Voor wie? | Essentie van de verplichtingen |
|---|---|---|
| Transparantie | Alle GPAI-providers | Gestandaardiseerd Model Documentation Form met o.a. architectuur, compute- & energieverbruik, data-provenance en distributiekanalen1. |
| Auteursrecht | Alle GPAI-providers | Intern copyright-beleid, crawlers die robots.txt en andere rechtenreserveringen naleven, filters tegen inbreuk in modeloutput, klachtenafhandeling voor rechthebbenden1. |
| Veiligheid & Beveiliging | Alleen high-impact modellen | Levenscyclusrisicoanalyse, red teaming, beveiliging van modelgewichten, meldplicht voor ernstige incidenten binnen 2–15 dagen, halfjaarlijkse rapporten aan de AI Office1. |
Wat betekent dit in de praktijk?
De Transparantie-module vereist dat iedere aanbieder bij lancering een volledig ingevuld Model Documentation Form klaar heeft. Dat formulier legt minutieus vast hoe een model is gebouwd, getraind en gedistribueerd, welke data zijn gebruikt en hoeveel energie daarbij is verbruikt. Downstream-ontwikkelaars krijgen zo de informatie die zij nodig hebben voor hun eigen AI-Act-verplichtingen, terwijl toezichthouders op verzoek inzage krijgen in de volledige documentatie.
Het Auteursrechthoofdstuk legt vast dat web-crawlers niet alleen technologische blokkades (paywalls, DRM) moeten respecteren, maar ook machine-leesbare rechtenreserveringen. Daarnaast verplicht het providers om technische en contractuele waarborgen in te bouwen die voorkomen dat hun modellen plagiaat of ander inbreukmakend materiaal produceren.
Voor de krachtigste modellen – degene met potentiële “systemic risk” – komt daar een extra laag bovenop. Voor deze modellen moeten aanbieders continu risico’s identificeren, testen en mitigeren, van de eerste trainingsrun tot ver na lancering. Ernstige incidenten, zoals grootschalige datalekken of schade aan de volksgezondheid, moeten in hoog tempo worden gemeld: bij een cyberinbraak bijvoorbeeld binnen vijf dagen.
Relevantie voor toezichthouders
-
AI Office (Brussel) – Dankzij de halfjaarlijkse Safety & Security Model Reports ontvangt de AI Office een consistente stroom gegevens over systeemrisico’s, red-teamingresultaten en incidentmeldingen. Die standaardisatie maakt het eenvoudiger om marktrisico’s te vergelijken en gerichte handhavingsacties te plannen.
-
Autoriteit Persoonsgegevens (NL) – Het transparantieformulier onthult in detail welke databronnen zijn gebruikt, hoe die zijn gefilterd en welke bias-detectie is toegepast. Daarmee kan de AP toetsen of de verwerking van (bijzondere) persoonsgegevens in trainings- en validatiesets rechtmatig is.
-
Sectorale toezichthouders (bv. ACM, DNB) – Zij krijgen zicht op de onderliggende modellen die in kritieke diensten worden geïntegreerd. Het incidentrapportage-regime en de verplichte risico-analyses verschaffen vroege signalen over mogelijke financiële of consumentenrisico’s.
Door deze gezamenlijke informatielijnen ontstaat een ‘regulatory backbone’: aanbieders leveren één set gestandaardiseerde stukken aan, waarop verschillende autoriteiten hun eigen toezichtstaken kunnen enten.
Een nieuwe standaard voor vertrouwen
Met de GPAI-CoP krijgt Europa voor het eerst een uniform, publiek raamwerk dat transparantie, auteursrechtbescherming en veiligheidsnormen in één pakket samenbrengt. Voor aanbieders is het niet langer de vraag óf zij documentatie en risico-processen inrichten, maar hoe snel zij het gestelde niveau kunnen halen. Voor toezichthouders betekent de Code een heldere, geharmoniseerde basis om toezicht uit te oefenen op een technologische sector die zich razendsnel ontwikkelt.
Wie vanaf nu een generiek AI-model op de Europese markt brengt, zal merken dat deze vrijwillige code de facto uitgroeit tot de minimumstandaard voor vertrouwen – precies op tijd om klaar te zijn voor de juridische hard-launch van de AI Act in augustus 2025.