GovCompass
Kennisbank
Guide

GPAI-integratie als deployer: wat betekent dit voor jou?

Bijgewerkt: juni 2026 — volledige herziening naar Validai-kwaliteitsstandaard

Inleiding: GPAI-integratie in de EU AI Act

Het gebruik van General Purpose AI (GPAI)-modellen zoals GPT-4, Claude, Gemini of Llama via een API is één van de meest voorkomende vormen van AI-adoptie in organisaties. Toch is de EU AI Act-positie van organisaties die GPAI integreren vaak onduidelijk: bent u provider van uw eigen toepassing, deployer van het GPAI-model, of beiden? En wanneer is de toepassing die u bouwt op een GPAI-model zelf hoog-risico AI?

Deze gids beantwoordt die vragen systematisch en beschrijft de compliance-verplichtingen voor GPAI-deployers.

Benodigde voorkennis

U weet wat GPAI-modellen zijn (Art. 3.63 EU AI Act) en dat GPAI-providers afzonderlijke verplichtingen hebben onder Art. 51-55. U integreert een GPAI-model in uw eigen product of dienst via een API of vergelijkbare koppeling.

Stap 1: Bepaal uw juridische rol

Uw positie in de GPAI-keten bepaalt uw verplichtingen:

U bent deployer als: U gebruikt het GPAI-model voor intern gebruik (bijv. een interne ChatGPT-omgeving voor medewerkers) zonder het op de markt te brengen als eigen product.

U bent provider als: U bouwt een applicatie op het GPAI-model en brengt die applicatie als eigen product op de markt (bijv. een AI-chatbot voor uw klanten, een document-analyse-tool die u verkoopt). U gebruikt het GPAI-model als component van uw eigen systeem.

U bent beiden als: U bouwt een interne toepassing voor eigen gebruik op een GPAI-model. U bent provider van de toepassing én deployer van het GPAI-model.

In de meeste praktijkgevallen bent u provider van de applicatie én deployer van het onderliggende GPAI-model. Dit is de meest relevante scenario voor deze gids.

Stap 2: Begrijp de verantwoordelijkheidsverdeling in de keten

Considerans 97 en Art. 25 beschrijven de rolverdeling in AI-ketens:

  • GPAI-provider (OpenAI, Anthropic, Google, etc.): verantwoordelijk voor het basismodel — technische documentatie, transparantie over trainingdata, auteursrecht-beleid, systemisch risico-maatregelen (Art. 51-55)
  • U als applicatie-provider/deployer: verantwoordelijk voor de wijze waarop u het model integreert, de use case, de safeguards die u toevoegt, en de compliance van uw eindproduct

Cruciaal: De GPAI-provider levert een basismodel; u draagt de verantwoordelijkheid voor het gebruik. Als uw toepassing hoog-risico AI-functionaliteit realiseert (bijv. een AI die CV's beoordeelt voor HR), bent u provider van een hoog-risico AI-systeem — ongeacht dat u het hebt gebouwd op een GPAI-model.

Stap 3: Bepaal of uw toepassing hoog-risico AI is

Dit is de kritieke vraag voor elke GPAI-integratie. Het GPAI-model zelf (bijv. GPT-4) is niet automatisch hoog-risico. Maar uw toepassing kan dat wél zijn als ze in één van de Bijlage III-categorieën valt.

Voorbeelden van GPAI-toepassingen die hoog-risico zijn:

  • Een CV-screening-chatbot die GPT-4 gebruikt om sollicitanten te selecteren → Bijlage III punt 4 (werkgelegenheid)
  • Een AI-assistent die leerkrachten adviseert over leerling-beoordelingen → Bijlage III punt 3 (onderwijs)
  • Een kredietanalyse-tool die Claude gebruikt voor risicobeoordeling → Bijlage III punt 5.b (essentiële diensten)
  • Een AI die sociale uitkeringsaanvragen beoordeelt → Bijlage III punt 5 (essentiële diensten)

Voorbeelden van GPAI-toepassingen die NIET hoog-risico zijn:

  • Een interne kennisbank-assistent die vragen beantwoordt op basis van bedrijfsdocumenten
  • Een marketing-copy-generator
  • Een klantenservice-chatbot die FAQ's beantwoordt (maar geen beslissingen neemt over klanten)
  • Een code-assistent voor ontwikkelaars

Als uw toepassing hoog-risico is, gelden alle verplichtingen van Art. 8-15 (voor u als provider) én Art. 26 (voor u als deployer van het GPAI-model).

Stap 4: Wat kunt u van de GPAI-provider verwachten?

Art. 53 EU AI Act verplicht GPAI-providers om een "summary of the content used for training" en technische documentatie beschikbaar te stellen. Art. 53.1.b verplicht auteursrecht-beleid. Voor modellen met systemisch risico (Art. 51) gelden aanvullende eisen.

Als deployer/applicatie-provider kunt u van uw GPAI-provider verwachten en contractueel eisen:

  • Een model card of system card met prestatiemetrieken, bekende beperkingen en bias-risico's
  • Gebruiksbeleid (Acceptable Use Policy) dat beschrijft wat wel en niet mag
  • Documentatie over contentfilters en veiligheidsmechanismen
  • Informatie over trainingsdata-auteursrecht
  • Gegevens over beschikbaarheid en SLA's

Stap 5: Safeguards toevoegen aan uw GPAI-integratie

GPAI-modellen zijn generiek — ze zijn niet ontworpen voor uw specifieke hoog-risico use case. U bent als applicatie-provider verantwoordelijk voor het toevoegen van de benodigde safeguards:

Systeem-prompt engineering: Configureer het model via de systeem-prompt om het gebruik te beperken tot het beoogde doel. Voorkom dat het model buiten scope gaat.

Output-filtering: Implementeer nabewerking van de model-output die schadelijke, discriminerende of buiten-scope output filtert vóór die de eindgebruiker bereikt.

Human-in-the-loop: Bij hoog-impact beslissingen (HR, krediet, zorg) mag de GPAI-output nooit direct beslissend zijn. Implementeer een menselijk toezichtsproces conform Art. 26.2.

Auditlogging: Log alle interacties inclusief input en output voor de verplichte logretentie (Art. 26.6). GPAI-providers loggen doorgaans niet namens u.

Bias-testing: Test uw toepassing op discriminerende output voor demografische subgroepen. GPAI-modellen kunnen bias reproduceren uit hun trainingsdata.

Stap 6: Contractuele bescherming

Uw relatie met de GPAI-provider is contractueel. Neem de volgende clausules op:

  • Garantie dat het model geen verboden AI-praktijken bevat (Art. 5)
  • Verplichting tot levering van EU AI Act-vereiste documentatie (Art. 53)
  • Notificatieplicht bij materiële updates die de prestaties of beperkingen beïnvloeden
  • Data-verwerkerovereenkomst (AVG) voor de persoonsgegevens die u via de API verstuurt
  • Duidelijkheid over welke data de provider gebruikt voor model-training

Veelgestelde vragen

V: Wij gebruiken de OpenAI API intern voor medewerkers. Zijn wij dan ook provider?
A: Als u de applicatie uitsluitend intern gebruikt en niet op de markt brengt, bent u deployer van de toepassing (en van het GPAI-model). Als de toepassing hoog-risico functies uitvoert (bijv. HR-beslissingen), gelden de volledige deployer-verplichtingen van Art. 26.

V: Het GPAI-model is "gecensureerd" door de provider. Hoeven wij dan geen extra safeguards toe te voegen?
A: De contentfilters van de GPAI-provider zijn ontworpen voor generiek gebruik, niet voor uw specifieke context. Als uw toepassing hoog-risico beslissingen ondersteunt, bent u verantwoordelijk voor aanvullende safeguards die passen bij uw use case.

V: Wij wisselen van GPT-4 naar Claude. Moeten wij dan een nieuwe conformiteitsassessment uitvoeren?
A: Als de switch tot materieel andere prestaties, beperkingen of risico's leidt, is een herziening van uw risicoanalyse en technische documentatie verplicht. Dit is per definitie een materiële wijziging als het hoog-risico AI betreft.

Samenvatting en volgende stap

GPAI-integratie is veelal een situatie waarbij u provider en deployer bent tegelijk. De sleutelvraag is altijd: is mijn toepassing hoog-risico AI? Als ja, gelden alle hoog-risico verplichtingen voor uw applicatie, aangevuld met de deployer-plichten jegens de GPAI-provider. Gebruik de Validai classificatiewizard om te bepalen of uw GPAI-toepassing hoog-risico is.