Bron: Dit artikel is gebaseerd op deelsessie 11 "Generatieve AI" van het AI Toezichtcongres 2025, gepresenteerd door de Directie Coördinatie Algoritmes van de Autoriteit Persoonsgegevens.
De vraag die veel organisaties vergeten te stellen
77% van de Nederlanders verwacht dat generatieve AI hun werk makkelijker en leuker gaat maken. De kans is groot dat jouw organisatie al ChatGPT, Claude, Gemini of Copilot gebruikt. Maar weet je dat je als gebruiker van deze tools ook verplichtingen hebt onder de AI Act?
Tijdens het AI Toezichtcongres maakte de Autoriteit Persoonsgegevens (AP) duidelijk: de AI Act gaat niet alleen over de makers van AI-modellen zoals OpenAI of Anthropic. Ook downstream aanbieders (bedrijven die genAI integreren in hun producten) en gebruiksverantwoordelijken (organisaties die genAI inzetten) hebben verplichtingen.
Eerst begrijpen: Model vs. Systeem
Het cruciale onderscheid
De AI Act maakt onderscheid tussen:
- GPAI-model: Het onderliggende AI-model (bijv. GPT-4, Claude 3)
- AI-systeem: De toepassing die het model gebruikt (bijv. een chatbot die je bouwt met GPT-4)
Dit onderscheid bepaalt welke regels op jou van toepassing zijn en wie toezicht houdt.
De definitie uit de wet:
"AI-model voor algemene doeleinden": een AI-model, ook wanneer het is getraind met een grote hoeveelheid data met behulp van self-supervision op grote schaal, dat een aanzienlijk algemeen karakter vertoont en in staat is op competente wijze een breed scala aan verschillende taken uit te voeren...
Praktisch betekent dit: Op generatieve AI kunnen zowel de regels voor GPAI-modellen als systemen van toepassing zijn. Het hangt af van je rol in de keten.
Wie heeft welke verplichtingen?
| Rol | Voorbeeld | Verplichtingen | Toezicht door |
|---|---|---|---|
| Aanbieder GPAI-model | OpenAI, Anthropic, Google | Documentatie, auteursrecht, trainingsdata-samenvatting | AI Office (EU) |
| Downstream aanbieder | Bedrijf dat chatbot bouwt met GPT-4 API | Hoogrisico-eisen (indien van toepassing), transparantie | Nationale toezichthouder (AP/RDI) |
| Gebruiksverantwoordelijke | Organisatie die ChatGPT intern gebruikt | Transparantie naar gebruikers, deepfake-labeling | Nationale toezichthouder |
Transparantieverplichtingen: Wat moet je melden?
De AI Act bevat in artikel 50 specifieke transparantieverplichtingen voor AI-systemen die met mensen interacteren of content genereren.
1. Chatbots: Mensen moeten weten dat ze met AI praten
Verplichting voor aanbieders: Als je een AI-systeem aanbiedt dat bedoeld is om met mensen te interacteren, moet je personen informeren dat ze met AI praten. Denk aan chatbots voor klantenservice, virtuele assistenten, of AI-gebaseerde adviseurs.
Voorbeelden waar dit speelt:
- Klantenservice chatbot op je website
- AI-assistent in je app
- Geautomatiseerde telefoonsystemen met AI
2. Synthetische content: Markeren als AI-gegenereerd
AI-systemen die synthetische audio-, beeld-, video- of tekstinhoud genereren moeten zorgen dat de output gemarkeerd wordt in machineleesbaar formaat.
Dit is relevant voor:
- AI-gegenereerde afbeeldingen voor marketing
- Geautomatiseerde content voor social media
- Voice-overs gemaakt met AI
3. Deepfakes: Expliciet labelen
Deepfake-verplichting
Als gebruiksverantwoordelijke moet je deepfakes expliciet markeren als AI-gegenereerd. Dit geldt voor beeld-, audio- of video-content die is gemaakt of bewerkt om te lijken op een echt persoon.
De toezichtstructuur: Wie houdt toezicht op wie?
Tijdens het congres werd duidelijk dat toezicht op generatieve AI een samenspel is tussen Europese en nationale toezichthouders.
AI Office (EU)
Houdt toezicht op: GPAI-modellen (OpenAI, Anthropic, etc.)
Bevoegdheden: Documentatie-eisen, incidentrapportage, systeemrisico-evaluatie
Nationale toezichthouders (AP/RDI)
Houdt toezicht op: AI-systemen waarin GPAI is geïntegreerd
Bevoegdheden: Verboden praktijken, hoogrisico-eisen, transparantie
Uit het congres: "Hoewel de taak voor toezicht op GPAI modellen bij de AI Office ligt, zal het toezicht op de AI-systemen waarin deze modellen zijn geïntegreerd in veel gevallen bij de nationale markttoezichtautoriteiten liggen. Toezicht op GPAI zal in praktijk dus een aangelegenheid zijn voor zowel de AI Office als de nationale toezichthouders."
Hoe werkt de samenwerking?
- Informatieverzoeken: Nationale toezichthouders kunnen documentatie opvragen via het AI Office
- Onderzoeksverzoeken: Nationale toezichthouders kunnen het AI Office vragen om actie te ondernemen
- Klachten: Downstream aanbieders kunnen klachten indienen over GPAI-modellen
De AP-visie: "Verantwoord Vooruit"
De AP presenteerde tijdens het congres hun visie op generatieve AI, genaamd "Verantwoord Vooruit". Dit geeft inzicht in hoe het toezicht zich zal ontwikkelen.
Uitgangspunten voor een gewenst toekomstbeeld
| Kenmerk | Wat betekent dit? |
|---|---|
| Europese digitale autonomie | Stimuleren van EU-aanbieders van genAI |
| Kennis en weerbaarheid | AI-geletterdheid bevorderen |
| Democratische sturing | Expertise voor volksvertegenwoordiging |
| Vermogen om te corrigeren | Correctiemethoden door de AI-keten |
| Inzichtelijk en transparant | Transparantie naar gebruikers |
| Systemen in gecontroleerd beheer | Gebruik van open-weight modellen aanbevolen |
Praktische toepassingen: waar krijg je mee te maken?
AI als persoonlijke assistent
24/7 beschikbare assistenten voor medewerkers of klanten. Let op: transparantieplicht!
AI voor onderzoek en zoekmachines
GenAI die zoekopdrachten beantwoordt. Verificatie van output blijft essentieel.
AI voor beeld en geluid
AI-gegenereerde afbeeldingen, video's of audio. Markering verplicht.
AI voor coderen en automatisering
Copilot-achtige tools. Minder strikte eisen, maar AI-geletterdheid blijft nodig.
Checklist: Wat moet je als organisatie regelen?
Als je genAI gebruikt (gebruiksverantwoordelijke)
- [ ] Informeer gebruikers dat ze met AI interacteren (chatbots)
- [ ] Label deepfakes expliciet als AI-gegenereerd
- [ ] Train medewerkers in AI-geletterdheid
- [ ] Monitor risico's van de AI-systemen die je gebruikt
Als je genAI integreert in je product (downstream aanbieder)
- [ ] Check of je systeem hoogrisico is (Bijlage III)
- [ ] Markeer synthetische output in machineleesbaar formaat
- [ ] Vraag documentatie op bij je GPAI-leverancier
- [ ] Conformiteitsbeoordeling indien hoogrisico
Contact met de AP over generatieve AI
GenAI-loket geopend: De AP heeft een speciaal loket geopend voor vragen over generatieve AI:
📧 genai-loket@autoriteitpersoonsgegevens.nl
Dit loket is bedoeld voor organisaties die vragen hebben over de toepassing van de AVG en AI Act op generatieve AI.
Conclusie: Ken je rol in de keten
De AI Act creëert een gedeelde verantwoordelijkheid door de hele AI-waardeketen. Of je nu een GPAI-model maakt, het integreert in je product, of simpelweg ChatGPT gebruikt in je organisatie – er zijn verplichtingen waar je aan moet voldoen.
Drie kernpunten:
- Model ≠ Systeem – Begrijp welke rol je hebt in de keten
- Transparantie is key – Informeer gebruikers dat ze met AI praten
- Toezicht is gelaagd – AI Office voor modellen, nationale toezichthouders voor systemen
De organisaties die nu hun verplichtingen in kaart brengen, zijn beter voorbereid op augustus 2026 wanneer de hoogrisico-eisen volledig van kracht worden.
Verder lezen
- De gedragscode voor general-purpose AI – Diepgaande analyse van de Code of Practice
- AI Toezichtcongres 2025: Alle inzichten – Complete terugblik
- Transparantie-eisen voor AI-content (Artikel 50) – Praktische implementatie
Bronnen
🎯 Training nodig over generatieve AI? Plan een gesprek om te bespreken hoe jouw team verantwoord met genAI kan werken binnen de AI Act.