GovCompass
EN
AI governance
GuideAccountabilityHuman oversight

GPAI-integratie als deployer: wat betekent dit voor jou?

Door GovCompass.ai· Laatst gecontroleerd juni 2026· Afgestemd op de geconsolideerde EU AI Act, inclusief de Omnibus-wijzigingen van 2026.

Wie een GPAI-model (zoals GPT-4, Claude of Gemini) via een API integreert, is doorgaans provider van de eigen toepassing én deployer van het GPAI-model. De sleutelvraag is of de toepassing zelf hoog-risico is (Bijlage III): zo ja, gelden de provider-verplichtingen (Art. 8-15) plus de deployer-plichten van Art. 26.

Bijgewerkt: juni 2026

Inleiding: GPAI-integratie in de EU AI Act

Het gebruik van General Purpose AI (GPAI)-modellen zoals GPT-4, Claude, Gemini of Llama via een API is één van de meest voorkomende vormen van AI-adoptie in organisaties. Toch is de EU AI Act-positie van organisaties die GPAI integreren vaak onduidelijk: bent u provider van uw eigen toepassing, deployer van het GPAI-model, of beiden? En wanneer is de toepassing die u bouwt op een GPAI-model zelf hoog-risicorisicoIn de termen van de EU AI Act de combinatie van de waarschijnlijkheid dat een schade optreedt en de ernst ervan als dat gebeurt. De schakel tussen een principe (via de schade die het zou schenden) en een control (de maatregel die het vermindert). Het benoemen van de schade en het inschatten van het risico is op grond van Art. 9 vereist voordat een maatregel wordt gekozen. Zie schade, control, restrisico.Open full entry → AI?

Deze gids beantwoordt die vragen systematisch en beschrijft de compliance-verplichtingen voor GPAI-deployers.

Benodigde voorkennis

U weet wat GPAI-modellen zijn (Art. 3.63 EU AI Act) en dat GPAI-providers afzonderlijke verplichtingen hebben onder Art. 51-55. U integreert een GPAI-model in uw eigen product of dienst via een API of vergelijkbare koppeling.

Stap 1: bepaal uw juridische rol

Uw positie in de GPAI-keten bepaalt uw verplichtingen:

U bent deployer als: U gebruikt het GPAI-model voor intern gebruik (bijv. een interne ChatGPT-omgeving voor medewerkers) zonder het op de markt te brengen als eigen product.

U bent provider als: U bouwt een applicatie op het GPAI-model en brengt die applicatie als eigen product op de markt (bijv. een AI-chatbot voor uw klanten, een document-analyse-tool die u verkoopt). U gebruikt het GPAI-model als component van uw eigen systeem.

U bent beiden als: U bouwt een interne toepassing voor eigen gebruik op een GPAI-model. U bent provider van de toepassing én deployer van het GPAI-model.

In de meeste praktijkgevallen bent u provider van de applicatie én deployer van het onderliggende GPAI-model. Dit is het meest relevante scenario voor deze gids.

Stap 2: begrijp de verantwoordelijkheidsverdeling in de keten

Overweging 97 en Art. 25 beschrijven de rolverdeling in AI-ketens:

  • GPAI-provider (OpenAI, Anthropic, Google, etc.): verantwoordelijk voor het basismodel, technische documentatietechnische documentatieRegistraties die een aanbieder voor een hoog-risico-AI-systeem moet samenstellen en bewaren om conformiteit aan te tonen, met dekking van het ontwerp, de data, het testen, het risicobeheer en de monitoring. Zie aanbieder, bewijs, model card.Open full entry →, transparantietransparantieOpenheid over het feit dát AI wordt gebruikt en hoe het in het algemeen werkt: openbaarmakingen, documentatie, kennisgevingen. Vormt een paar met uitlegbaarheid, die over individuele uitkomsten gaat. Zie uitlegbaarheid, principe.Open full entry → over trainingsdatatrainingsdataDe data die wordt gebruikt om de parameters van een AI-model te passen; de kwaliteit, de rechtmatige rechten en de representativiteit ervan zijn centrale governance-zorgen. Zie representativiteit, herkomst, datasheet.Open full entry →, auteursrecht-beleid, systemisch risico-maatregelen (Art. 51-55)
  • U als applicatie-provider/deployer: verantwoordelijk voor de wijze waarop u het model integreert, de use case, de safeguards die u toevoegt, en de compliance van uw eindproduct

Cruciaal: De GPAI-provider levert een basismodel; u draagt de verantwoordelijkheid voor het gebruik. Als uw toepassing hoog-risico AI-functionaliteit realiseert (bijv. een AI die cv's beoordeelt voor HR), bent u provider van een hoog-risico AI-systeemAI-systeemEen machinaal systeem dat voor expliciete of impliciete doelen uit invoer afleidt hoe het uitvoer genereert, voorspellingen, inhoud, aanbevelingen of beslissingen, die fysieke of virtuele omgevingen kunnen beïnvloeden. De OESO-achtige definitie die de EU AI Act volgt. Zie algoritme, machine learning.Open full entry →, ongeacht dat u het hebt gebouwd op een GPAI-model.

Stap 3: bepaal of uw toepassing hoog-risico AI is

Dit is de kritieke vraag voor elke GPAI-integratie. Het GPAI-model zelf (bijv. GPT-4) is niet automatisch hoog-risico. Maar uw toepassing kan dat wél zijn als ze in één van de Bijlage IIIBijlage IIIDe lijst van de EU AI Act met hoog-risico-toepassingsgebieden: biometrie, kritieke infrastructuur, onderwijs, werk, essentiële diensten, rechtshandhaving, migratie, justitie. Zie conformiteitsbeoordeling, conformiteitsverklaring.Open full entry →-categorieën valt.

Voorbeelden van GPAI-toepassingen die hoog-risico zijn:

  • Een CV-screening-chatbot die GPT-4 gebruikt om sollicitanten te selecteren → Bijlage III punt 4 (werkgelegenheid)
  • Een AI-assistent die leerkrachten adviseert over leerling-beoordelingen → Bijlage III punt 3 (onderwijs)
  • Een kredietanalyse-tool die Claude gebruikt voor risicobeoordeling → Bijlage III punt 5.b (essentiële diensten)
  • Een AI die sociale uitkeringsaanvragen beoordeelt → Bijlage III punt 5 (essentiële diensten)

Voorbeelden van GPAI-toepassingen die NIET hoog-risico zijn:

  • Een interne kennisbank-assistent die vragen beantwoordt op basis van bedrijfsdocumenten
  • Een marketing-copy-generator
  • Een klantenservice-chatbot die FAQ's beantwoordt (maar geen beslissingen neemt over klanten)
  • Een code-assistent voor ontwikkelaars

Als uw toepassing hoog-risico is, gelden alle verplichtingen van Art. 8-15 (voor u als provider) én Art. 26 (voor u als deployer van het GPAI-model).

Stap 4: wat kunt u van de GPAI-provider verwachten?

Art. 53 EU AI Act verplicht GPAI-providers om een "summary of the content used for training" en technische documentatie beschikbaar te stellen. Art. 53.1.b verplicht auteursrecht-beleid. Voor modellen met systemisch risico (Art. 51) gelden aanvullende eisen.

Als deployer/applicatie-provider kunt u van uw GPAI-provider verwachten en contractueel eisen:

  • Een model cardmodel cardEen gestructureerd document dat een AI-model beschrijft: het doel, de trainingsdata, de prestatie onder verschillende omstandigheden, de beperkingen en het beoogde gebruik. Een kern-artefact van de uitrolfase, het stelt de mensen die een systeem bedienen en overzien in staat te begrijpen wat het doet en waar het niet vertrouwd mag worden. Onderdeel van de technische documentatie die een auditor verwacht voor een hoog-risicosysteem. Zie artefact, levenscyclus.Open full entry → of system card met prestatiemetrieken, bekende beperkingen en bias-risico's
  • Gebruiksbeleid (Acceptable Use Policy) dat beschrijft wat wel en niet mag
  • Documentatie over contentfilters en veiligheidsmechanismen
  • Informatie over trainingsdata-auteursrecht
  • Gegevens over beschikbaarheid en SLA's

Stap 5: safeguards toevoegen aan uw GPAI-integratie

GPAI-modellen zijn generiek, ze zijn niet ontworpen voor uw specifieke hoog-risico use case. U bent als applicatie-provider verantwoordelijk voor het toevoegen van de benodigde safeguards:

Systeem-prompt engineering: Configureer het model via de systeem-prompt om het gebruik te beperken tot het beoogde doel. Voorkom dat het model buiten scope gaat.

Output-filtering: Implementeer nabewerking van de model-output die schadelijke, discriminerende of buiten-scope output filtert vóór die de eindgebruiker bereikt.

Human-in-the-loophuman-in-the-loopEen toezichtsopstelling waarin een mens elk geval dat het systeem aanbeveelt goedkeurt of beslist, passend bij individuele beslissingen met grote gevolgen, en alleen betekenisvol met bevoegdheid, informatie en tijd. Zie menselijk toezicht, human-on-the-loop.Open full entry →: Bij hoog-impact beslissingen (HR, krediet, zorg) mag de GPAI-output nooit direct beslissend zijn. Implementeer een menselijk toezichtsproces conform Art. 26.2.

Auditlogging: Log alle interacties inclusief input en output voor de verplichte logretentie (Art. 26.6). GPAI-providers loggen doorgaans niet namens u.

Bias-testing: Test uw toepassing op discriminerende output voor demografische subgroepen. GPAI-modellen kunnen bias reproduceren uit hun trainingsdata.

Stap 6: contractuele bescherming

Uw relatie met de GPAI-provider is contractueel. Neem de volgende clausules op:

  • Garantie dat het model geen verboden AI-praktijken bevat (Art. 5)
  • Verplichting tot levering van EU AI Act-vereiste documentatie (Art. 53)
  • Notificatieplicht bij materiële updates die de prestaties of beperkingen beïnvloeden
  • Data-verwerkerovereenkomst (AVG) voor de persoonsgegevens die u via de API verstuurt
  • Duidelijkheid over welke data de provider gebruikt voor model-training

Veelgestelde vragen

V: Wij gebruiken de OpenAI API intern voor medewerkers. Zijn wij dan ook provider?
A: Als u de applicatie uitsluitend intern gebruikt en niet op de markt brengt, bent u deployer van de toepassing (en van het GPAI-model). Als de toepassing hoog-risico functies uitvoert (bijv. HR-beslissingen), gelden de volledige deployer-verplichtingen van Art. 26.

V: Het GPAI-model is "gecensureerd" door de provider. Hoeven wij dan geen extra safeguards toe te voegen?
A: De contentfilters van de GPAI-provider zijn ontworpen voor generiek gebruik, niet voor uw specifieke context. Als uw toepassing hoog-risico beslissingen ondersteunt, bent u verantwoordelijk voor aanvullende safeguards die passen bij uw use case.

V: Wij wisselen van GPT-4 naar Claude. Moeten wij dan een nieuwe conformiteitsassessment uitvoeren?
A: Als de switch tot materieel andere prestaties, beperkingen of risico's leidt, is een herziening van uw risicoanalyse en technische documentatie verplicht. Dit is per definitie een materiële wijziging als het hoog-risico AI betreft.

Samenvatting en volgende stap

GPAI-integratie is veelal een situatie waarbij u provider en deployer bent tegelijk. De sleutelvraag is altijd: is mijn toepassing hoog-risico AI? Als ja, gelden alle hoog-risico verplichtingen voor uw applicatie, aangevuld met de deployer-plichten jegens de GPAI-provider. Bepaal daarom als eerste stap, via een classificatieanalyse conform Art. 6, of uw GPAI-toepassing hoog-risico is.

Aanbieder-verplichtingen achter het model

De aanbiederaanbiederDe actor die een AI-systeem ontwikkelt (of laat ontwikkelen) en het onder eigen naam op de markt brengt of in gebruik neemt, met fabrikantachtige plichten: ontwerpcontrols, documentatie, conformiteit. Zie gebruiksverantwoordelijke, AI-verplichtingen.Open full entry →-kant van deze verplichtingen staat artikel voor artikel beschreven: Art. 53: basisverplichtingen voor GPAI-aanbieders en Art. 55: verplichtingen voor GPAI-aanbieders met systeemrisico.

WetsverwijzingenArt. 25Art. 26Art. 50Art. 51Art. 53
Delen Deel op LinkedIn

Meer over Accountability

Art. 10 EU AI Act: data en datagovernance voor hoog-risico AI

Reference

Art. 10 vereist dat de trainings-, validatie- en testdata voor hoog-risico AI-systemen voldoet aan kwaliteitscriteria: relevant, voldoende representatief, en zo foutloos en volledig mogelijk voor het beoogde doel. Het vereist ook gedocumenteerde datagovernance over verzameling, voorbereiding, bias-onderzoek en het mitigeren van lacunes, en het staat de beperkte verwerking van bijzondere persoonsgegevens toe waar strikt noodzakelijk om bias te detecteren en corrigeren, onder waarborgen.

Art. 12 EU AI Act: registratie en logging voor hoog-risico AI

Reference

Art. 12 vereist dat hoog-risico AI-systemen technisch de automatische registratie van gebeurtenissen (logs) over hun levensduur mogelijk maken. De logging moet de traceerbaarheid van het functioneren van het systeem mogelijk maken op een niveau passend bij het beoogde doel, post-market monitoring ondersteunen, en helpen situaties te identificeren die tot risico of een substantiële wijziging kunnen leiden. Het is een ontwerpverplichting voor de provider die het systeem door constructie auditeerbaar maakt.

Art. 19 EU AI Act: het bewaren van de automatisch gegenereerde logs

Reference

Art. 19 verplicht providers van hoog-risico AI-systemen om de logs die het systeem automatisch genereert (onder Art. 12) te bewaren zolang ze die onder controle hebben, voor een periode passend bij het beoogde doel en minimaal zes maanden, tenzij andere wetgeving een langere termijn vereist. Het is de bewaar-tegenhanger van de Art. 12-logging-capaciteit, en werkt naast de deployer-bewaarplicht in Art. 26.6.

Art. 26.1, gebruik AI volgens de instructies van de aanbieder

Reference

Art. 26.1 EU AI Act verplicht deployers om hoog-risico AI-systemen uitsluitend in te zetten conform de gebruiksinstructies van de provider. De verplichting omvat drie componenten: het beschikken over de instructies (conform Art. 13.3), het actief naleven ervan, en het documenteren van dat naleven. Inzet buiten de instructies kan de aansprakelijkheid volledig naar de deployer verschuiven.

Meer over Human oversight

Art. 14 EU AI Act: hoog-risico AI ontwerpen voor menselijk toezicht

Reference

Art. 14 vereist dat providers hoog-risico AI-systemen zo ontwerpen en bouwen dat ze tijdens gebruik effectief door mensen kunnen worden overzien. Het systeem moet een toezichthouder in staat stellen de mogelijkheden en grenzen te begrijpen, op afwijkingen te letten, automation bias te weerstaan, outputs juist te interpreteren, te besluiten het systeem niet te gebruiken, en in te grijpen of het te stoppen via een noodstop (Art. 14(4)(e)). Het is de ontwerpverplichting die de deployer-toezichtsplicht van Art. 26.2 mogelijk maakt.

Art. 26.2, menselijk toezicht: wijs competente mensen aan

Reference

Art. 26.2 EU AI Act verplicht deployers om het menselijk toezicht te implementeren dat de provider heeft voorzien (Art. 14). Het toezicht is alleen geldig als de toezichthouder voldoende AI-geletterd is (Art. 4), de bevoegdheid heeft om de AI-output te overrulen, en niet zo overbelast is dat de beoordeling louter routinematig wordt. Formeel toezicht zonder inhoudelijke beoordeling voldoet niet.

Art. 27, FRIA: Fundamental Rights Impact Assessment

Reference

Art. 27 verplicht bepaalde deployers, publieke instanties en private deployers in afgebakende sectoren zoals krediet en verzekeringen, om vóór de inzet van een hoog-risico AI-systeem een Fundamental Rights Impact Assessment (FRIA) uit te voeren, die de impact op grondrechten en de mitigerende maatregelen onderzoekt.

Art. 4, AI literacy: zorg dat je team AI begrijpt

Reference

Art. 4 verplicht organisaties sinds 2 februari 2025 om te zorgen voor een voldoende niveau van AI-geletterdheid bij medewerkers die AI-systemen bedienen of gebruiken, in verhouding tot het systeem en de rol. De verplichting geldt voor alle AI-inzet, niet alleen hoog-risico, en moet aantoonbaar zijn.