Naleving van de EU AI Act als u de API van OpenAI gebruikt
# Naleving van de EU AI Act als u de API van OpenAI gebruikt
U roept de API van OpenAI aan. GPT genereert tekst in uw product. Uw gebruikers zien de uitvoer. U heeft geen model getraind. U heeft geen AI-systeem van de grond af opgebouwd. U doet alleen API-aanroepen.
U heeft nog steeds verplichtingen onder de EU AI Act. Hier leest u wat die zijn en hoe u ermee omgaat.
Uw rol onder de verordening
U bent een deployer. OpenAI is de aanbieder van het AI-model voor algemene doeleinden. U zet het in binnen uw product, onder uw merk en uw gezag. De EU AI Act legt verplichtingen op aan zowel aanbieders als deployers, en die van u verdwijnen niet omdat het model aan iemand anders toebehoort.
Dit geldt evenzeer als u gebruikmaakt van Anthropic's Claude, Google's Gemini, Mistral, Cohere, of een ander AI-model van een derde partij via een API.
Wat op u van toepassing is
Transparantie op grond van artikel 50 (verplicht voor vrijwel elke SaaS die AI gebruikt)
Als uw product een van de volgende dingen doet, moet u dit aan gebruikers bekendmaken:
Chatbot of conversationele AI (artikel 50, lid 1): Gebruikers moeten weten dat zij met AI interageren voordat het gesprek begint. Een zichtbare kennisgeving in of boven de chatinterface. Niet in uw Algemene Voorwaarden. Niet in een helpartikel. In de gebruikersinterface, op het moment van interactie.
Door AI gegenereerde tekst, afbeeldingen, audio of video (artikel 50, lid 2): Uitvoer moet worden gemarkeerd als door AI gegenereerd in een machineleesbaar formaat. Voeg data-ai-generated="true" toe aan het omvattende element. Als uw product afbeeldingen of video genereert, is C2PA-metadata de opkomende standaard.
Deepfakes (artikel 50, lid 4): Als uw product afbeeldingen of video's maakt of wijzigt waarop echte personen te zien zijn, moet de inhoud een zichtbare en machineleesbare openbaarmaking bevatten.
Emotieherkenning of biometrische categorisering (artikel 50, lid 3): Als uw product gezichtsuitdrukkingen of stemtoon analyseert, of gebruikers categoriseert op basis van biometrische gegevens, moet u gebruikers informeren vóór de verwerking begint en hun bevestiging verkrijgen.
De meeste SaaS-producten die de API van OpenAI gebruiken vallen in categorie 1 (chatbot) of categorie 2 (gegenereerde inhoud), of beide. Het implementeren van deze openbaarmakingen kost uren, niet weken.
Controle op hoog risico op grond van bijlage III (afhankelijk van uw gebruiksgeval)
De API-aanroep op zich is geen hoog risico. Wat telt, is wat uw product doet met de uitvoer. Als uw SaaS GPT gebruikt om:
- Sollicitanten te screenen of cv's te rangschikken (bijlage III, punt 4(a)): hoog risico
- Kredietwaardigheid te beoordelen of verzekeringspremies vast te stellen (bijlage III, punt 5(b)): hoog risico
- Patiënten te triageren of te ondersteunen bij medische diagnose (bijlage III, punt 1(a)): hoog risico
- Beslissingen te nemen over toegang tot onderwijs (bijlage III, punt 3(a)): hoog risico
- Rechtshandhaving te ondersteunen bij profilering (bijlage III, punt 6): hoog risico
Als uw gebruiksgeval op deze lijst staat, heeft u de deployer-verplichtingen voor een AI-systeem met een hoog risico. Dat betekent menselijk toezicht, logging, monitoring, melding van incidenten en mogelijk een beoordeling van de gevolgen voor de grondrechten.
Als uw product GPT gebruikt voor het genereren van inhoud, samenvatten, vertalen of klantenondersteuning waarbij de uitvoer geen autonome beslissingen over de rechten van mensen aanstuurt, bevindt u zich waarschijnlijk niet in het gebied van hoog risico. Transparantie op grond van artikel 50 is uw voornaamste verplichting.
Registratieplicht
Artikel 26, lid 6 verplicht deployers van AI-systemen met een hoog risico om door het systeem gegenereerde logboeken ten minste 6 maanden te bewaren. Zelfs als u niet onder hoog risico valt, is het bijhouden van gegevens over uw AI-interacties een goede praktijk. Wanneer een toezichthouder of zakelijke klant vraagt hoe uw AI-functies werken, heeft u documentatie gereed nodig.
Wat OpenAI afhandelt versus wat u afhandelt
OpenAI als modelaanbieder handelt af:
- Verplichtingen voor AI-modellen voor algemene doeleinden (artikelen 51 tot en met 56)
- Beoordeling van systeemrisico als het model daarvoor in aanmerking komt (artikel 55)
- Technische documentatie van het model zelf
- Melding van ernstige incidenten met betrekking tot het model
U als deployer handelt af:
- Transparantiemededelingen in de gebruikersinterface van uw product
- Classificatie op grond van bijlage III voor uw specifieke gebruiksgeval
- Menselijk toezicht en monitoring
- Logging en registratie
- Melding van incidenten voor problemen in uw implementatie
- Beoordeling van de gevolgen voor de grondrechten, indien van toepassing
- Reageren op vragen van klanten en toezichthouders over uw naleving
Het feit dat OpenAI hun modelkaarten en systeemdocumentatie publiceert, voldoet niet aan uw deployer-verplichtingen. U heeft uw eigen nalevingsdocumentatie nodig die specifiek is voor de manier waarop u het model in uw product gebruikt.
Implementatiechecklist
- Controleer uw AI-functies. Maak een lijst van elke plek waar uw product de API van OpenAI aanroept. Noteer wat de invoer is, wat de uitvoer is en hoe gebruikers die zien.
- Voeg openbaarmakingen toe op grond van artikel 50. Voeg voor elke AI-functie de passende transparantiekennisgeving toe aan uw gebruikersinterface. Een chatbotkennisgeving voor conversationele functies. Door AI gegenereerde labels voor inhouduitvoer. Dit is kopieer-en-plakwerk.
- Voer de controle op grond van bijlage III uit. Controleer voor elke AI-functie of het gebruiksgeval voorkomt in bijlage III. Als dat zo is, heeft u aanvullende deployer-verplichtingen. Als dat niet zo is, bent u klaar na de transparantie.
- Documenteer alles. Schrijf een samenvatting van één pagina over uw AI-functies, uw classificatierationale en de openbaarmakingen die u heeft geïmplementeerd. Dit is wat u overhandigt aan zakelijke klanten en toezichthouders.
- Stel monitoring in. Bepaal hoe u AI-incidenten detecteert en erop reageert. Voor de meeste SaaS-producten betekent dit het loggen van AI-interacties en het hebben van een proces om ernstige problemen te melden.
De deadline
2 augustus 2026. De transparantieverplichtingen van artikel 50 en de deployer-verplichtingen voor systemen met een hoog risico worden op deze datum handhaafbaar. U heeft 60 dagen.
Het implementatiewerk voor een typische SaaS die de API van OpenAI gebruikt, is beperkt. De transparantiemededelingen kosten een dag. De classificatie kost een uur. De documentatie kost een middag. Het nu doen kost vrijwel niets. Het doen na het begin van de handhaving kost u elke week dat u uitstelt uw verkooppijplijn.
Bronnen
Open source nalevingschecklist met openbaarmakingscode voor artikel 50 en een classifier voor bijlage III: github.com/GatisOzols/eu-ai-act-checklist
Audit van de EU AI Act met vaste reikwijdte voor SaaS, 997 EUR, 5 werkdagen: disclos.eu/audit
Last updated: 2026-06-04