Aanbieder vs. gebruiksverantwoordelijke onder de EU AI Act: welke rol heeft uw SaaS

# Aanbieder vs. gebruiksverantwoordelijke onder de EU AI Act: welke rol heeft uw SaaS

De EU AI Act legt verschillende verplichtingen op afhankelijk van de vraag of u een aanbieder of een gebruiksverantwoordelijke van een AI-systeem bent. De meeste SaaS-bedrijven zijn het een of het ander. Sommige zijn beide. Een verkeerde classificatie betekent dat u ofwel te veel compliance-werk verricht, of — erger — te weinig.

De definities

Aanbieder (artikel 3(3)): Een natuurlijke of rechtspersoon die een AI-systeem of een AI-model voor algemene doeleinden ontwikkelt en dit op de markt brengt of in gebruik stelt onder eigen naam of handelsmerk.

Gebruiksverantwoordelijke (artikel 3(4)): Een natuurlijke of rechtspersoon die een AI-systeem gebruikt onder eigen verantwoordelijkheid, behalve wanneer het AI-systeem wordt gebruikt in het kader van een persoonlijke niet-professionele activiteit.

In gewone taal: als u de AI hebt gebouwd, bent u waarschijnlijk een aanbieder. Als u de AI van iemand anders gebruikt in uw product, bent u waarschijnlijk een gebruiksverantwoordelijke.

Hoe SaaS-bedrijven doorgaans worden geclassificeerd

U bent een aanbieder als:

U bent een gebruiksverantwoordelijke als:

U kunt beide zijn als:

Waarom dit van belang is

Aanbieders hebben zwaardere verplichtingen dan gebruiksverantwoordelijken. Voor hoog-risico AI-systemen (bijlage III) moeten aanbieders:

Gebruiksverantwoordelijken van hoog-risico systemen hebben een lichtere, maar nog steeds reële reeks verplichtingen:

Voor de transparantieverplichtingen op grond van artikel 50 hebben zowel aanbieders als gebruiksverantwoordelijken verplichtingen. Als uw product een chatbot heeft, content genereert, deepfakes aanmaakt of emotieherkenning toepast, moet u dit aan gebruikers bekendmaken, ongeacht of u aanbieder of gebruiksverantwoordelijke bent.

De veelgemaakte fout

De meeste SaaS-bedrijven die de API van OpenAI aanroepen, gaan ervan uit dat zij geen verplichtingen hebben omdat zij het model niet hebben gebouwd. Dat is onjuist.

Als uw SaaS een AI-model van een derde partij gebruikt en u dit inzet op een wijze die onder bijlage III valt (bijvoorbeeld door AI te gebruiken voor het screenen van sollicitanten, het beoordelen van kredietwaardigheid of het triëren van verzekeringsaanvragen), bent u een gebruiksverantwoordelijke van een hoog-risico AI-systeem. De verplichtingen voor gebruiksverantwoordelijken zijn op u van toepassing.

En als uw product de API-aanroep inpakt in een systeem dat autonoom beslissingen neemt, kunt u zijn overgegaan van gebruiksverantwoordelijke naar aanbieder voor het systeem als geheel, ook al hebt u het onderliggende model niet getraind.

Hoe u uw classificatie bepaalt

Stap 1: Maak een lijst van alle AI-functies in uw product. Vermeld elke API-aanroep naar een AI-dienst, elk model dat u draait en elke geautomatiseerde beslissing waarbij AI wordt gebruikt.

Stap 2: Stel voor elke functie de vraag: heeft u dit AI-systeem zelf ontwikkeld, of gebruikt u een systeem dat door iemand anders is ontwikkeld?

Stap 3: Controleer of u een systeem van een derde partij zodanig hebt aangepast dat u de aanbieder bent geworden van een nieuw systeem. Finetuning, het toevoegen van retrieval augmented generation, of het bouwen van een autonome agent rondom een API-aanroep kan deze grens overschrijden.

Stap 4: Controleer voor elke functie of deze onder een categorie van bijlage III valt. Als dat het geval is, bepaalt het onderscheid aanbieder/gebruiksverantwoordelijke uw specifieke compliance-verplichtingen.

Stap 5: Documenteer de motivering van uw classificatie. Dit is wat u toont aan een toezichthouder of een zakelijke klant die daarom vraagt.

Voorbeelden

Voorbeeld 1: SaaS met AI-gestuurde klantenservicechat

U gebruikt de Claude API van Anthropic om een supportchatbot in uw product aan te sturen. U hebt het model niet getraind of gefinetuned.

Classificatie: Gebruiksverantwoordelijke. Anthropic is de aanbieder van het AI-model voor algemene doeleinden. U zet het in als chatbot.

Verplichtingen: Transparantievermelding op grond van artikel 50(1) (informeer gebruikers dat zij met AI communiceren). Als de chatbot beslissingen neemt die van invloed zijn op de rechten of toegang tot diensten van gebruikers, raadpleeg dan bijlage III om te controleren of er sprake is van een hoog-risico classificatie.

Voorbeeld 2: SaaS met AI-gestuurd cv-screening

U hebt een scoringsalgoritme gebouwd dat AI gebruikt om sollicitanten te rangschikken. U hebt het model getraind op historische aanwervingsgegevens.

Classificatie: Aanbieder van een hoog-risico AI-systeem. Cv-screening valt onder bijlage III, punt 4(a) (AI-systemen die worden gebruikt om sollicitaties te filteren of kandidaten te evalueren bij werving en selectie).

Verplichtingen: Alle verplichtingen voor aanbieders van hoog-risico systemen. Risicobeheer, gegevensbeheer, technische documentatie, conformiteitsbeoordeling.

Voorbeeld 3: SaaS die OpenAI gebruikt voor het genereren van marketingteksten

U roept GPT aan om advertentieteksten en berichten voor sociale media voor uw gebruikers te genereren.

Classificatie: Gebruiksverantwoordelijke. OpenAI is de modelaanbieder. U zet het in voor het genereren van content.

Verplichtingen: Transparantie op grond van artikel 50(2). Markeer door AI gegenereerde content met machineleesbare metadata die aangeeft dat de content door AI is gegenereerd.

Wat u vervolgens kunt doen

Classificeer alle AI-functies in uw product. Leg per functie vast of u de aanbieder of de gebruiksverantwoordelijke bent. Raadpleeg bijlage III. Implementeer vervolgens de verplichtingen die overeenkomen met uw rol.

Als u een gestructureerde doorloop wenst, bevat onze open-sourcechecklist alle 47 compliance-items: github.com/GatisOzols/eu-ai-act-checklist

Als u wilt dat iemand de classificatie voor u uitvoert en binnen 5 werkdagen een compliance-rapport aanlevert: disclos.eu/audit

Last updated: 2026-06-04