AI Act verplichtingen voor de IT-leverancier als aanbieder

De AI Act definieert een aanbieder als iedere natuurlijke of rechtspersoon die een AI-systeem of AI-model voor algemene doeleinden ontwikkelt of laat ontwikkelen en dit onder eigen naam of merk in de handel brengt of in gebruik stelt, al dan niet tegen betaling. 

Als IT-leverancier val je hieronder wanneer je eigen SaaS-oplossingen, white-label producten of maatwerkprojecten levert. De verordening geldt bovendien extraterritoriaal: zij is van toepassing op aanbieders die AI-systemen in de Europese Unie in de handel brengen of in gebruik stellen, ongeacht of zij in de Unie of in een derde land zijn gevestigd. Ook wanneer uitsluitend de output van een AI-systeem in de EU wordt gebruikt, kan de verordening gelden.

Bijzonder relevant: wie een bestaand AI-systeem onder eigen naam op de markt brengt, substantieel wijzigt, of het beoogde doel zodanig verandert dat het hoog-risico wordt, wordt zelf als aanbieder aangemerkt met alle bijbehorende verplichtingen. Dit treft IT-leveranciers die Large Language Models van derden integreren in eigen toepassingen.

De AI Act kent verboden praktijken, hoog-risicosystemen en systemen met beperkte transparantieverplichtingen. Bepaalde AI-praktijken zijn volledig verboden, waaronder sociale scoring en het ongericht scrapen van gezichtsafbeeldingen. Realtime biometrische identificatie op afstand in openbare ruimten is verboden voor rechtshandhaving, maar kent beperkte uitzonderingen voor specifieke situaties zoals het opsporen van vermiste personen of het voorkomen van een terroristische dreiging.

Een AI-systeem is hoog-risico wanneer het valt onder Bijlage III. Denk in dit verband aan CV-screening, kredietbeoordeling, toelatingsalgoritmes of monitoring van kritieke infrastructuur. Niet elk systeem in een Bijlage III-domein is echter automatisch hoog-risico: als het geen significant risico op schade vormt en bijvoorbeeld slechts een beperkte procedurele taak verricht, geldt de uitzondering. Die beoordeling moet je als aanbieder documenteren.

Voor hoog-risicosystemen gelden strenge eisen. Je moet een risicobeheersysteem inrichten dat gedurende de gehele levenscyclus risico’s identificeert en beperkt. Trainingsdata moeten representatief, relevant en zo bias-vrij mogelijk zijn, met gedegen documentatie over herkomst en databeheer. Technische documentatie moet vóór marktintroductie worden opgesteld. Het systeem moet menselijk toezicht mogelijk maken: gebruikers moeten de output kunnen interpreteren, beoordelen en zo nodig overrulen. Nauwkeurigheid, robuustheid en cybersecurity zijn verplicht gedurende de gehele levensduur.

Je kwaliteitsmanagementsysteem omvat onder meer procedures voor conformiteitsbeoordeling, versiebeheer en klachtenafhandeling. Vóór marktintroductie voer je een conformiteitsbeoordeling uit, breng je de CE-markering aan en registreer je het systeem in de EU-databank . Na lancering volgt post-market monitoring. Ernstige incidenten moeten zonder onnodige vertraging worden gemeld, in ieder geval binnen vijftien dagen na kennisname (bij wijdverbreide inbreuken sneller).

Wie AI-systemen aanbiedt die synthetische content genereren (tekst, beeld, audio, video), moet ervoor zorgen dat de outputs worden gemarkeerd in een machineleesbaar formaat en detecteerbaar zijn als kunstmatig gegenereerd. Aanbieders van AI-modellen voor algemene doeleinden (GPAI) moeten daarnaast technische documentatie opstellen, informatie leveren aan downstream-aanbieders en een samenvatting van de trainingsdata publiceren (met aandacht voor auteursrecht).

De verordening wordt gefaseerd ingevoerd: verboden praktijken en GPAI-verplichtingen gelden al sinds 2 februari 2025, de meeste hoog-risicoverplichtingen per 2 augustus 2026, en voor systemen die vallen onder sectorale harmonisatiewetgeving (zoals medische hulpmiddelen) geldt een extra termijn tot 2 augustus 2027. De boetes zijn aanzienlijk: tot €35 miljoen of 7% van de wereldwijde jaaromzet voor verboden praktijken, en tot €15 miljoen of 3% voor niet-naleving van andere verplichtingen.

Start met een inventarisatie van alle AI-producten en -diensten en classificeer per systeem het risiconiveau. Documenteer waarom een systeem geen hoog risico vormt als je die conclusie trekt. Bouw compliance by design in je ontwikkelproces. Zorg voor AI-geletterdheid bij je personeel. Update je contracten: leg in een schriftelijke overeenkomst met toeleveranciers vast welke informatie, technische toegang en bijstand nodig is om aan de verplichtingen te voldoen. Beperk je contractuele aansprakelijkheid waar juridisch toelaatbaar, maar houd rekening met de dwingende verplichtingen uit de verordening.