EU AI Act Artikel 25: wanneer SaaS GPAI-aanbiedersverplichtingen overneemt
Artikel 25 van de EU AI Act creëert een stille maar ernstige risico voor SaaS-toepassingen die gebruikmaken van foundation models: als u een GPAI-systeem substantieel wijzigt, kunt u Aanbieder-verplichtingen overnemen. Overname is niet optioneel — zij volgt automatisch uit de wijziging en brengt de volledige set van transparantieverplichtingen uit Artikel 53 met zich mee (samenvatting van trainingsgegevens, auteursrechtbeleid), plus alle documentatieverplichtingen aan de Aanbieder-zijde.
Wat Artikel 25 daadwerkelijk bepaalt
Artikel 25(1) bepaalt dat elke distributeur, importeur, inzetter of andere derde partij als aanbieder van een hoog-risico AI-systeem wordt beschouwd indien hij: (a) zijn naam of handelsmerk aanbrengt op een hoog-risico AI-systeem dat reeds in de handel is gebracht; (b) een substantiële wijziging aanbrengt in een hoog-risico AI-systeem dat reeds in de handel is gebracht; of (c) het beoogde doel wijzigt van een AI-systeem dat niet als hoog-risico is geclassificeerd op een wijze die het tot hoog-risico maakt. Artikel 25(4) past dezelfde logica toe op GPAI-modellen: een downstream-actor die een GPAI-model substantieel wijzigt, wordt aanbieder van dat GPAI-model.
Wat 'substantiële wijziging' betekent
De wet definieert substantiële wijziging (Artikel 3(23)) als een verandering die niet was voorzien door de aanbieder in de initiële conformiteitsbeoordeling en die van invloed is op de prestaties, het beoogde doel of de nalevingspositie. Voor GPAI-modellen is de drempel niet vastgesteld. De raadpleging over de GPAI Code of Practice is in maart 2026 afgesloten zonder duidelijke oplossing. Conservatieve interpretaties: fine-tuning die verder gaat dan aanpassingen op LoRA-niveau, training op omvangrijke bedrijfseigen gegevens, het wijzigen van de systeemprompt om het gedrag fundamenteel te veranderen, het verwijderen of verzwakken van veiligheidsmaatregelen.
Veelvoorkomende SaaS-gevallen
Prompt engineering met behulp van openbaar beschikbare API's: laag overnamrisico. Lichte fine-tuning (LoRA-adapters, instructieafstemming op kleine datasets): niet vastgesteld — neigt naar laag risico indien gedocumenteerd. Zware fine-tuning (fine-tuning van volledige gewichten, training op bedrijfseigen corpus, RLHF op klantgegevens): hoog overnamrisico. RAG over bedrijfseigen gegevens: laag risico (wijzigt het model niet). Multi-model-orkestratie (koppeling van meerdere modellen met aangepaste logica): laag risico voor de afzonderlijke modellen, maar het geörkestreerde systeem kan zelf een Aanbieder-classificatie vereisen.
Overgenomen Artikel 53-verplichtingen
Als u de GPAI-Aanbieder-status op grond van Artikel 25(4) overneemt, zijn de Artikel 53-verplichtingen van toepassing: technische documentatie bijhouden, een samenvatting van de trainingsgegevens opstellen en beschikbaar stellen, een beleid voor auteursrechtsnaleving implementeren, samenwerken met het Europees AI-bureau. Voor GPAI-modellen met systeemrisico (die boven de rekendrempel vallen of zijn aangewezen), gelden ook de Artikel 55-verplichtingen: modelevaluatie, adversarieel testen, incidentrapportage, cyberbeveiligingsbescherming. De meeste fine-tuned SaaS-modellen bereiken de drempels voor systeemrisico niet, maar de basislijn van Artikel 53-verplichtingen is niet gering.
Hoe het overnamrisico te beheersen
Ten eerste, documenteer uw wijzigingen nauwkeurig. Een duidelijk papieren spoor waaruit blijkt dat u het model niet substantieel heeft gewijzigd, is uw beste verdediging in een dialoog met de toezichthouder. Ten tweede, geef de voorkeur aan technieken die door de onzekere richtsnoeren doorgaans als niet-substantieel worden aanvaard (LoRA, RAG, prompt engineering). Ten derde, als u zwaar moet fine-tunen, plan dan vanaf dag één voor Artikel 53-naleving: documentatie van trainingsgegevens, auteursrechtbeleid, transparantie voor downstream-gebruikers. Ten vierde, overweeg commerciële alternatieven — het gebruik van een minder aangepast maar ToS-duidelijk model van een grote aanbieder is soms zakelijk zinvoller dan het uitvoeren van uw eigen fine-tune.
Frequently asked questions
Wanneer treedt Artikel 25 in werking?
2 augustus 2026 voor de belangrijkste bepalingen. De GPAI-overname op grond van Artikel 25(4) is van toepassing vanaf 2 augustus 2025, omdat deze betrekking heeft op upstream GPAI-aanbieders wier verplichtingen eerder worden gehandhaafd.
Triggert prompt engineering Artikel 25?
Nee — prompt engineering met behulp van gepubliceerde API's is geen substantiële wijziging. Het model zelf blijft ongewijzigd.
Triggert LoRA fine-tuning Artikel 25?
Waarschijnlijk niet, maar de drempel is niet vastgesteld. Documenteer de LoRA-adapter, de trainingsgegevens en de prestatiedelta. Zorg dat u kunt aantonen dat u binnen het territorium van voorziene wijzigingen bent gebleven.
Wat is de sanctie bij niet-naleving van Artikel 53?
Tot €15 miljoen of 3% van de wereldwijde jaaromzet. Voor GPAI-modellen met systeemrisico beschikt het Europees AI-bureau over uitgebreide handhavingsbevoegdheden.
Heb ik een gemachtigde vertegenwoordiger nodig bij GPAI-overname?
Als u buiten de EU bent gevestigd en u wordt op grond van Artikel 25(4) een GPAI-aanbieder, verplicht Artikel 54 u een gemachtigde vertegenwoordiger in de EU aan te wijzen.
Sources
Last updated: 2026-05-28