GovCompass
Kennisbank
GuideAccountabilityHuman oversight

GPAI-integratie als deployer: wat betekent dit voor jou?

Door Michel Venniker· · Afgestemd op de geconsolideerde EU AI Act, inclusief de Omnibus-wijzigingen van 2026.

Wie een GPAI-model (zoals GPT-4, Claude of Gemini) via een API integreert, is doorgaans provider van de eigen toepassing én deployer van het GPAI-model. De sleutelvraag is of de toepassing zelf hoog-risico is (Bijlage III): zo ja, gelden de provider-verplichtingen (Art. 8-15) plus de deployer-plichten van Art. 26.

Bijgewerkt: juni 2026

Inleiding: GPAI-integratie in de EU AI Act

Het gebruik van General Purpose AI (GPAI)-modellen zoals GPT-4, Claude, Gemini of Llama via een API is één van de meest voorkomende vormen van AI-adoptie in organisaties. Toch is de EU AI Act-positie van organisaties die GPAI integreren vaak onduidelijk: bent u providerproviderThe actor who develops an AI system (or has it developed) and places it on the market or into service under its own name — carrying manufacturer-style duties: design controls, documentation, conformity.Open full entry → van uw eigen toepassing, deployerdeployerAn organization using an AI system under its own authority in its activities — carrying operator duties: use per instructions, oversight, input relevance, monitoring, notices.Open full entry → van het GPAI-model, of beiden? En wanneer is de toepassing die u bouwt op een GPAI-model zelf hoog-risico AI?

Deze gids beantwoordt die vragen systematisch en beschrijft de compliance-verplichtingen voor GPAI-deployers.

Benodigde voorkennis

U weet wat GPAI-modellen zijn (Art. 3.63 EU AI Act) en dat GPAI-providers afzonderlijke verplichtingen hebben onder Art. 51-55. U integreert een GPAI-model in uw eigen product of dienst via een API of vergelijkbare koppeling.

Stap 1: bepaal uw juridische rol

Uw positie in de GPAI-keten bepaalt uw verplichtingen:

U bent deployer als: U gebruikt het GPAI-model voor intern gebruik (bijv. een interne ChatGPT-omgeving voor medewerkers) zonder het op de markt te brengen als eigen product.

U bent provider als: U bouwt een applicatie op het GPAI-model en brengt die applicatie als eigen product op de markt (bijv. een AI-chatbot voor uw klanten, een document-analyse-tool die u verkoopt). U gebruikt het GPAI-model als component van uw eigen systeem.

U bent beiden als: U bouwt een interne toepassing voor eigen gebruik op een GPAI-model. U bent provider van de toepassing én deployer van het GPAI-model.

In de meeste praktijkgevallen bent u provider van de applicatie én deployer van het onderliggende GPAI-model. Dit is het meest relevante scenario voor deze gids.

Stap 2: begrijp de verantwoordelijkheidsverdeling in de keten

Overweging 97 en Art. 25 beschrijven de rolverdeling in AI-ketens:

  • GPAI-provider (OpenAI, Anthropic, Google, etc.): verantwoordelijk voor het basismodel, technische documentatie, transparantie over trainingsdata, auteursrecht-beleid, systemisch risico-maatregelen (Art. 51-55)
  • U als applicatie-provider/deployer: verantwoordelijk voor de wijze waarop u het model integreert, de use case, de safeguards die u toevoegt, en de compliance van uw eindproduct

Cruciaal: De GPAI-provider levert een basismodel; u draagt de verantwoordelijkheid voor het gebruik. Als uw toepassing hoog-risico AI-functionaliteit realiseert (bijv. een AI die cv's beoordeelt voor HR), bent u provider van een hoog-risico AI-systeem, ongeacht dat u het hebt gebouwd op een GPAI-model.

Stap 3: bepaal of uw toepassing hoog-risico AI is

Dit is de kritieke vraag voor elke GPAI-integratie. Het GPAI-model zelf (bijv. GPT-4) is niet automatisch hoog-risico. Maar uw toepassing kan dat wél zijn als ze in één van de Bijlage III-categorieën valt.

Voorbeelden van GPAI-toepassingen die hoog-risico zijn:

  • Een CV-screening-chatbot die GPT-4 gebruikt om sollicitanten te selecteren → Bijlage III punt 4 (werkgelegenheid)
  • Een AI-assistent die leerkrachten adviseert over leerling-beoordelingen → Bijlage III punt 3 (onderwijs)
  • Een kredietanalyse-tool die Claude gebruikt voor risicobeoordeling → Bijlage III punt 5.b (essentiële diensten)
  • Een AI die sociale uitkeringsaanvragen beoordeelt → Bijlage III punt 5 (essentiële diensten)

Voorbeelden van GPAI-toepassingen die NIET hoog-risico zijn:

  • Een interne kennisbank-assistent die vragen beantwoordt op basis van bedrijfsdocumenten
  • Een marketing-copy-generator
  • Een klantenservice-chatbot die FAQ's beantwoordt (maar geen beslissingen neemt over klanten)
  • Een code-assistent voor ontwikkelaars

Als uw toepassing hoog-risico is, gelden alle verplichtingen van Art. 8-15 (voor u als provider) én Art. 26 (voor u als deployer van het GPAI-model).

Stap 4: wat kunt u van de GPAI-provider verwachten?

Art. 53 EU AI Act verplicht GPAI-providers om een "summary of the content used for training" en technische documentatie beschikbaar te stellen. Art. 53.1.b verplicht auteursrecht-beleid. Voor modellen met systemisch risico (Art. 51) gelden aanvullende eisen.

Als deployer/applicatie-provider kunt u van uw GPAI-provider verwachten en contractueel eisen:

  • Een model cardmodel cardStandardised documentation for a model: intended use, performance (including per group), limitations, training data summary — a release-gate artefact and transparency tool.Open full entry → of system card met prestatiemetrieken, bekende beperkingen en bias-risico's
  • Gebruiksbeleid (Acceptable Use Policy) dat beschrijft wat wel en niet mag
  • Documentatie over contentfilters en veiligheidsmechanismen
  • Informatie over trainingsdata-auteursrecht
  • Gegevens over beschikbaarheid en SLA's

Stap 5: safeguards toevoegen aan uw GPAI-integratie

GPAI-modellen zijn generiek, ze zijn niet ontworpen voor uw specifieke hoog-risico use case. U bent als applicatie-provider verantwoordelijk voor het toevoegen van de benodigde safeguards:

Systeem-prompt engineering: Configureer het model via de systeem-prompt om het gebruik te beperken tot het beoogde doel. Voorkom dat het model buiten scope gaat.

Output-filtering: Implementeer nabewerking van de model-output die schadelijke, discriminerende of buiten-scope output filtert vóór die de eindgebruiker bereikt.

Human-in-the-loophuman-in-the-loopOversight configuration where a human approves or decides each case the system recommends — fitting high-stakes individual decisions, and meaningful only with authority, information and time.Open full entry →: Bij hoog-impact beslissingen (HR, krediet, zorg) mag de GPAI-output nooit direct beslissend zijn. Implementeer een menselijk toezichtsproces conform Art. 26.2.

Auditlogging: Log alle interacties inclusief input en output voor de verplichte logretentie (Art. 26.6). GPAI-providers loggen doorgaans niet namens u.

Bias-testing: Test uw toepassing op discriminerende output voor demografische subgroepen. GPAI-modellen kunnen bias reproduceren uit hun trainingsdata.

Stap 6: contractuele bescherming

Uw relatie met de GPAI-provider is contractueel. Neem de volgende clausules op:

  • Garantie dat het model geen verboden AI-praktijken bevat (Art. 5)
  • Verplichting tot levering van EU AI Act-vereiste documentatie (Art. 53)
  • Notificatieplicht bij materiële updates die de prestaties of beperkingen beïnvloeden
  • Data-verwerkerovereenkomst (AVG) voor de persoonsgegevens die u via de API verstuurt
  • Duidelijkheid over welke data de provider gebruikt voor model-training

Veelgestelde vragen

V: Wij gebruiken de OpenAI API intern voor medewerkers. Zijn wij dan ook provider?
A: Als u de applicatie uitsluitend intern gebruikt en niet op de markt brengt, bent u deployer van de toepassing (en van het GPAI-model). Als de toepassing hoog-risico functies uitvoert (bijv. HR-beslissingen), gelden de volledige deployer-verplichtingen van Art. 26.

V: Het GPAI-model is "gecensureerd" door de provider. Hoeven wij dan geen extra safeguards toe te voegen?
A: De contentfilters van de GPAI-provider zijn ontworpen voor generiek gebruik, niet voor uw specifieke context. Als uw toepassing hoog-risico beslissingen ondersteunt, bent u verantwoordelijk voor aanvullende safeguards die passen bij uw use case.

V: Wij wisselen van GPT-4 naar Claude. Moeten wij dan een nieuwe conformiteitsassessment uitvoeren?
A: Als de switch tot materieel andere prestaties, beperkingen of risico's leidt, is een herziening van uw risicoanalyse en technische documentatie verplicht. Dit is per definitie een materiële wijziging als het hoog-risico AI betreft.

Samenvatting en volgende stap

GPAI-integratie is veelal een situatie waarbij u provider en deployer bent tegelijk. De sleutelvraag is altijd: is mijn toepassing hoog-risico AI? Als ja, gelden alle hoog-risico verplichtingen voor uw applicatie, aangevuld met de deployer-plichten jegens de GPAI-provider. Bepaal daarom als eerste stap, via een classificatieanalyse conform Art. 6, of uw GPAI-toepassing hoog-risico is.

WetsverwijzingenArt. 50Art. 51Art. 53Art. 25Art. 26

Meer over Accountability

Art. 10 EU AI Act: data en datagovernance voor hoog-risico AI

Reference

Art. 10 vereist dat de trainings-, validatie- en testdata voor hoog-risico AI-systemen voldoet aan kwaliteitscriteria: relevant, voldoende representatief, en zo foutloos en volledig mogelijk voor het beoogde doel. Het vereist ook gedocumenteerde datagovernance over verzameling, voorbereiding, bias-onderzoek en het mitigeren van lacunes, en het staat de beperkte verwerking van bijzondere persoonsgegevens toe waar strikt noodzakelijk om bias te detecteren en corrigeren, onder waarborgen.

Art. 12 EU AI Act: registratie en logging voor hoog-risico AI

Reference

Art. 12 vereist dat hoog-risico AI-systemen technisch de automatische registratie van gebeurtenissen (logs) over hun levensduur mogelijk maken. De logging moet de traceerbaarheid van het functioneren van het systeem mogelijk maken op een niveau passend bij het beoogde doel, post-market monitoring ondersteunen, en helpen situaties te identificeren die tot risico of een substantiële wijziging kunnen leiden. Het is een ontwerpverplichting voor de provider die het systeem door constructie auditeerbaar maakt.

Art. 19 EU AI Act: het bewaren van de automatisch gegenereerde logs

Reference

Art. 19 verplicht providers van hoog-risico AI-systemen om de logs die het systeem automatisch genereert (onder Art. 12) te bewaren zolang ze die onder controle hebben, voor een periode passend bij het beoogde doel en minimaal zes maanden, tenzij andere wetgeving een langere termijn vereist. Het is de bewaar-tegenhanger van de Art. 12-logging-capaciteit, en werkt naast de deployer-bewaarplicht in Art. 26.6.

Art. 26.1, gebruik AI volgens de instructies van de aanbieder

Reference

Art. 26.1 EU AI Act verplicht deployers om hoog-risico AI-systemen uitsluitend in te zetten conform de gebruiksinstructies van de provider. De verplichting omvat drie componenten: het beschikken over de instructies (conform Art. 13.3), het actief naleven ervan, en het documenteren van dat naleven. Inzet buiten de instructies kan de aansprakelijkheid volledig naar de deployer verschuiven.

Meer over Human oversight

Art. 14 EU AI Act: hoog-risico AI ontwerpen voor menselijk toezicht

Reference

Art. 14 vereist dat providers hoog-risico AI-systemen zo ontwerpen en bouwen dat ze tijdens gebruik effectief door mensen kunnen worden overzien. Het systeem moet een toezichthouder in staat stellen de mogelijkheden en grenzen te begrijpen, op afwijkingen te letten, automation bias te weerstaan, outputs juist te interpreteren, te besluiten het systeem niet te gebruiken, en in te grijpen of het te stoppen via een noodstop (Art. 14(4)(e)). Het is de ontwerpverplichting die de deployer-toezichtsplicht van Art. 26.2 mogelijk maakt.

Art. 26.2, menselijk toezicht: wijs competente mensen aan

Reference

Art. 26.2 EU AI Act verplicht deployers om het menselijk toezicht te implementeren dat de provider heeft voorzien (Art. 14). Het toezicht is alleen geldig als de toezichthouder voldoende AI-geletterd is (Art. 4), de bevoegdheid heeft om de AI-output te overrulen, en niet zo overbelast is dat de beoordeling louter routinematig wordt. Formeel toezicht zonder inhoudelijke beoordeling voldoet niet.

Art. 27, FRIA: Fundamental Rights Impact Assessment

Reference

Art. 27 verplicht bepaalde deployers, publieke instanties en private deployers in afgebakende sectoren zoals krediet en verzekeringen, om vóór de inzet van een hoog-risico AI-systeem een Fundamental Rights Impact Assessment (FRIA) uit te voeren, die de impact op grondrechten en de mitigerende maatregelen onderzoekt.

Art. 4, AI literacy: zorg dat je team AI begrijpt

Reference

Art. 4 verplicht organisaties sinds 2 februari 2025 om te zorgen voor een voldoende niveau van AI-geletterdheid bij medewerkers die AI-systemen bedienen of gebruiken, in verhouding tot het systeem en de rol. De verplichting geldt voor alle AI-inzet, niet alleen hoog-risico, en moet aantoonbaar zijn.