Provider vs Deployer
Het belangrijkste onderscheid in de EU AI Act
Begrijp of je provider (aanbieder) of deployer (gebruiker) bent. Dit bepaalt al je verplichtingen onder de wet.
Bepaal je Rol in 3 Stappen
Beantwoord een paar vragen over je AI-systeem en ontdek direct of je provider, deployer of een andere rol hebt β inclusief je specifieke verplichtingen.
Duurt minder dan 1 minuut
OfficiΓ«le Definities
Wat zegt de wet precies?
De EU AI Act maakt een fundamenteel onderscheid tussen providers (aanbieders) en deployers (gebruiksverantwoordelijken). Een provider is degene die een AI-systeem ontwikkelt of laat ontwikkelen en het op de markt brengt onder eigen naam. Een deployer is een organisatie die een AI-systeem professioneel gebruikt. Dit onderscheid bepaalt welke verplichtingen voor jou gelden.
Provider (Artikel 3, lid 3)
Ontwikkelt het AI-systeem of brengt het op de markt onder eigen naam/merk
Deployer (Artikel 3, lid 4)
Gebruikt een AI-systeem onder eigen verantwoordelijkheid voor professionele doeleinden
Beide rollen mogelijk
Een organisatie kan voor verschillende systemen verschillende rollen hebben
Rol bepaalt verplichtingen
Providers hebben meer en zwaardere verplichtingen dan deployers
Gerelateerde artikelen
Beslisboom: Bepaal je Rol
In 3 vragen weet je het antwoord
Gebruik deze beslisboom om te bepalen of je provider of deployer bent. Vraag 1: Heb je het AI-systeem zelf ontwikkeld of laten ontwikkelen? Zo nee β je bent waarschijnlijk deployer. Zo ja β ga naar vraag 2. Vraag 2: Breng je het op de markt onder eigen naam/merk? Zo ja β je bent provider. Zo nee β vraag 3. Vraag 3: Gebruik je het alleen intern? Zo ja β je bent nog steeds provider (ook voor intern gebruik). Let op: als je een AI-tool koopt, significant aanpast, en onder eigen naam doorverkoopt, ben je zowel deployer als provider.
Zelf ontwikkeld?
Nee = Deployer, Ja = Ga door
Eigen naam/merk?
Ja = Provider, Nee = Ga door
Alleen intern gebruik?
Ja = Provider, Nee = Provider
Significante aanpassing?
Je kunt van deployer naar provider veranderen!
Provider Verplichtingen
Wat moet een provider doen voor hoog-risico AI?
Als provider van een hoog-risico AI-systeem heb je uitgebreide verplichtingen. Je moet een risicobeheersysteem implementeren dat gedurende de hele levenscyclus actief blijft. Technische documentatie moet worden opgesteld vΓ³Γ³r marktintroductie. Je bent verantwoordelijk voor de conformiteitsbeoordeling, CE-markering en registratie in de EU-database. Na lancering moet je post-market monitoring uitvoeren en ernstige incidenten melden.
Risicobeheersysteem
Continu systeem gedurende gehele levenscyclus
Technische documentatie
Uitgebreide docs vΓ³Γ³r marktintroductie
Conformiteitsbeoordeling
CE-markering en EU-database registratie
Post-market monitoring
Actief monitoren en incidenten melden
Gerelateerde artikelen
Deployer Verplichtingen
Wat moet een deployer doen?
Als deployer van een hoog-risico AI-systeem heb je minder verplichtingen dan een provider, maar ze zijn niet minder belangrijk. Je moet de gebruiksinstructies van de provider nauwgezet volgen. Voor publieke organisaties en bepaalde hoog-risico toepassingen moet je een Fundamental Rights Impact Assessment (FRIA) uitvoeren. Betekenisvol menselijk toezicht is verplicht, net als het monitoren van de inputdata. Ernstige incidenten moeten worden gemeld.
Instructies volgen
Volg provider instructies nauwgezet
FRIA uitvoeren
Fundamental Rights Impact Assessment
Menselijk toezicht
Betekenisvol menselijk toezicht regelen
Incidenten melden
Ernstige incidenten binnen 15 dagen
Speciale Gevallen
Wanneer het ingewikkeld wordt
Er zijn situaties waarin je rol niet direct duidelijk is. Als je een AI-systeem koopt, significant aanpast, en onder eigen naam op de markt brengt, ben je zowel deployer (van het originele systeem) als provider (van het aangepaste systeem). Als je General Purpose AI zoals ChatGPT integreert in je eigen systeem, kun je provider worden van het gecombineerde systeem. Importeurs en distributeurs van AI-systemen van buiten de EU hebben speciale verplichtingen onder Artikelen 26 en 27.
Dubbele rol
Je kunt provider Γ©n deployer zijn
GPAI integratie
ChatGPT integreren = mogelijk provider worden
Import van buiten EU
Speciale verplichtingen importeurs
Distributeurs
Artikel 27 verplichtingen van toepassing
Impact Digital Omnibus op Provider/Deployer Verplichtingen
Voorgestelde wijzigingen (november 2025)
Het Digital Omnibus on AI-voorstel van 19 november 2025 bevat meerdere wijzigingen die direct raken aan provider- en deployer-verplichtingen. Voor providers: de registratieplicht voor AI-systemen die via Art. 6(3) zijn vrijgesteld van hoog-risico classificatie vervalt. In plaats daarvan volstaat een gedocumenteerde zelfbeoordeling. De EDPB en EDPS waarschuwen in hun Joint Opinion 1/2026 dat dit de verantwoordingsplicht ondermijnt en een ongewenste prikkel creΓ«ert om vrijstellingen te claimen. Voor deployers: de hoog-risico verplichtingen worden uitgesteld tot 6 of 12 maanden nadat geharmoniseerde standaarden beschikbaar zijn, met een uiterste deadline van december 2027 of augustus 2028. Het AI Office wordt exclusief verantwoordelijk voor toezicht op AI-systemen gebaseerd op GPAI-modellen. Daarnaast wordt het voor zowel providers als deployers mogelijk om (gevoelige) persoonsgegevens te verwerken voor bias-detectie bij alle AI-systemen, niet alleen hoog-risico. De MKB-uitzonderingen worden uitgebreid naar small mid-caps.
Registratieplicht vervalt
Niet-hoog-risico systemen: zelfbeoordeling volstaat.
Uitstel verplichtingen
Hoog-risico eisen uitgesteld tot standaarden beschikbaar zijn.
Bias-detectie verruimd
Gevoelige data voor bias-detectie ook bij niet-hoog-risico AI.
SMC-uitbreiding
MKB-voordelen nu ook voor small mid-caps.
Veelgestelde Vragen
Antwoorden op de meest voorkomende vragen over de EU AI Act
Klaar om te starten?
Ontdek hoe wij jouw organisatie kunnen helpen met EU AI Act compliance.