Aanbieder vs. gebruiksverantwoordelijke onder de EU AI Act: welke rol heeft uw SaaS
# Aanbieder vs. gebruiksverantwoordelijke onder de EU AI Act: welke rol heeft uw SaaS
De EU AI Act legt verschillende verplichtingen op afhankelijk van de vraag of u een aanbieder of een gebruiksverantwoordelijke van een AI-systeem bent. De meeste SaaS-bedrijven zijn het een of het ander. Sommige zijn beide. Een verkeerde classificatie betekent dat u ofwel te veel compliance-werk verricht, of — erger — te weinig.
De definities
Aanbieder (artikel 3(3)): Een natuurlijke of rechtspersoon die een AI-systeem of een AI-model voor algemene doeleinden ontwikkelt en dit op de markt brengt of in gebruik stelt onder eigen naam of handelsmerk.
Gebruiksverantwoordelijke (artikel 3(4)): Een natuurlijke of rechtspersoon die een AI-systeem gebruikt onder eigen verantwoordelijkheid, behalve wanneer het AI-systeem wordt gebruikt in het kader van een persoonlijke niet-professionele activiteit.
In gewone taal: als u de AI hebt gebouwd, bent u waarschijnlijk een aanbieder. Als u de AI van iemand anders gebruikt in uw product, bent u waarschijnlijk een gebruiksverantwoordelijke.
Hoe SaaS-bedrijven doorgaans worden geclassificeerd
U bent een aanbieder als:
- U uw eigen AI-model hebt getraind en dit als onderdeel van uw product levert
- U een foundation model hebt gefinetuned en voorspellingen via uw product aanbiedt
- U een AI-systeem hebt gebouwd en toegang daartoe verkoopt onder uw eigen merknaam
- U een open-sourcemodel overneemt, aanpast en commercieel inzet
U bent een gebruiksverantwoordelijke als:
- U de API van OpenAI aanroept en de uitvoer in uw product weergeeft
- U Anthropic's Claude gebruikt om een functie in uw SaaS aan te sturen
- U de Gemini API van Google integreert voor het genereren van content
- U een AI-dienst van een derde partij inbedt zonder het model zelf te wijzigen
U kunt beide zijn als:
- U een model van een derde partij gebruikt, maar dit inpakt in een systeem dat autonome beslissingen neemt (u bent de aanbieder van het systeem, gebruiksverantwoordelijke van het model)
- U een model van een derde partij zodanig significant finetunet dat dit een nieuw AI-systeem wordt in de zin van de definities van de Verordening
Waarom dit van belang is
Aanbieders hebben zwaardere verplichtingen dan gebruiksverantwoordelijken. Voor hoog-risico AI-systemen (bijlage III) moeten aanbieders:
- Een risicobeheersysteem implementeren (artikel 9)
- Voldoen aan vereisten inzake gegevensbeheer (artikel 10)
- Technische documentatie bijhouden (artikel 11)
- Ontwerpen voor registratie en logging (artikel 12)
- Transparantie waarborgen en instructies verstrekken aan gebruiksverantwoordelijken (artikel 13)
- Menselijk toezicht mogelijk maken (artikel 14)
- Voldoen aan normen voor nauwkeurigheid, robuustheid en cyberbeveiliging (artikel 15)
- Conformiteitsbeoordelingen uitvoeren alvorens het systeem op de markt te brengen (artikel 43)
Gebruiksverantwoordelijken van hoog-risico systemen hebben een lichtere, maar nog steeds reële reeks verplichtingen:
- Het systeem gebruiken overeenkomstig de door de aanbieder verstrekte instructies (artikel 26(1))
- Menselijk toezicht waarborgen door personen met passende competentie (artikel 26(2))
- Het systeem monitoren en ernstige incidenten melden (artikel 26(5))
- Een grondrechtenbeoordeling uitvoeren voor bepaalde gebruiksscenario's (artikel 27)
- Door het systeem gegenereerde logboeken gedurende minimaal 6 maanden bewaren (artikel 26(6))
Voor de transparantieverplichtingen op grond van artikel 50 hebben zowel aanbieders als gebruiksverantwoordelijken verplichtingen. Als uw product een chatbot heeft, content genereert, deepfakes aanmaakt of emotieherkenning toepast, moet u dit aan gebruikers bekendmaken, ongeacht of u aanbieder of gebruiksverantwoordelijke bent.
De veelgemaakte fout
De meeste SaaS-bedrijven die de API van OpenAI aanroepen, gaan ervan uit dat zij geen verplichtingen hebben omdat zij het model niet hebben gebouwd. Dat is onjuist.
Als uw SaaS een AI-model van een derde partij gebruikt en u dit inzet op een wijze die onder bijlage III valt (bijvoorbeeld door AI te gebruiken voor het screenen van sollicitanten, het beoordelen van kredietwaardigheid of het triëren van verzekeringsaanvragen), bent u een gebruiksverantwoordelijke van een hoog-risico AI-systeem. De verplichtingen voor gebruiksverantwoordelijken zijn op u van toepassing.
En als uw product de API-aanroep inpakt in een systeem dat autonoom beslissingen neemt, kunt u zijn overgegaan van gebruiksverantwoordelijke naar aanbieder voor het systeem als geheel, ook al hebt u het onderliggende model niet getraind.
Hoe u uw classificatie bepaalt
Stap 1: Maak een lijst van alle AI-functies in uw product. Vermeld elke API-aanroep naar een AI-dienst, elk model dat u draait en elke geautomatiseerde beslissing waarbij AI wordt gebruikt.
Stap 2: Stel voor elke functie de vraag: heeft u dit AI-systeem zelf ontwikkeld, of gebruikt u een systeem dat door iemand anders is ontwikkeld?
Stap 3: Controleer of u een systeem van een derde partij zodanig hebt aangepast dat u de aanbieder bent geworden van een nieuw systeem. Finetuning, het toevoegen van retrieval augmented generation, of het bouwen van een autonome agent rondom een API-aanroep kan deze grens overschrijden.
Stap 4: Controleer voor elke functie of deze onder een categorie van bijlage III valt. Als dat het geval is, bepaalt het onderscheid aanbieder/gebruiksverantwoordelijke uw specifieke compliance-verplichtingen.
Stap 5: Documenteer de motivering van uw classificatie. Dit is wat u toont aan een toezichthouder of een zakelijke klant die daarom vraagt.
Voorbeelden
Voorbeeld 1: SaaS met AI-gestuurde klantenservicechat
U gebruikt de Claude API van Anthropic om een supportchatbot in uw product aan te sturen. U hebt het model niet getraind of gefinetuned.
Classificatie: Gebruiksverantwoordelijke. Anthropic is de aanbieder van het AI-model voor algemene doeleinden. U zet het in als chatbot.
Verplichtingen: Transparantievermelding op grond van artikel 50(1) (informeer gebruikers dat zij met AI communiceren). Als de chatbot beslissingen neemt die van invloed zijn op de rechten of toegang tot diensten van gebruikers, raadpleeg dan bijlage III om te controleren of er sprake is van een hoog-risico classificatie.
Voorbeeld 2: SaaS met AI-gestuurd cv-screening
U hebt een scoringsalgoritme gebouwd dat AI gebruikt om sollicitanten te rangschikken. U hebt het model getraind op historische aanwervingsgegevens.
Classificatie: Aanbieder van een hoog-risico AI-systeem. Cv-screening valt onder bijlage III, punt 4(a) (AI-systemen die worden gebruikt om sollicitaties te filteren of kandidaten te evalueren bij werving en selectie).
Verplichtingen: Alle verplichtingen voor aanbieders van hoog-risico systemen. Risicobeheer, gegevensbeheer, technische documentatie, conformiteitsbeoordeling.
Voorbeeld 3: SaaS die OpenAI gebruikt voor het genereren van marketingteksten
U roept GPT aan om advertentieteksten en berichten voor sociale media voor uw gebruikers te genereren.
Classificatie: Gebruiksverantwoordelijke. OpenAI is de modelaanbieder. U zet het in voor het genereren van content.
Verplichtingen: Transparantie op grond van artikel 50(2). Markeer door AI gegenereerde content met machineleesbare metadata die aangeeft dat de content door AI is gegenereerd.
Wat u vervolgens kunt doen
Classificeer alle AI-functies in uw product. Leg per functie vast of u de aanbieder of de gebruiksverantwoordelijke bent. Raadpleeg bijlage III. Implementeer vervolgens de verplichtingen die overeenkomen met uw rol.
Als u een gestructureerde doorloop wenst, bevat onze open-sourcechecklist alle 47 compliance-items: github.com/GatisOzols/eu-ai-act-checklist
Als u wilt dat iemand de classificatie voor u uitvoert en binnen 5 werkdagen een compliance-rapport aanlevert: disclos.eu/audit
Last updated: 2026-06-04