De meeste Nederlandse bedrijven bouwen geen AI. Ze kopen het. Een HR-tool met cv-screening, een chatbot voor de klantenservice, een AI-functie in het boekhoudpakket: vrijwel elk MKB is gebruiksverantwoordelijke (deployer), niet aanbieder. Toch verdwijnt uw verantwoordelijkheid onder de AI Act niet op het moment dat u een licentie tekent. De wet maakt naleving juist afdwingbaar door de hele keten heen.
Wie inkoopt, leunt op zijn leverancier. Of een systeem hoog-risico is, of er een conformiteitsbeoordeling achter zit, of de transparantieplicht goed geregeld is: dat kunt u zelden zelf vaststellen. U moet ernaar vragen. Dit artikel geeft u de zeven vragen die het verschil maken, plus hoe een goed antwoord eruitziet.
Waarom uw leverancier uw compliance bepaalt
De AI Act legt verplichtingen op aan rollen, niet aan sectoren. Een aanbieder (provider) bouwt een AI-systeem of brengt het op de markt. Een gebruiksverantwoordelijke (deployer) zet het in voor de eigen bedrijfsvoering. Voor hoog-risico AI heeft die gebruiksverantwoordelijke eigen plichten onder Artikel 26: het systeem gebruiken volgens de instructies, menselijk toezicht inrichten, de werking monitoren en de logs bewaren. Die plichten kunt u alleen waarmaken als uw leverancier u de juiste informatie aanlevert.
Hoog-risico is trouwens een eigenschap van het systeem en het gebruiksdoel, niet van uw branche. Een AI-systeem dat sollicitanten beoordeelt of kredietwaardigheid scoort, valt onder Bijlage III, ongeacht de sector waarin u werkt. Dezelfde leverancier die u een tool verkoopt die alleen facturen samenvat, levert iets dat er niet onder valt. De functie bepaalt het risico, niet de verkoper.
Wanneer u zelf aanbieder wordt
Let hier scherp op, want dit is de duurste valkuil bij inkoop. Onder Artikel 25 kunt u als inkoper zelf provider worden. Dat gebeurt in drie situaties: u zet uw eigen merknaam of logo op het systeem, u past het wezenlijk aan, of u gebruikt het voor een ander doel waardoor het ineens hoog-risico wordt. Wie een ingekocht model fine-tunet en onder eigen naam aanbiedt, erft de volledige set providerplichten, inclusief de conformiteitsbeoordeling. Vraag uw leverancier dus niet alleen wat de tool doet, maar ook wat u er wel en niet mee mag doen zonder zelf aanbieder te worden.
De zeven vragen aan uw AI-leverancier
Neem deze vragen mee in elk inkooptraject en bij elke contractverlenging. Leg de antwoorden schriftelijk vast.
Welke rol en risicoclassificatie horen bij dit systeem?
Laat de leverancier benoemen of hij aanbieder is, of het systeem onder Bijlage III hoog-risico valt en wat het beoogde doel is. Dit bepaalt welke plichten bij u terechtkomen.
Is er een conformiteitsbeoordeling en CE-markering?
Voor hoog-risico AI is dit verplicht. Vraag om de EU-conformiteitsverklaring en, waar van toepassing, het CE-merk. Geen verklaring betekent dat u een mogelijk niet-conform systeem inzet.
Krijg ik de gebruiksinstructies en technische documentatie?
Artikel 13 verplicht aanbieders heldere instructies te leveren. Zonder die documentatie kunt u geen menselijk toezicht of monitoring inrichten en voldoet u zelf niet aan Artikel 26.
Waar staat mijn data en is er een verwerkersovereenkomst?
Vraag naar de hostinglocatie en een verwerkersovereenkomst conform Artikel 28 AVG. EU-hosting voorkomt veel discussie over doorgifte en is voor gevoelige data vaak een harde eis.
Hoe is de transparantieplicht geregeld?
Een chatbot moet melden dat het AI is en AI-content moet herkenbaar zijn (Artikel 50, van kracht vanaf 2 augustus 2026). Vraag of de tool dit standaard doet en per welke datum, zodat u niet zelf in overtreding raakt.
Levert u downstream-documentatie voor het onderliggende model?
Draait de tool op een GPAI-model zoals GPT, Claude of Gemini, dan moet de modelaanbieder documentatie en een samenvatting van de trainingsdata leveren (Artikel 53). Die informatie heeft u nodig voor uw eigen dossier.
Wat doet u bij incidenten, updates en een controle?
Vraag naar logging, een audit-trail, een meldroute voor storingen en ondersteuning als een toezichthouder documentatie opvraagt. Een leverancier die hier vaag over blijft, laat u op het verkeerde moment in de steek.
Leg de antwoorden vast in uw AI-register
De antwoorden zijn pas waardevol als u ze terugvindt. Noteer per ingekochte tool de leverancier, de rol, de risicoclassificatie en de ontvangen documenten in uw AI-register. Dat register is het eerste dat een toezichthouder opvraagt. Het maakt ook meteen zichtbaar welke leveranciers hun zaken op orde hebben en welke niet. Hoe u zo'n register opzet, leest u in AI-register opzetten. Begin met een eerlijke AI-inventaris van alles wat er al draait, inclusief de AI die verstopt zit in bestaande software.
Wat als een leverancier geen antwoord heeft?
Dat is zelf een antwoord. Een aanbieder die de risicoclassificatie niet kent of geen documentatie kan overleggen, is een risico dat u overneemt zodra u tekent. U heeft als inkoper meer macht dan u denkt. De plicht is afdwingbaar in de keten: levert een partij niet-conforme AI, dan kunt u daar als afnemer een klacht over indienen bij de toezichthouder. Gebruik dat als drukmiddel aan de onderhandeltafel, of kies een leverancier die wel open kaart speelt.
De boetes onderstrepen het belang. Ze lopen op tot 35 miljoen euro of 7 procent van de wereldwijde jaaromzet bij de zwaarste overtredingen, waarbij voor het MKB het laagste van die twee bedragen geldt. Een tool die compliance-problemen meebrengt, is zelden de goedkoopste keuze.
Veelgestelde vragen
Ben ik aansprakelijk als ik een niet-conforme AI-tool inkoop?
U bent verantwoordelijk voor uw eigen rol. Als gebruiksverantwoordelijke moet u redelijke zorg betrachten: het systeem inzetten volgens de instructies, met menselijk toezicht en monitoring (Artikel 26). Koopt u aantoonbaar zonder enige controle een systeem dat de wet schendt, dan staat u zwak bij een incident. De aanbieder blijft verantwoordelijk voor de conformiteit van het systeem zelf, maar dat ontslaat u niet van uw eigen plichten.
Geldt dit ook voor ChatGPT, Copilot of een AI-functie in bestaande software?
Ja. Ook kant-en-klare en ingebedde AI valt onder de wet. Bij algemene tools als ChatGPT of Copilot zijn vooral de vragen over transparantie, het onderliggende model en de dataopslag relevant. Juist deze laagdrempelige tools belanden vaak ongezien in de organisatie. Lees ook hoe u grip houdt op shadow AI.
Moet ik deze vragen bij elke AI-tool stellen?
Proportioneel. Voor een hoog-risico systeem (werving, kredietbeoordeling, zorg) doorloopt u alle zeven vragen grondig. Voor een eenvoudige tekstgenerator volstaat een lichtere check op data, transparantie en het onderliggende model. De vuistregel: hoe groter de impact op mensen, hoe scherper de due diligence.
Weet u niet zeker welke ingekochte tools hoog-risico zijn en welke vragen voorrang verdienen? De gratis AI Risicoscanner van AIComplianceHub brengt uw AI-gebruik in kaart en laat per systeem zien welke verplichtingen en welke leveranciersvragen op u van toepassing zijn. Start de gratis risicoscan.