ChatGPT, Claude, Gemini, Llama, Mistral. Grote kans dat uw organisatie een of meerdere van deze AI-modellen gebruikt. Misschien direct via een chatinterface. Misschien ingebouwd in een tool die u dagelijks inzet. Of misschien via een API die uw ontwikkelteam in een eigen product heeft geintegreerd.
Deze modellen vallen onder een aparte categorie in de EU AI Act: General Purpose AI, afgekort GPAI. De regels voor GPAI wijken af van de bekende risicocategorieen. Wat betekent dit precies? Welke verplichtingen gelden er? En wat verandert er voor bedrijven die deze modellen gebruiken?
Wat is General Purpose AI?
De AI Act definieert een GPAI-model als een AI-model dat getraind is met grote hoeveelheden data, dat een significante mate van algemeenheid vertoont, en dat competent verschillende taken kan uitvoeren. Het gaat om modellen die niet voor een specifiek doel zijn gebouwd, maar breed inzetbaar zijn.
Denk aan de grote taalmodellen (LLMs) van OpenAI, Anthropic, Google en Meta. GPT-4 kan teksten schrijven, code genereren, documenten analyseren en vragen beantwoorden. Claude kan hetzelfde. Gemini ook. Ze zijn niet ontworpen voor een enkele taak. Juist die brede inzetbaarheid maakt ze krachtig. Het maakt ze ook lastig te reguleren via het standaard risicoclassificatiesysteem van de AI Act.
De wetgever heeft dit erkend. In plaats van GPAI-modellen in een risicocategorie te duwen, heeft de AI Act een apart hoofdstuk gewijd aan deze modellen: Hoofdstuk V.
Twee niveaus: standaard GPAI en systeemrisico
De AI Act maakt onderscheid tussen twee typen GPAI-modellen.
Het eerste type is het standaard GPAI-model. Elk model dat aan de definitie voldoet, krijgt basisverplichtingen opgelegd. Dit geldt voor alle grote taalmodellen op de markt, ongeacht hun omvang.
Het tweede type is het GPAI-model met systeemrisico. Dit zijn modellen waarvan de Europese Commissie oordeelt dat ze een risico kunnen vormen voor de gezondheid, veiligheid, fundamentele rechten, het milieu, de democratie of de rechtsstaat. Het belangrijkste criterium: als een model is getraind met meer dan 10^25 FLOPs aan rekenkracht, wordt het automatisch geclassificeerd als GPAI met systeemrisico.
Welke modellen vallen hieronder? Op dit moment zijn dat de grootste modellen van OpenAI (GPT-4 en opvolgers), Google (Gemini Ultra), Anthropic (Claude Opus) en Meta (de grootste Llama-varianten). Kleinere open-source modellen zoals Mistral 7B of Llama 8B vallen onder de standaard GPAI-verplichtingen.
Verplichtingen voor alle GPAI-aanbieders
Elke aanbieder van een GPAI-model moet aan de volgende verplichtingen voldoen.
Technische documentatie. De aanbieder moet gedetailleerde documentatie opstellen over het model: hoe het is getraind, op welke data, welke evaluaties zijn uitgevoerd, wat de bekende beperkingen zijn. Deze documentatie moet beschikbaar worden gesteld aan downstream aanbieders die het model in hun producten verwerken.
Auteursrechtbeleid. GPAI-aanbieders moeten een beleid voeren dat het EU-auteursrecht respecteert. Concreet: zij moeten transparant zijn over welke trainingsdata zij hebben gebruikt, met name of die data auteursrechtelijk beschermd materiaal bevat. Rechthebbenden die hun content niet beschikbaar willen stellen voor AI-training, moeten hun opt-out kunnen afdwingen.
Transparantie over trainingsdata. Aanbieders moeten een voldoende gedetailleerde samenvatting publiceren van de trainingsdata. Het AI Office (het Europese toezichtorgaan) heeft hiervoor een template ontwikkeld.
Informatieplicht richting downstream providers. Bedrijven die het GPAI-model inbouwen in hun eigen product moeten voldoende informatie krijgen om hun eigen verplichtingen onder de AI Act na te leven. De GPAI-aanbieder moet hen hierin ondersteunen.
De Code of Practice voor GPAI
Om de verplichtingen concreet te maken, heeft het AI Office een Code of Practice voor GPAI ontwikkeld. Dit traject is in 2025 gestart met brede betrokkenheid van aanbieders, academici en maatschappelijke organisaties. De definitieve versie is in 2025/2026 afgerond.
De Code of Practice vertaalt de wettelijke eisen naar praktische richtlijnen. Hoe moet de technische documentatie eruitzien? Wat is een "voldoende gedetailleerde samenvatting" van trainingsdata? Welke evaluaties zijn nodig? De Code geeft antwoorden op deze vragen.
GPAI-aanbieders kunnen kiezen of ze de Code volgen. Doen ze dat, dan geldt een vermoeden van conformiteit: de toezichthouder gaat er dan van uit dat ze aan de wettelijke eisen voldoen. Volgen ze de Code niet? Dan moeten ze op een andere manier aantonen dat ze compliant zijn.
Extra verplichtingen bij systeemrisico
Voor GPAI-modellen met systeemrisico gelden aanvullende eisen. Deze zijn steviger dan de basisverplichtingen.
Modelevaluatie. Aanbieders moeten uitgebreide evaluaties uitvoeren van hun model, inclusief tests op bekende risico's. Denk aan evaluaties op bias, op het genereren van gevaarlijke informatie, op cybersecurityrisico's.
Adversarieel testen. Het model moet worden getest door red teams die actief proberen het model te misbruiken. De resultaten van deze tests moeten worden gedocumenteerd.
Incidentrapportage. Bij ernstige incidenten moet de aanbieder het AI Office en de relevante nationale toezichthouders informeren. Een ernstig incident kan zijn: grootschalig misbruik van het model, een situatie waarin het model onbedoeld gevaarlijke output genereert, of een datalek gerelateerd aan het model.
Cybersecurity. Aanbieders moeten adequate cybersecuritymaatregelen nemen om het model te beschermen tegen misbruik, manipulatie en ongeautoriseerde toegang.
Risicobeheer. Er moet een doorlopend proces zijn voor het identificeren, beoordelen en mitigeren van systeemrisico's.
Wat betekent dit voor bedrijven die GPAI gebruiken?
Hier wordt het interessant voor het MKB. De verplichtingen uit Hoofdstuk V richten zich op de aanbieders van GPAI-modellen. Dat zijn OpenAI, Anthropic, Google, Meta. Niet uw organisatie. Maar dat betekent niet dat u als gebruiker nergens verantwoordelijk voor bent.
De AI Act maakt een cruciaal onderscheid tussen twee manieren waarop u GPAI kunt gebruiken.
Gebruik als eindgebruiker. U gebruikt ChatGPT via de webinterface om e-mails te schrijven of vragen te beantwoorden. U bent eindgebruiker. De GPAI-verplichtingen rusten volledig op OpenAI. U heeft hier geen verplichtingen vanuit Hoofdstuk V. Wel gelden uiteraard de algemene verplichtingen uit de AI Act, zoals AI-geletterdheid (Artikel 4) en eventuele transparantieverplichtingen als u AI-gegenereerde content publiceert.
Gebruik via API in uw eigen product. Dit is wezenlijk anders. Als u GPT-4 of Claude via een API integreert in uw eigen softwareproduct of dienst, wordt u een downstream aanbieder. U bouwt voort op het GPAI-model en brengt een eigen AI-systeem op de markt. In dat geval bent u verantwoordelijk voor de AI Act-verplichtingen die horen bij het risiconiveau van uw eigen systeem.
Stel: u bouwt een tool voor HR-screening die Claude als basis gebruikt. Uw tool valt mogelijk in de hoog-risico categorie (AI voor personeelswerving). U bent dan verplicht om een conformiteitsbeoordeling uit te voeren, technische documentatie op te stellen, menselijk toezicht te regelen. Alle hoog-risico verplichtingen gelden voor u. Dat de onderliggende AI van Anthropic komt, ontslaat u niet van die verantwoordelijkheid.
Hier ligt een belangrijk aandachtspunt. De GPAI-aanbieder moet u wel voldoende informatie en documentatie geven om uw eigen verplichtingen te kunnen vervullen. Maar de eindverantwoordelijkheid voor uw product ligt bij u.
Wanneer gelden deze regels?
De GPAI-verplichtingen worden van kracht op 2 augustus 2027. Dat is de laatste grote deadline in het AI Act-schema.
Er is een kanttekening. Het Digital Omnibus-pakket, dat de Europese Commissie in november 2025 heeft voorgesteld, kan deze deadline beinvloeden. Het pakket bevat vereenvoudigingen voor bepaalde AI Act-verplichtingen. Of en hoe dit de GPAI-deadline raakt, is afhankelijk van de parlementaire behandeling. Houd de ontwikkelingen in de gaten.
Voor bedrijven die GPAI-modellen via API integreren in hun eigen producten geldt: de verplichtingen voor uw eigen AI-systeem (denk aan hoog-risico eisen) kunnen al eerder ingaan. De hoog-risico deadline ligt op augustus 2026, of december 2027 als het Digital Omnibus wordt aangenomen. Wacht dus niet tot de GPAI-deadline van augustus 2027 met het op orde brengen van uw eigen compliance.
Praktische stappen voor uw organisatie
Wat kunt u nu al doen om voorbereid te zijn?
Breng in kaart welke GPAI-modellen u gebruikt. Maak een lijst: welke tools draaien op GPT-4, Claude, Gemini of een ander groot taalmodel? Noteer ook hoe u ze gebruikt: als eindgebruiker of via een API-integratie.
Bepaal uw rol per toepassing. Bent u eindgebruiker of downstream aanbieder? Dit bepaalt welke verplichtingen op u rusten. Bij twijfel: als u het model integreert in een product of dienst die u aan derden aanbiedt, bent u vrijwel zeker downstream aanbieder.
Vraag documentatie op bij uw GPAI-leverancier. Als u een model via API gebruikt, heeft u recht op technische documentatie van de GPAI-aanbieder. Vraag hier actief om. U heeft deze informatie nodig voor uw eigen conformiteitsbeoordeling.
Registreer uw AI-systemen. Neem alle GPAI-gebaseerde toepassingen op in uw AI-register. Documenteer per systeem het onderliggende model, het gebruiksdoel, de risicocategorie en de genomen maatregelen.
Zorg voor AI-geletterdheid. Uw medewerkers moeten begrijpen wat GPAI-modellen zijn, hoe ze werken, welke beperkingen ze hebben. Hallucinaties, bias, privacy: het zijn reele risico's bij het werken met grote taalmodellen.
Volg de ontwikkelingen rondom de Code of Practice. De Code geeft concrete invulling aan de GPAI-verplichtingen. Als downstream aanbieder profiteert u ervan als uw GPAI-leverancier de Code volgt, want dan kunt u ervan uitgaan dat zij hun basisverplichtingen naleven.
Bij AIComplianceHub helpen we organisaties om grip te krijgen op hun AI-gebruik, inclusief GPAI-modellen. Onze AI Risicoscanner identificeert welke van uw tools op GPAI draaien en wat dat betekent voor uw verplichtingen. In het portal registreert u al uw AI-systemen, genereert u de benodigde documentatie en houdt u de deadlines bij. Zo weet u zeker dat u voorbereid bent op augustus 2027.