Naleving van de EU AI Act als u de API van OpenAI gebruikt

# Naleving van de EU AI Act als u de API van OpenAI gebruikt

U roept de API van OpenAI aan. GPT genereert tekst in uw product. Uw gebruikers zien de uitvoer. U heeft geen model getraind. U heeft geen AI-systeem van de grond af opgebouwd. U doet alleen API-aanroepen.

U heeft nog steeds verplichtingen onder de EU AI Act. Hier leest u wat die zijn en hoe u ermee omgaat.

Uw rol onder de verordening

U bent een deployer. OpenAI is de aanbieder van het AI-model voor algemene doeleinden. U zet het in binnen uw product, onder uw merk en uw gezag. De EU AI Act legt verplichtingen op aan zowel aanbieders als deployers, en die van u verdwijnen niet omdat het model aan iemand anders toebehoort.

Dit geldt evenzeer als u gebruikmaakt van Anthropic's Claude, Google's Gemini, Mistral, Cohere, of een ander AI-model van een derde partij via een API.

Wat op u van toepassing is

Transparantie op grond van artikel 50 (verplicht voor vrijwel elke SaaS die AI gebruikt)

Als uw product een van de volgende dingen doet, moet u dit aan gebruikers bekendmaken:

Chatbot of conversationele AI (artikel 50, lid 1): Gebruikers moeten weten dat zij met AI interageren voordat het gesprek begint. Een zichtbare kennisgeving in of boven de chatinterface. Niet in uw Algemene Voorwaarden. Niet in een helpartikel. In de gebruikersinterface, op het moment van interactie.

Door AI gegenereerde tekst, afbeeldingen, audio of video (artikel 50, lid 2): Uitvoer moet worden gemarkeerd als door AI gegenereerd in een machineleesbaar formaat. Voeg data-ai-generated="true" toe aan het omvattende element. Als uw product afbeeldingen of video genereert, is C2PA-metadata de opkomende standaard.

Deepfakes (artikel 50, lid 4): Als uw product afbeeldingen of video's maakt of wijzigt waarop echte personen te zien zijn, moet de inhoud een zichtbare en machineleesbare openbaarmaking bevatten.

Emotieherkenning of biometrische categorisering (artikel 50, lid 3): Als uw product gezichtsuitdrukkingen of stemtoon analyseert, of gebruikers categoriseert op basis van biometrische gegevens, moet u gebruikers informeren vóór de verwerking begint en hun bevestiging verkrijgen.

De meeste SaaS-producten die de API van OpenAI gebruiken vallen in categorie 1 (chatbot) of categorie 2 (gegenereerde inhoud), of beide. Het implementeren van deze openbaarmakingen kost uren, niet weken.

Controle op hoog risico op grond van bijlage III (afhankelijk van uw gebruiksgeval)

De API-aanroep op zich is geen hoog risico. Wat telt, is wat uw product doet met de uitvoer. Als uw SaaS GPT gebruikt om:

Als uw gebruiksgeval op deze lijst staat, heeft u de deployer-verplichtingen voor een AI-systeem met een hoog risico. Dat betekent menselijk toezicht, logging, monitoring, melding van incidenten en mogelijk een beoordeling van de gevolgen voor de grondrechten.

Als uw product GPT gebruikt voor het genereren van inhoud, samenvatten, vertalen of klantenondersteuning waarbij de uitvoer geen autonome beslissingen over de rechten van mensen aanstuurt, bevindt u zich waarschijnlijk niet in het gebied van hoog risico. Transparantie op grond van artikel 50 is uw voornaamste verplichting.

Registratieplicht

Artikel 26, lid 6 verplicht deployers van AI-systemen met een hoog risico om door het systeem gegenereerde logboeken ten minste 6 maanden te bewaren. Zelfs als u niet onder hoog risico valt, is het bijhouden van gegevens over uw AI-interacties een goede praktijk. Wanneer een toezichthouder of zakelijke klant vraagt hoe uw AI-functies werken, heeft u documentatie gereed nodig.

Wat OpenAI afhandelt versus wat u afhandelt

OpenAI als modelaanbieder handelt af:

U als deployer handelt af:

Het feit dat OpenAI hun modelkaarten en systeemdocumentatie publiceert, voldoet niet aan uw deployer-verplichtingen. U heeft uw eigen nalevingsdocumentatie nodig die specifiek is voor de manier waarop u het model in uw product gebruikt.

Implementatiechecklist

  1. Controleer uw AI-functies. Maak een lijst van elke plek waar uw product de API van OpenAI aanroept. Noteer wat de invoer is, wat de uitvoer is en hoe gebruikers die zien.
  2. Voeg openbaarmakingen toe op grond van artikel 50. Voeg voor elke AI-functie de passende transparantiekennisgeving toe aan uw gebruikersinterface. Een chatbotkennisgeving voor conversationele functies. Door AI gegenereerde labels voor inhouduitvoer. Dit is kopieer-en-plakwerk.
  3. Voer de controle op grond van bijlage III uit. Controleer voor elke AI-functie of het gebruiksgeval voorkomt in bijlage III. Als dat zo is, heeft u aanvullende deployer-verplichtingen. Als dat niet zo is, bent u klaar na de transparantie.
  4. Documenteer alles. Schrijf een samenvatting van één pagina over uw AI-functies, uw classificatierationale en de openbaarmakingen die u heeft geïmplementeerd. Dit is wat u overhandigt aan zakelijke klanten en toezichthouders.
  5. Stel monitoring in. Bepaal hoe u AI-incidenten detecteert en erop reageert. Voor de meeste SaaS-producten betekent dit het loggen van AI-interacties en het hebben van een proces om ernstige problemen te melden.

De deadline

2 augustus 2026. De transparantieverplichtingen van artikel 50 en de deployer-verplichtingen voor systemen met een hoog risico worden op deze datum handhaafbaar. U heeft 60 dagen.

Het implementatiewerk voor een typische SaaS die de API van OpenAI gebruikt, is beperkt. De transparantiemededelingen kosten een dag. De classificatie kost een uur. De documentatie kost een middag. Het nu doen kost vrijwel niets. Het doen na het begin van de handhaving kost u elke week dat u uitstelt uw verkooppijplijn.

Bronnen

Open source nalevingschecklist met openbaarmakingscode voor artikel 50 en een classifier voor bijlage III: github.com/GatisOzols/eu-ai-act-checklist

Audit van de EU AI Act met vaste reikwijdte voor SaaS, 997 EUR, 5 werkdagen: disclos.eu/audit

Last updated: 2026-06-04