AI Act verplichtingen voor aanbieders: de complete gids voor softwarebedrijven
Bouw je AI-functionaliteit in jouw software? Dan ben je aanbieder onder de AI Act met uitgebreide verplichtingen. Dit is wat je concreet moet regelen en wat het kost.
Als softwarebedrijf dat AI-functionaliteit verwerkt in jouw product sta je voor een fundamentele keuze. Je kunt de AI Act behandelen als een last die je zo laat mogelijk en zo minimaal mogelijk aanpakt. Of je kunt het zien als een kwaliteitsstandaard die het vertrouwen van klanten vergroot en die aantoont dat jouw AI verantwoord werkt.
Die keuze heeft gevolgen voor hoe je de verplichtingen aanpakt. Dit artikel behandelt de concrete verplichtingen voor aanbieders, gesplitst naar risicocategorie, met realistische kostenramingen en een implementatievolgorde.
Ben jij een aanbieder?
Je bent aanbieder onder de AI Act als je een AI-systeem ontwikkelt of laat ontwikkelen met als doel dit op de markt te brengen of in gebruik te stellen, ook als dat gratis of als onderdeel van een bredere dienst is.
Een paar concrete situaties:
Jij bouwt een HR-tool voor MKB-bedrijven en voegt een functie toe die automatisch cv's rangschikt. Aanbieder. De rangschikkingsfunctie valt bovendien in de hoog-risico categorie.
Jij bouwt een klantenservice-chatbot die bedrijven kunnen inzetten op hun website. Aanbieder. De chatbot valt in de beperkt-risico categorie vanwege de transparantieverplichting.
Jij integreert de OpenAI API in jouw product om teksten samen te vatten. Aanbieder voor de integratie. De mate van verplichting hangt af van wat je product doet met die samenvatting en of er beslissingen mee worden gemaakt die mensen raken.
Jij bent reseller van andermans AI-systeem zonder aanpassing. Dan ben je distributeur, niet aanbieder. Maar als je het product in jouw naam op de markt brengt of de beoogde gebruikers significant verandert, kun je toch aanbieder worden.
De risicocategorie bepaalt alles
De AI Act werkt met vier categorieën. De categorie van jouw AI-systeem bepaalt welke verplichtingen gelden.
Verboden AI is een kleine categorie met absolute verboden: sociale scoresystemen, manipulatieve AI, realtime biometrische identificatie in publieke ruimten. Als jouw product hieronder valt, stop dan onmiddellijk.
Hoog-risico AI is de categorie met de zwaarste verplichtingen. Hoog-risico zijn systemen die worden ingezet bij: werving en personeelsselectie, prestatiebeoordeling van werknemers, kredietscoring voor leningen, toegang tot essentiële diensten, beoordeling van scholieren, medische diagnose, en rechtsbedeling. Als jouw product in een van deze domeinen opereert en beslissingen ondersteunt die mensen direct raken, ben je waarschijnlijk hoog-risico.
Beperkt-risico AI omvat chatbots en systemen die synthetische content genereren. Verplicht: gebruikers informeren dat ze met AI interageren.
Minimaal-risico AI heeft geen specifieke AI-Act-verplichtingen. De meeste productiviteitstools, marketing-AI en analysesoftware valt hier.
Verplichtingen voor hoog-risico aanbieders: concrete acties
Als jouw systeem hoog-risico is, zijn dit de verplichtingen die je voor plaatsing op de markt moet hebben geïmplementeerd:
1. Risicobeheerssysteem (artikel 9)
Dit is niet een document maar een doorlopend proces. Je documenteert welke risico's jouw systeem heeft voor de mensen die het gebruikt en voor de mensen over wie het beslissingen helpt nemen. Je stelt maatregelen in om die risico's te beheersen. Je evalueert de risico's periodiek.
Praktisch: een risicoregister bijhouden, kwartaals bijgewerkt, met bekende biases, foutscenario's, en de maatregelen die je hebt genomen.
2. Datacatalogus en datakwaliteit (artikel 10)
Jouw trainingdata, validatiedata en testdata moet voldoen aan kwaliteitsvereisten. Je moet documenteren waar de data vandaan komt, hoe representatief die is, en welke stappen je hebt gezet om biases te detecteren en te corrigeren.
Praktisch: een data card per dataset. Beschrijving van de bron, de omvang, de gebruikte kwaliteitscontroles, de gedetecteerde en gecorrigeerde biases.
3. Technische documentatie (artikel 11 en bijlage IV)
Bijlage IV van de AI Act specificeert wat de technische documentatie moet bevatten. Dit is uitgebreid: beschrijving van het systeem, de architectuur, de trainingsmethode, de prestatieresultaten, de beperkingen, de beoogde gebruikers, de vereiste toezichtsmaatregelen.
Schatting: het opstellen van volledige technische documentatie voor een bestaand hoog-risico systeem kost gemiddeld twee tot vier weken voor een klein team.
4. Logging en traceerbaarheid (artikel 12)
Hoog-risico AI-systemen moeten automatisch log-events genereren. Minimaal: tijdstempel van elke beslissing, de input op hoofdlijnen, de output, de versie van het systeem.
5. Transparantie naar gebruikers (artikel 13)
Je moet gebruikers voorzien van duidelijke instructies. Die instructies bevatten: identiteit van de aanbieder, doel en capaciteiten van het systeem, de beperkingen, de vereiste menselijk-toezichtsmaatregelen, en hoe ze de output moeten interpreteren.
6. Menselijk toezicht mogelijk maken (artikel 14)
Het systeem moet zo zijn ontworpen dat menselijk toezicht effectief is. Dat betekent: de output moet begrijpelijk zijn voor de toezichthouder, er moeten mechanismen zijn om de beslissing te negeren of te corrigeren, en het systeem mag niet zo zijn ontworpen dat menselijk toezicht in de praktijk wordt omzeild.
7. Nauwkeurigheid, robuustheid en beveiliging (artikel 15)
Aantoonbaar adequate nauwkeurigheid voor het beoogde doel. Robuustheid: prestatie degradeert niet onverwacht bij invoervariatie. Beveiliging: het systeem is bestand tegen manipulatie.
8. Conformiteitsbeoordeling (artikel 43)
Voor de meeste hoog-risico systemen (niet biometrie) is een zelfevaluatie mogelijk. Je beoordeelt zelf of het systeem voldoet aan de vereisten en documenteert die beoordeling.
9. CE-markering en EU-verklaring van conformiteit (artikel 49)
Na de conformiteitsbeoordeling: de CE-markering op het systeem en een EU-verklaring van conformiteit opstellen.
10. Registratie in EU-database (artikel 51)
Hoog-risico systemen moeten worden geregistreerd voor plaatsing op de markt.
Wat het kost: realistische schattingen
Er is weinig openbaar beschikbare data over compliance-kosten voor de AI Act. Op basis van de analogie met GDPR-implementaties en de tijdsinvestering per verplichting zijn dit realistische schattingen voor een klein tot middelgroot softwarebedrijf:
| Verplichting | Eenmalige kosten | Doorlopend per jaar |
|---|---|---|
| Risicobeheerssysteem opzetten | 5.000 – 15.000 euro | 2.000 – 8.000 euro |
| Technische documentatie | 8.000 – 25.000 euro | 3.000 – 8.000 euro |
| Data-documentatie | 3.000 – 10.000 euro | 2.000 – 5.000 euro |
| Logging implementeren | 5.000 – 20.000 euro | 1.000 – 3.000 euro |
| Conformiteitsbeoordeling | 5.000 – 15.000 euro | 3.000 – 8.000 euro |
| Juridisch advies | 5.000 – 20.000 euro | 2.000 – 5.000 euro |
| Totaal | 31.000 – 105.000 euro | 13.000 – 37.000 euro |
Dat zijn substantiële bedragen voor kleinere softwarebedrijven. Maar bedenk: de boetes voor niet-naleving kunnen oplopen tot dertig miljoen euro of zes procent van de wereldwijde jaaromzet voor hoog-risico overtredingen.
De implementatievolgorde voor bestaande producten
Als jouw bestaand product hoog-risico AI bevat, is de aanbevolen volgorde:
Maand 1-2: Scopebepaling. Welke onderdelen van jouw product zijn hoog-risico? Stel een AI-Act-team samen (product, juridisch, technisch). Begin met de technische documentatie.
Maand 3-4: Risicobeheerssysteem opzetten. Data-documentatie bijwerken. Logging implementeren in de software.
Maand 5-6: Transparantie-documentatie voor gebruikers. Aanpassen van de gebruikersinterface om menselijk toezicht te faciliteren. Conformiteitsbeoordeling uitvoeren.
Maand 7: CE-markering, EU-verklaring, registratie.
Tijdlijn: wanneer gelden welke verplichtingen?
De AI Act kent een gefaseerde inwerkingtreding. Voor aanbieders zijn de meest relevante data:
| Datum | Wat treedt in werking |
|---|---|
| Februari 2025 | Verboden AI-toepassingen (artikel 5) |
| Augustus 2025 | Regels voor General-Purpose AI-modellen (GPAI) |
| Augustus 2026 | Volledige verplichtingen voor hoog-risico AI, inclusief conformiteitsbeoordeling en registratie |
| Augustus 2027 | Verplichtingen voor hoog-risico AI ingebouwd in gereguleerde producten (medische hulpmiddelen, etc.) |
Voor aanbieders die nu al hoog-risico AI op de markt brengen: de verwachting van toezichthouders is dat je actief werkt aan compliance. Wachten tot augustus 2026 en dan in twee maanden proberen te voldoen is onrealistisch voor systemen met serieuze documentatievereisten.
Verplichtingen per risicocategorie voor aanbieders
| Risicocategorie | Verplichtingen aanbieder | Documenten | Inwerkingtreding |
|---|---|---|---|
| Verboden AI (art. 5) | Niet ontwikkelen/leveren | N.v.t. | 2 augustus 2025 |
| Hoog-risico AI bijlage I+III | CE-markering, conformiteitsbeoordeling, technische documentatie, registratie EU-database | Technisch dossier, conformiteitsverklaring, gebruikershandleiding | 2 augustus 2026 |
| GPAI (foundation models) | Technische documentatie, trainingsdata-samenvatting, auteursrechtbeleid | GPAI-documentatieset | 2 augustus 2025 |
| GPAI met systemisch risico | Bovenstaande + modelbeoordelingen, incidentmelding, cybersecurity | Uitgebreide documentatie + audits | 2 augustus 2025 |
| Beperkt-risico AI (chatbots) | Transparantie aan gebruiker | Geen formele documentatie | 2 augustus 2025 |
| Minimaal-risico AI | Vrijwillige gedragscode | Geen verplichting | N.v.t. |
Boetes voor aanbieders: overzicht AI Act
| Overtreding | Maximale boete | Voor wie |
|---|---|---|
| Verboden AI-praktijken | €35 mln of 7% omzet | Alle aanbieders |
| Hoog-risico AI niet conform | €15 mln of 3% omzet | Aanbieders hoog-risico AI |
| Onjuiste info aan toezichthouder | €7,5 mln of 1,5% omzet | Alle aanbieders |
| GPAI-model verplichtingen | €15 mln of 3% omzet | GPAI-aanbieders |
Tijdlijn aanbieder-verplichtingen
| Datum | Verplichting | Voor wie |
|---|---|---|
| 2 augustus 2025 | Verboden AI verbod, GPAI-verplichtingen, beperkt-risico transparantie | Alle aanbieders EU |
| 2 augustus 2026 | Hoog-risico AI bijlage III (HR, krediet, onderwijs, biometrie) | Aanbieders hoog-risico AI |
| 2 augustus 2027 | Hoog-risico AI bijlage I (veiligheidssystemen, medisch) | Fabrikanten kritieke producten |
CE-markering voor hoog-risico AI: wat het inhoudt
| Stap | Actie | Wie | Kosten indicatie |
|---|---|---|---|
| Risicoanalyse | Beoordeel of systeem hoog-risico is | Aanbieder | €2.000-€10.000 |
| Conformiteitsbeoordeling | Zelf (laag complex) of externe notified body | Aanbieder of notified body | €5.000-€50.000 |
| Technisch dossier samenstellen | Documentatie algoritme, trainingsdata, validatie | Aanbieder | €5.000-€20.000 intern |
| EU-registratie database | Registratie in EU AI-systemen database | Aanbieder | €0 (administratief) |
| CE-markering aanbrengen | Op product of documentatie | Aanbieder | €0 |
Veelgestelde vragen
Wij gebruiken een AI-API van OpenAI en bouwen daar een product op. Zijn we aanbieder?
Ja, voor het product dat je op de markt brengt. OpenAI is aanbieder van de API, jij bent aanbieder van jouw product. Jouw verplichtingen gelden voor het geheel.
We zijn een Nederlandse startup met tien medewerkers. Gelden dezelfde regels?
Dezelfde regels gelden, maar de AI Act erkent dat kleine ondernemingen soms ondersteuning nodig hebben. Toezichthouders mogen specifieke maatregelen nemen om kleine aanbieders te ondersteunen. De verwachting is dat handhaving zich eerst richt op grotere aanbieders met hogere risicoprofielen.
Onze AI is nog in ontwikkeling. Moeten we nu al voldoen?
Nee voor producten die nog niet op de markt zijn gebracht. Maar bouw compliance in vanaf het begin, niet achteraf. Het is significant goedkoper.
*Zie ook: AI Act risicoclassificatie, AI risicos voor het MKB, AI en de AVG, AI Act verplichtingen voor gebruikers, AI-transparantieverplichting en DMA en DSA voor het MKB.*