De EU AI Act organiseert haar nalevingsverplichtingen rond twee centrale rollen: provider en deployer. Het onderscheid is niet academisch — het bepaalt welke verplichtingen van toepassing zijn op uw organisatie voor elk AI-systeem in uw activiteiten. Providers dragen de zwaarste last: zij zijn verantwoordelijk voor het ontwerp van het AI-systeem, de technische documentatie, de conformiteitsbeoordeling en de registratie vóór het systeem de markt bereikt. Deployers exploiteren systemen die door anderen zijn aangeboden, maar dragen hun eigen verplichtingen inzake gebruik, monitoring en transparantie naar betrokken personen. De classificatie onjuist toepassen — hetzij door uw verplichtingen als provider te onderschatten, hetzij door uw deployer-verantwoordelijkheden niet te erkennen — is een nalevingsfout met regulerende gevolgen.
De meeste organisaties exploiteren AI-systemen in beide hoedanigheden tegelijkertijd. Een financiële dienstverlener die een proprietäir kredietscore-model bouwt, is provider van dat systeem; wanneer hij ook een AI-tool van een derde voor documentverwerking gebruikt, is hij deployer van dat systeem. De verplichtingen die van toepassing zijn op het bedrijf, verschillen tussen deze twee systemen, en het interne nalevingskader moet beide sets vereisten weerspiegelen in plaats van één model op alles toe te passen.
Een provider is gedefinieerd onder artikel 3(3) van de AI Act als een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of andere instantie die een AI-systeem of GPAI-model ontwikkelt, of dit laat ontwikkelen, en het op de markt brengt of in gebruik neemt onder zijn eigen naam of handelsmerk, al dan niet tegen betaling.
Drie elementen van deze definitie verdienen aandacht. Ten eerste hoeft de provider het systeem niet zelf te hebben gebouwd — een organisatie die een AI-systeem in haar opdracht laat ontwikkelen (door een technologiecontractant, een intern team of een aanpassing van een open-sourcemodel) en het vervolgens op de markt brengt of inzet onder haar eigen naam, is een provider, niet louter een opdrachtgever. Ten tweede hecht de providerrol aan op het moment van het op de markt brengen of in gebruik nemen — organisaties die AI uitsluitend voor intern gebruik ontwikkelen (zonder het op een externe markt te brengen) zijn ook providers met dezelfde verplichtingen voor hoog-risico systemen. Ten derde dekt de definitie zowel commerciële producten als gratis tools: het verstrekken van een AI-systeem om niet vermindert de providerverplichtingen niet.
Een deployer is gedefinieerd onder artikel 3(4) als een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of andere instantie die een AI-systeem onder zijn eigen gezag gebruikt, behalve wanneer het AI-systeem wordt gebruikt in het kader van een persoonlijke niet-professionele activiteit. De deployer gebruikt het systeem maar brengt het niet op de markt — hij ontvangt het van een provider en zet het in in zijn eigen activiteiten of voor zijn eigen klanten.
Deployers van hoog-risico AI-systemen hebben hun eigen set verplichtingen onder de AI Act. Deze omvatten: de gebruiksaanwijzingen van de provider implementeren; een grondrechteneffectbeoordeling uitvoeren vóór de inzet van een hoog-risico systeem in bepaalde contexten; adequate menselijke supervisie waarborgen; het gebruik opschorten als een risico wordt geïdentificeerd; de bevoegde markttoezichthouder informeren over ernstige incidenten; en transparantie bieden aan personen die worden geïmpacteerd door beslissingen genomen met behulp van het systeem. Voor werkgevers geldt een aanvullende vereiste: werknemers en hun vertegenwoordigers moeten worden geïnformeerd wanneer hoog-risico AI-systemen in arbeidscontexten worden ingezet.
Het is gebruikelijk dat één organisatie zowel provider als deployer van hetzelfde systeem is. Een organisatie die een hoog-risico AI-systeem voor intern gebruik ontwikkelt — een op maat gemaakt model voor HR-beslissingen, een proprietäir fraudedetectiesysteem, een risicoscoringtool — is tegelijkertijd provider (zij heeft het systeem ontwikkeld) en deployer (zij gebruikt het onder haar eigen gezag). In dat geval zijn alle providerverplichtingen en alle deployerverplichtingen van toepassing op dezelfde organisatie voor hetzelfde systeem. Er is geen derogatie voor intern gebruik.
Organisaties worden ook providers wanneer zij een hoog-risico AI-systeem dat van een externe provider is verkregen, ingrijpend wijzigen. Een ingrijpende wijziging — gedefinieerd in artikel 3(23) als een wijziging die de naleving van de vereisten van de AI Act of het prestatie- en risicoprofiel van het systeem beïnvloedt — maakt de wijzigende organisatie tot een provider met volledige providerverplichtingen voor het gewijzigde systeem, ook als het onderliggende systeem oorspronkelijk compliant was in handen van de oorspronkelijke provider.
Providers van hoog-risico AI-systemen moeten: een risicobeheersysteem opzetten; waarborgen dat trainingsdata aan kwaliteitscriteria voldoet; technische documentatie bijhouden over het ontwerp, de mogelijkheden en beperkingen van het systeem; systemen ontwerpen die logging van operaties mogelijk maken; transparantie waarborgen en gebruiksaanwijzingen verstrekken aan deployers; ontwerpen voor menselijk toezicht; nauwkeurigheid, robuustheid en cyberveiligheid waarborgen; een conformiteitsbeoordeling ondergaan vóór plaatsing op de markt; het systeem registreren in de EU AI-database; CE-markering aanbrengen; en een postmarktmonitoringplan opzetten. Voor systemen beoordeeld door een aangemelde instantie moet de beoordeling door een derde partij worden voltooid vóór plaatsing op de markt.
Deployers van hoog-risico AI-systemen moeten: de gebruiksaanwijzingen van de provider implementeren; een verantwoordelijke persoon aanwijzen met adequate AI-geletterdheid; een grondrechteneffectbeoordeling uitvoeren (voor deployers die publiekrechtelijke organen zijn, of deployers die een systeem gebruiken voor kredietscoring, verzekering of rekrutering); betrokken werknemers en hun vertegenwoordigers informeren wanneer AI-systemen in arbeidscontexten worden ingezet; menselijk toezicht waarborgen; de prestaties van het systeem monitoren; het gebruik opschorten als een risico wordt geïdentificeerd; en ernstige incidenten rapporteren aan de markttoezichthouder.
Niet noodzakelijk, maar mogelijk wel. Een bedrijf dat een AI-API aanroept en de resultaten direct aan eindgebruikers presenteert zonder wijziging, is doorgaans een deployer van het onderliggende model, geen provider. Als het bedrijf echter een product of dienst bouwt bovenop de API — door het te omhullen in een gebruikersinterface, extra logica toe te voegen of het te integreren in een besluitvormingsworkflow — kan het een provider worden van dat downstream systeem, met verplichtingen die naast (niet in plaats van) die van de onderliggende modelprovider gelden. De analyse hangt af van de vraag of het downstream product van het bedrijf zelfstandig een AI-systeem vormt in de zin van de definitie van de AI Act.
Een hoog-risico AI-systeem op de markt brengen of in gebruik nemen zonder de vereiste conformiteitsbeoordeling te voltooien, is een schending van artikel 16 van de AI Act en is onderworpen aan boetes van maximaal €15 miljoen of 3% van de jaarlijkse mondiale omzet, naargelang welke hoger is. Markttoezichthouders kunnen vereisen dat het systeem van de markt wordt teruggetrokken. Wanneer persoonsgegevens zijn verwerkt als onderdeel van de niet-conforme inzet, kunnen er gelijktijdige GDPR-schendingen zijn die afzonderlijk toezichtoptreden van de bevoegde gegevensbeschermingsautoriteit triggeren.
%402x.svg){kind=small}
%402x.svg){kind=icon}
%402x.svg){kind=icon}
