Responsible AI Platform
AI Providers & GPAI

AI Act Compliance voor Technologie & Software

GPAI, SaaS en AI-as-a-Service — provider-verplichtingen onder de AI Act

Praktische richtlijnen voor technologiebedrijven, softwareontwikkelaars en AI-providers om te voldoen aan de EU AI Act.

Bekijk de compliance checklist

Waarom Nu Actie Ondernemen?

De AI Act heeft grote impact op technologie- en softwarebedrijven

Augustus 2025

Eerste verplichtingen voor GPAI-modellen en AI-providers worden van kracht

Provider = Primair Verantwoordelijk

Als ontwikkelaar van AI-systemen draag je de zwaarste verplichtingen onder de AI Act

Boetes tot €35 miljoen

Of 7% van wereldwijde jaaromzet — het EU AI Office gaat handhaven op GPAI-regels

Technische Documentatie

Uitgebreide documentatie over training data, model architectuur en evaluatieresultaten verplicht

AI-toepassingen onder de AI Act

Deze AI-toepassingen vallen onder specifieke AI Act verplichtingen

General Purpose AI (GPAI)

Foundation models zoals LLMs, multimodale modellen en generatieve AI — specifieke GPAI-verplichtingen inclusief transparantie en copyright compliance.

Large Language ModelsMultimodale AIText-to-image modellenCode generation AI

SaaS met Embedded AI

Software-as-a-Service producten met geïntegreerde AI-functionaliteit — provider-verantwoordelijkheid voor de AI-component.

CRM met AI-scoringHR-software met matchingAnalytics platformsAutomated decision tools

AI-as-a-Service (AIaaS)

API-gebaseerde AI-diensten die door derden worden geïntegreerd — gedeelde verantwoordelijkheid tussen provider en deployer.

AI API servicesML model hostingComputer vision APIsNLP-as-a-Service

Developer Tools & MLOps

Platforms voor het bouwen, trainen en deployen van AI-modellen — verantwoordelijkheid in de AI supply chain.

ML platformsAutoML toolsModel monitoringFeature stores

Specifieke Uitdagingen voor Technologiebedrijven

De AI Act brengt unieke compliance-vragen voor de technologie sector

Provider vs Deployer Rolverdeling

Als tech bedrijf ben je vaak zowel provider als deployer. Hoe splits je verantwoordelijkheden in de value chain?

GPAI Compliance (Artikel 51-56)

Nieuwe regels specifiek voor general purpose AI. Technische documentatie, copyright compliance en transparantieverplichtingen.

Open Source Uitzonderingen

Wanneer geldt de open source uitzondering (Art. 2(12))? En wat zijn de verplichtingen die blijven bestaan voor open source AI?

Systemic Risk Classificatie

GPAI-modellen met "systemic risk" (>10²⁵ FLOPs) hebben extra verplichtingen. Hoe bepaal je of je model hieronder valt?

Downstream Gebruik

Je AI wordt door derden ingezet — mogelijk in hoog-risico contexten. Hoe beperk je aansprakelijkheid?

AI Office Verwachtingen

Het EU AI Office houdt toezicht op GPAI. Welke guidance en codes of practice worden verwacht?

AI Act Compliance Stappenplan

Praktische stappen voor technologiebedrijven

1

AI Product Inventarisatie

2-4 weken

Breng alle AI-producten en -diensten in kaart. Welke modellen, APIs en embedded AI bied je aan?

2

Rol & Risico Classificatie

1-2 weken

Bepaal per product je rol (provider/deployer/distributeur) en het risiconiveau.

3

Gap Analyse

3-6 weken

Vergelijk huidige technische documentatie, testing en monitoring met AI Act vereisten.

4

Remediatie

3-12 maanden

Implementeer model cards, technische documentatie, bias testing, red teaming en monitoring.

5

Ongoing Compliance

Doorlopend

Zet processen op voor model updates, incidentrapportage en samenwerking met downstream deployers.

15 maanden traject

Implementatie Roadmap

Gedetailleerd 6-fasen traject met concrete deliverables

1

Inventarisatie

Maand 1-2
Compleet AI-productregisterProvider/deployer-rol per productGPAI-model inventarisatie
2

Classificatie

Maand 2-3
GPAI vs. hoog-risico vs. beperkt risico per systeemSystemic risk assessmentOpen source analyse
3

Gap Analyse

Maand 3-5
Per AI-product: gap tussen huidige documentatie en AI Act/GPAI-vereistenAnnex IV compliance check
4

Governance & Beleid

Maand 5-7
AI governance structuurProvider-deployer contractenIncident response procedures
5

Technische Implementatie

Maand 7-12
Model cards & technische docsCopyright compliance pipelineMonitoring & logging systemenRed teaming framework
6

AI Office Ready

Maand 12-15
Interne audit op GPAI-verplichtingenDry-run voor AI OfficeContinue compliance monitoring

AI-Systeem Inventarisatie

Typische AI-producten in de technologiesector en hun waarschijnlijke classificatie

Belangrijk: De provider/deployer-rol bepaalt je verplichtingen. Als je AI bouwt voor anderen ben je bijna altijd een provider met volledige verplichtingen.

Foundation Models (GPAI)

GPAI-verplichtingen
Large Language ModelsMultimodale modellenText-to-imageCode generatie

Art. 51-56 — altijd GPAI-verplichtingen, ongeacht downstream gebruik

GPAI met Systemic Risk

Systemic risk
Modellen >10²⁵ FLOPsBreed inzetbare modellenModellen met hoge impact

Extra verplichtingen: red teaming, incident reporting, cybersecurity evaluatie

SaaS met AI-componenten

Context-afhankelijk
CRM met AI-scoringAnalytics platformsPredictive toolsRecommendation engines

Classificatie hangt af van het toepassingsgebied — hoog-risico als het in Annex III valt

AI API Services

Provider + downstream risico
Computer vision APINLP-as-a-ServiceSpeech-to-textSentiment analysis

Je bent provider van de AI-component, deployer bepaalt mede het risiconiveau

Open Source AI

Beperkte uitzondering
Open source modellenOpen weightsCommunity modelsFine-tuning tools

Art. 2(12) uitzondering geldt NIET voor GPAI met systemic risk of hoog-risico toepassingen

Interne Tools & MLOps

Meestal minimaal risico
ML platformsFeature storesModel monitoringCI/CD voor AI

Minimaal risico tenzij het direct AI-producten voor derden oplevert

Classificatie Beslisboom

Bepaal snel de classificatie van uw AI-product

Bied je een AI-model aan dat voor diverse doeleinden ingezet kan worden (general purpose)?

Ja

GPAI-verplichtingen (Art. 51-56)

Nee

Ga naar volgende vraag

Wordt je AI-systeem ingezet in een hoog-risico context (Annex III)?

Ja

Hoog-risico provider-verplichtingen

Nee

Ga naar volgende vraag

Genereert je systeem content (tekst, beeld, audio) of interacteert het direct met gebruikers?

Ja

Beperkt risico — transparantieverplichtingen (Art. 50)

Nee

Ga naar volgende vraag

Is het puur een intern hulpmiddel zonder directe impact op eindgebruikers?

Ja

Minimaal risico — alleen AI-geletterdheid verplicht

Nee

Raadpleeg een expert voor classificatie

Dit is een vereenvoudigde beslisboom. Fine-tuning van GPAI kan je provider-status geven. Raadpleeg juridisch advies.

Governance Structuur

Aanbevolen organisatiestructuur voor AI governance in technologiebedrijven

CTO / VP Engineering
AI Governance Board (Product, Legal, Engineering, Security)
AI Compliance Lead per product
Responsible AI Team
Security & Red Teaming
Legal & Regulatory Affairs

Integreer AI governance in je bestaande development lifecycle (SDLC) — maak het onderdeel van je CI/CD pipeline, niet een apart proces.

Belangrijke Rollen

AI Product Owner

Verantwoordelijk per AI-product voor compliance, documentatie en downstream communicatie

AI Compliance Officer

Overall monitoring van AI Act en GPAI-verplichtingen across alle producten

ML Engineering Lead

Technische implementatie van model cards, logging, bias testing en red teaming

AI Literacy Coordinator

Borgt AI-geletterdheid van medewerkers — verplicht voor alle AI-aanbieders (Art. 4)

Compliance Checklist voor AI-providers

Concrete checkpunten per AI-product

Provider/deployer-rol per product vastgesteldArt. 3
GPAI-model geregistreerd bij AI OfficeArt. 49
Technische documentatie conform Annex IVArt. 53
Copyright compliance beleid opgesteldArt. 53(1)(c)
Transparantie-informatie voor downstream providersArt. 53(1)(b)
Risicomanagement systeem opgezet (hoog-risico)Art. 9
Data governance & trainingsdata documentatieArt. 10
Logging & monitoring ingeregeldArt. 12
AI-geletterdheid medewerkers geborgdArt. 4
Red teaming uitgevoerd (systemic risk GPAI)Art. 55
Incident response procedure ingerichtArt. 62

Deze checklist geldt per AI-product. GPAI-providers hebben aanvullende verplichtingen bovenop standaard provider-eisen.

Veelgemaakte Fouten

Voorkom deze valkuilen bij AI Act implementatie

Denken dat je "alleen deployer" bent

Als je AI bouwt voor anderen, ben je provider. Fine-tuning van GPAI kan je ook provider maken.

Open source = geen verplichtingen

De open source uitzondering is beperkt. GPAI met systemic risk en hoog-risico toepassingen zijn uitgezonderd.

Technische documentatie uitstellen

Annex IV vereist uitgebreide docs over architectuur, trainingsdata en evaluatie. Begin nu met model cards.

Downstream gebruik negeren

Je bent medeverantwoordelijk als je AI in hoog-risico contexten wordt ingezet. Documenteer intended use.

AI-geletterdheid vergeten

Art. 4 verplicht AI-geletterdheid voor alle medewerkers die met AI werken. Dit geldt per augustus 2025.

Wachten op codes of practice

De GPAI-verplichtingen gelden al. Begin met compliance — codes of practice verfijnen, maar vervangen niet.

Wat Maakt Technologie AI Anders?

Specifieke overwegingen voor de sector

Provider-verplichtingen

Tech bedrijven dragen als AI-provider de zwaarste compliance-last onder de AI Act

GPAI Regelgeving

Specifieke regels voor foundation models die geen andere sector heeft — inclusief transparantie over trainingsdata

Supply Chain Verantwoordelijkheid

Je AI wordt downstream ingezet — je bent medeverantwoordelijk voor de hele keten

Open Source Nuances

Open source AI heeft beperkte uitzonderingen, maar niet voor GPAI met systemic risk

Tech-regelgeving

Regulatory Overlap

Hoe de AI Act samenhangt met andere tech-regelgeving

Digital Markets Act (DMA)

Overlap: Gatekeepers, interoperabiliteit, algoritmetransparantie

Praktische tip: DMA-verplichtingen voor gatekeepers overlappen met AI Act transparantie-eisen — combineer rapportages

Digital Services Act (DSA)

Overlap: Algoritmische aanbevelingssystemen, risicobeoordeling

Praktische tip: DSA vereist al transparantie over recommender systems — AI Act voegt technische documentatie-eisen toe

Cyber Resilience Act (CRA)

Overlap: Software security, vulnerability management, CE-markering

Praktische tip: CRA en AI Act hebben beide CE-markering — coördineer conformiteitsbeoordelingen

GDPR/AVG

Overlap: Trainingsdata, geautomatiseerde besluitvorming (Art. 22), DPIA

Praktische tip: FRIA kan deels overlappen met DPIA — combineer waar mogelijk voor efficiëntie

NIS2 Richtlijn

Overlap: Cybersecurity, incident reporting, supply chain security

Praktische tip: NIS2 incident reporting sluit aan bij AI Act incident-verplichtingen voor systemic risk GPAI

Kennisbank

Gerelateerde Artikelen

Verdiep je kennis over AI Act compliance voor technologie & software

FRIA

FRIA: Complete Gids voor Artikel 27 AI Act

Alles over de verplichte grondrechteneffectbeoordeling voor hoog-risico AI-systemen.

Lees meer
AI Agents

AI Agents: De Governance-uitdaging

Hoe organisaties AI agents verantwoord inzetten en beheren onder de AI Act.

Lees meer
Security

AP Waarschuwt voor Beveiligingsrisico's AI Agents

De Autoriteit Persoonsgegevens waarschuwt voor security-risico's bij AI agents.

Lees meer

Klaar om te Starten met AI Act Compliance?

Praktische tools en begeleiding voor technologiebedrijven

Gebruik de FRIA Generator

Genereer een Fundamental Rights Impact Assessment

Bereken uw boete-risico

Ontdek wat non-compliance kan kosten

Classificeer uw AI-systemen

Gebruik onze decision tree tool

Gratis oriënterend gesprek van 30 minuten

of

Praktische updates over GPAI, provider-verplichtingen en AI Office guidance