Responsible AI Platform

GPAI Code of Practice Signatory Taskforce: wat betekent dit voor organisaties die AI-modellen bouwen of gebruiken?

··5 min leestijd
Delen:
Engelse versie niet beschikbaar

Hoe de nieuwe Signatory Taskforce de brug slaat tussen vrijwillige gedragscode en bindende regulering van general-purpose AI

De klok tikt. In augustus 2026 begint de handhaving van de AI Act-regels voor general-purpose AI (GPAI). Om bedrijven te helpen zich voor te bereiden, heeft het EU AI Office een Signatory Taskforce opgericht onder de GPAI Code of Practice. Dit is meer dan een bureaucratisch orgaan: het is een signaal dat de Commissie serieus werk maakt van de overgang van papieren regels naar praktische naleving.

Wat is general-purpose AI precies?

Laten we eerst helder krijgen waar we het over hebben. General-purpose AI - ook wel foundation models of basismodellen genoemd - zijn AI-modellen die getraind zijn op grote hoeveelheden data en die voor een breed scala aan taken ingezet kunnen worden. Denk aan grote taalmodellen (LLMs) zoals GPT, Claude, Gemini of Llama, maar ook aan multimodale modellen die tekst, beeld en audio combineren.

Het cruciale onderscheid dat de AI Act maakt: een GPAI-model is niet ontworpen voor een specifiek doel, maar kan door anderen (de zogenaamde "downstream providers" en deployers) worden ingezet voor uiteenlopende toepassingen. Dat maakt de regulering complex, want wie is verantwoordelijk voor wat?

De Code of Practice: vrijwillig kader met tanden

De GPAI Code of Practice is een vrijwillig instrument dat aanbieders van general-purpose AI-modellen helpt om aan te tonen dat ze voldoen aan de AI Act. De code vertaalt de wettelijke verplichtingen uit de AI Act naar concrete, uitvoerbare stappen.

Belangrijk: De GPAI-verplichtingen uit de AI Act zijn formeel van kracht sinds 2 augustus 2025. Handhaving start in augustus 2026. De Code of Practice is bedoeld om in die tussentijd duidelijkheid te scheppen over wat "compliance" in de praktijk betekent.

Waarom is een vrijwillige code relevant als er straks gehandhaafd wordt? Omdat de AI Act expliciet bepaalt dat naleving van de Code of Practice kan dienen als vermoeden van conformiteit. Wie de code volgt, staat dus sterker als de toezichthouder langskomt.

Wat doet de Signatory Taskforce?

De Taskforce brengt bedrijven samen die de Code of Practice hebben ondertekend. Het wordt voorgezeten door het AI Office en functioneert als een forum voor:

  • Praktische interpretatie: hoe pas je de verplichtingen uit de code toe in de dagelijkse praktijk?
  • Kennisdeling: uitwisseling over technologische ontwikkelingen, onderzoeksresultaten en nieuwe inzichten die relevant zijn voor compliance.
  • Input op guidance: de Taskforce kan bijdragen leveren aan richtsnoeren, zonder dat dit de formele consultatieprocedures van het AI Office vervangt.
  • Stakeholder-inbreng: inzichten van externe partijen kunnen worden meegenomen.

Het AI Office heeft zich gecommitteerd aan transparantie: er is een Vademecum gepubliceerd met een deelnemerslijst, en vergaderingen worden geregistreerd met samenvattingen op hoofdlijnen.

De verplichtingen: wat zegt de AI Act?

De AI Act legt in drie kernartikelen de verplichtingen voor GPAI-aanbieders vast:

Artikel 51: Transparantie als fundament

Aanbieders van GPAI-modellen moeten:

  • Technische documentatie bijhouden en beschikbaar stellen
  • Informatie en documentatie leveren aan downstream aanbieders die het model integreren
  • Een beleid opstellen voor naleving van het Europese auteursrecht
  • Een publieke samenvatting publiceren van de trainingsdata

Artikel 52: Auteursrecht en trainingsdata

Dit artikel richt zich specifiek op de relatie tussen GPAI en intellectueel eigendom. Aanbieders moeten transparant zijn over welke data ze gebruiken voor training en moeten de rechten van auteursrechthebbenden respecteren. Concreet betekent dit dat opt-out mechanismen (zoals de Text and Data Mining-exceptie uit de DSM-richtlijn) gerespecteerd moeten worden.

Artikel 55: Systeemrisico

GPAI-modellen met systeemrisico - denk aan de meest krachtige modellen die brede maatschappelijke impact kunnen hebben - krijgen aanvullende verplichtingen:

  • Uitvoeren van modelevaluaties, inclusief adversarial testing
  • Beoordelen en mitigeren van systeemrisico's
  • Bijhouden van ernstige incidenten en rapportage aan het AI Office
  • Zorgen voor adequate cybersecurity

Let op: De drempel voor "systeemrisico" wordt onder andere bepaald door de rekenkracht die gebruikt is voor training. Het AI Office kan modellen ook op basis van andere criteria als systeemrisico-model aanwijzen. Dit geldt momenteel voor een beperkt aantal zeer grote modellen, maar het aantal kan groeien.

Wat betekent dit voor jouw organisatie?

De verplichtingen raken niet alleen de grote modelontwikkelaars. Ze hebben een kettingeffect door de hele waardeketen.

Als je een GPAI-model aanbiedt (provider)

  1. Documenteer grondig: zorg dat je technische documentatie op orde is, inclusief beschrijving van trainingsprocedures, evaluatieresultaten en bekende beperkingen.
  2. Publiceer een trainingsdatasamenvatting: dit is verplicht en moet voldoende detail bevatten om auteursrechthebbenden in staat te stellen hun rechten te handhaven.
  3. Bouw compliance-structuren: wacht niet tot augustus 2026. Richt nu processen in voor incidentrapportage, modelevaluatie en risicobeoordeling.
  4. Overweeg ondertekening van de Code of Practice: deelname aan de Taskforce geeft je directe toegang tot de laatste interpretaties en verwachtingen van het AI Office.

Als je GPAI-modellen gebruikt (deployer)

  1. Ken je leverancier: vraag actief naar de technische documentatie en compliance-status van de GPAI-modellen die je inzet. De AI Act verplicht aanbieders om deze informatie te leveren.
  2. Controleer downstream verplichtingen: als je een GPAI-model integreert in een eigen product of dienst, word je mogelijk zelf aanbieder van een AI-systeem met bijbehorende verplichtingen.
  3. Beoordeel auteursrechtrisico's: als je content genereert met GPAI-tools, is het verstandig om te begrijpen hoe het onderliggende model is getraind en of er risico's zijn rond intellectueel eigendom.
  4. Houd de Taskforce-output in de gaten: de praktische interpretaties die uit de Taskforce komen, geven richting aan wat toezichthouders straks verwachten.

Het grotere plaatje

De Signatory Taskforce volgt een model dat de EU eerder heeft toegepast bij de Code of Conduct on Disinformation onder de Digital Services Act. Het patroon is herkenbaar: eerst vrijwillige samenwerking, vervolgens bindende regulering, met de vrijwillige instrumenten als brug daartussen.

Voor organisaties die werken met AI - of dat nu als ontwikkelaar of als gebruiker is - is de boodschap helder: de tijd van afwachten is voorbij. De Code of Practice en de Taskforce bieden een concreet handvat om nu te beginnen met compliance, ruim voor de handhavingsdeadline.

Praktische eerste stap: Breng in kaart welke GPAI-modellen je organisatie gebruikt, van wie ze komen, en welke documentatie je leverancier beschikbaar stelt. Dit overzicht is de basis voor elke verdere compliance-actie.

De komende maanden zullen de contouren van GPAI-handhaving steeds scherper worden. Organisaties die nu investeren in begrip en voorbereiding, staan straks niet voor verrassingen.