Een inleiding op de EU AI Act

Update van 11 juli 2025: Naar aanleiding van de publicatie van de definitieve tekst van de Gedragscode voor algemene toepassingen van AI delen we een overzicht van onze aanpak met betrekking tot de inwerkingtreding van de bepalingen die vanaf 2 augustus 2025 van toepassing zijn op AI-modellen voor algemene doeleinden. 

Vorig jaar publiceerden we deze inleiding over de EU AI Act om een eerste inzicht te geven in hoe wij ons voorbereidden op de implementatie van deze nieuwe wettelijke vereisten. 

Sindsdien zijn we actief betrokken geweest bij de implementatie van de tekst door deel te nemen aan het opstellen van de Gedragscode voor algemene toepassingen van AI, een kader voor AI-aanbieders om te voldoen aan de EU AI Act. Na maanden van gezamenlijke inspanningen met experts, maatschappelijke organisaties en de industrie is er een definitieve Code gepubliceerd. Vandaag maken wij onze beslissing bekend om de Gedragscode te ondertekenen en deze te gebruiken om aan te tonen dat wij voldoen aan onze relevante verplichtingen onder de EU AI Act.  

Met de ondertekening van de Code zetten we een concrete stap in ons bredere plan om te voldoen aan de EU AI Act. Het weerspiegelt onze toewijding om continuïteit, betrouwbaarheid en vertrouwen te waarborgen zodra de regelgeving van kracht wordt, terwijl we blijven samenwerken met Europese bedrijven en burgers om hen steeds krachtigere, veiligere en betrouwbare AI-modellen te bieden zodat ze de vruchten kunnen plukken van de AI-revolutie.

De ondertekening van de Code versterkt veel van de toonaangevende veiligheids- en transparantiemaatregelen die we de afgelopen jaren hebben genomen. We waren een van de eerste bedrijven die een uitgebreid veiligheids- en beveiligingsprotocol publiceerden, ons Preparedness Framework (2023), waarin onze aanpak voor het veilig inzetten van grensverleggende AI-modellen wordt beschreven. 

In overeenstemming met ons streven om interne kaders voor verantwoording en governance voortdurend te evalueren en te verbeteren, hebben we in april 2025 een bijgewerkt Preparedness Framework gepubliceerd⁠. 

Terwijl we doorgaan met het ontwikkelen en inzetten van steeds krachtigere technologie, controleren en beperken we actief een breed scala aan nieuwe risico's en praktische veiligheidsproblemen om onze modellen betrouwbaar en veilig te houden. En we verfijnen en verbeteren deze processen voortdurend. 

• Al geruime tijd publiceren wij gedetailleerde systeemkaarten en technische documentatie bij onze grote releases, waarin wordt uitgelegd wat onze modellen wel en niet kunnen, op welke risico's we hebben getest en waar we nog aan het leren zijn. 
• De Safety Hub biedt openbare toegang tot de resultaten van veiligheidsevaluaties van onze modellen.
• Ons Red Teaming Network schakelt externe experts in om onze modellen onder druk te testen
• De Model Spec biedt inzicht in hoe wij het gedrag van onze modellen vormgeven om menselijke waarden en democratische normen te weerspiegelen.

Gezamenlijk hebben deze werkzaamheden bijgedragen aan het vaststellen van beveiligings- en veiligheidsnormen in de sector en aan de ontwikkeling van een werkbare Gedragscode op basis van best practices in de sector. Bouwen aan veilige en verantwoorde AI is nooit af. We zullen onze aanpak van veiligheid blijven verbeteren om ervoor te zorgen dat iedereen op verantwoorde wijze van onze technologie kan profiteren, waar ook ter wereld.

Wij zullen nauw samenwerken met het EU AI Office, de relevante autoriteiten en onze klanten naarmate de AI-verordening in de komende maanden en jaren wordt ingevoerd, zodat we gezamenlijk de voordelen van AI voor de Europese samenleving en economie kunnen waarborgen.  .

Update: Op 25 september 2024 ondertekenden we de drie kernverplichtingen in het EU AI Pact.

1. Een AI-governancestrategie aannemen om de invoering van AI in de organisatie te bevorderen en te werken aan toekomstige naleving van de AI Act;
2. voor zover mogelijk de AI-systemen in kaart brengen die worden geleverd of ingezet in gebieden die volgens de AI Act als hoog risico worden beschouwd;
3. bewustmaking en AI-geletterdheid bevorderen van het personeel en andere personen die namens hen met AI-systemen werken, rekening houdend met hun technische kennis, ervaring, opleiding en training evenals de context waarin de AI-systemen zullen worden gebruikt, en met inachtneming van de personen of groepen die gevolgen ondervinden van het gebruik van de AI-systemen.

Wij geloven dat de kernfocus van het AI Pact op AI-geletterdheid, -acceptatie en -governance gericht is op de juiste prioriteiten om ervoor te zorgen dat de voordelen van AI breed worden gedeeld. Bovendien sluiten ze aan bij onze missie om veilige, geavanceerde technologieën te leveren waar iedereen van kan profiteren.

De EU AI Act⁠(opent in een nieuw venster) is een belangrijk regelgevend kader dat is opgesteld om de ontwikkeling, uitrol en het gebruik van AI in heel Europa in goede banen te leiden. Er wordt veel aandacht besteed aan veiligheid om een betrouwbare acceptatie van AI in Europa te bevorderen en tegelijkertijd de gezondheid, veiligheid en grondrechten te beschermen. Het introduceert nieuwe eisen op basis van de risico's van AI-systemen, met bijzondere aandacht voor gevallen met een hoog risico en onaanvaardbaar gebruik, en speciale verplichtingen voor AI-modellen en -systemen voor algemene doeleinden (GPAI). 

Hoewel het wetgevingsproces is voltooid en de wet in augustus 2024 van kracht wordt, zijn er nog verdere richtlijnen en uitvoeringswetgeving nodig om de reikwijdte van de wet te definiëren, vooral als deze van toepassing is op GPAI-modellen zoals die van OpenAI. 

Bij OpenAI zetten we ons in om de wet na te leven, niet alleen omdat dit een wettelijke verplichting is, maar ook omdat het doel van de wet aansluit bij onze missie om veilige AI te ontwikkelen en in te zetten ten behoeve van de hele mensheid. We zijn er trots op modellen op de markt te brengen die toonaangevend zijn op het gebied van zowel mogelijkheden als veiligheid. Wij geloven in een evenwichtige, wetenschappelijke aanpak waarbij veiligheidsmaatregelen⁠ vanaf het begin in het ontwikkelingsproces worden geïntegreerd. Onze teams leveren een breed spectrum aan technische inspanningen om AI-veiligheidsuitdagingen aan te gaan, zoals evaluaties van modellen volgens ons Preparedness Framework⁠ vóór implementatie, interne en externe red-teaming⁠, monitoring na implementatie om⁠ misbruik te detecteren, Bug Bounty⁠- en Cybersecurity Grant⁠-programma's en bijdragen aan authenticiteitsnormen⁠. 

Wij zullen nauw samenwerken met het EU AI Office en andere relevante autoriteiten naarmate de nieuwe wet in de komende maanden wordt ingevoerd, en we hopen dat de expertise die wij hebben opgebouwd zal bijdragen aan het realiseren van de doelstellingen van de verordening op het gebied van het inzetten van veilige en maatschappelijk verantwoorde AI.  

In deze post geven we een overzicht van enkele belangrijke onderwerpen in de AI Act, met speciale aandacht voor verboden en risicovolle toepassingen.

De AI Act treedt in werking op 1 augustus 2024, 20 dagen na publicatie in het Publicatieblad van de EU. Hoewel de meeste bepalingen van de wet pas 24 maanden na de inwerkingtreding van kracht worden, zijn er verschillende belangrijke deadlines om in gedachten te houden: 

• Verbod op verboden praktijken wordt 6 maanden na inwerkingtreding van kracht (februari 2025) 
• Gedragscodes, die veel van de implementatiedetails zullen bevatten die nodig zijn om aan de wet te voldoen, moeten binnen 9 maanden na de inwerkingtreding (mei 2025) worden afgerond. 
• De meeste AI-verplichtingen voor algemene doeleinden worden 12 maanden na inwerkingtreding van kracht (augustus 2025). 
• De verplichtingen voor de meeste AI-systemen met een hoog risico gelden 24 maanden na inwerkingtreding (augustus 2026). 

Voor reeds bestaande GPAI-systemen die niet ingrijpend zijn gewijzigd en bepaalde AI-systemen die onderdeel zijn van grootschalige IT-systemen die worden genoemd in bijlage X van de AI Act, geldt een langere implementatietermijn van 36 maanden (augustus 2027).

De AI Act is voornamelijk van toepassing op “AI-systemen”, die in de wet worden gedefinieerd als “een op een machine gebaseerd systeem dat is ontworpen om met verschillende niveaus van autonomie te werken, dat na gebruik aanpassingsvermogen kan vertonen en dat, voor expliciete of impliciete doelstellingen, uit de input die het ontvangt afleidt hoe het output kan genereren zoals voorspellingen, inhoud, aanbevelingen of beslissingen die fysieke of virtuele omgevingen kunnen beïnvloeden”.  Deze definitie komt in grote lijnen overeen met de OESO-definitie van “AI-systemen” uit 2023 en de definitie die wordt gebruikt in Executive Order 14110 van de regering Biden over veilige, beveiligde en betrouwbare ontwikkeling en gebruik van kunstmatige intelligentie.  

Belangrijk is dat de AI Act onderscheid maakt tussen aanbieders en uitvoerders van AI-systemen. Aanbieders zijn entiteiten, zoals OpenAI, die een AI-systeem of een AI-model voor algemene doeleinden ontwikkelen. Het omvat ook entiteiten die een AI-systeem of een AI-model voor algemene doeleinden laten ontwikkelen en op de markt brengen of die het AI-systeem onder hun eigen naam of handelsmerk in gebruik nemen, al dan niet tegen betaling. 

Uitvoerders zijn klanten of partners die deze systemen of modellen gebruiken in hun eigen toepassingen, zoals het integreren van GPT‑4o in een specifieke toepassing. Hoewel de meeste verplichtingen volgens de AI Act op aanbieders en niet op uitvoerders rusten, is het belangrijk op te merken dat een uitvoerder die een AI-model in zijn eigen AI-systeem integreert, een aanbieder kan worden volgens de wet, bijvoorbeeld door zijn eigen handelsmerk op een AI-systeem te gebruiken of het AI-systeem aan te passen op een manier die niet door de aanbieder is bedoeld.

Organisaties buiten de EU zullen nog steeds moeten voldoen aan de AI Act onder verschillende voorwaarden die vrij verstrekkend kunnen zijn.  De wet is bijvoorbeeld van toepassing als: 

• Een aanbieder een AI-systeem of GPAI-model op de EU-markt brengt, ongeacht of het bedrijf in de EU of in een ander land is gevestigd; 
• Uitvoerders van een AI-systeem zijn gevestigd binnen de EU; 
• Aanbieders en uitvoerders van AI-systemen zijn gevestigd in een derde land, maar de output van het AI-systeem wordt binnen de EU gebruikt.

De brede extraterritoriale reikwijdte van de AI Act betekent dat niet-Europese bedrijven aan de wet moeten voldoen om EU-klanten te bedienen, ongeacht of ze in de EU gevestigd zijn.

De AI Act is opgebouwd rond een risicogebaseerd kader, met specifieke vereisten voor AI-systemen met een hoog risico en systemen met een onaanvaardbaar risico. De wet verplicht bedrijven om het risiconiveau van hun AI-systemen te classificeren om de bijbehorende wettelijke verplichtingen te bepalen, en stelt verschillende categorieën of niveaus van AI-systemen vast die elk verschillende verplichtingen met zich meebrengen.

Bepaalde AI-praktijken die geacht worden een onaanvaardbaar risico te vormen voor de rechten van individuen, zijn volledig verboden. Deze praktijken omvatten:   

• Het gebruik van subliminale, manipulatieve of bedrieglijke technieken om gedrag te verstoren en geïnformeerde besluitvorming te belemmeren, waardoor aanzienlijke schade wordt veroorzaakt. 
• Misbruik maken van kwetsbaarheden die te maken hebben met leeftijd, beperkingen of sociaaleconomische omstandigheden om gedrag te verstoren en zo aanzienlijke schade te veroorzaken. 
• Biometrische categorisatiesystemen die gevoelige kenmerken afleiden zoals ras, politieke opvattingen, vakbondslidmaatschap, religieuze of levensbeschouwelijke overtuigingen, seksueel gedrag of seksuele geaardheid (met beperkte uitzonderingen voor het labelen of filteren van rechtmatig verkregen gegevensverzamelingen en voor gebruik door wetshandhavers) 
• Sociale scoresystemen, zoals systemen die individuen of groepen evalueren of classificeren op basis van sociaal gedrag of persoonlijke eigenschappen, waardoor ze schade oplopen. 
• Het inschatten van het risico dat een individu strafbare feiten pleegt uitsluitend op basis van profilering of persoonlijkheidskenmerken (met beperkte uitzonderingen) 
• Gezichtsherkenningsdatabases samenstellen door ongericht scraping van gezichtsfoto's van het internet of camerabeelden
• Het afleiden van emoties op de werkplek of binnen onderwijsinstellingen. 
• Realtime, op afstand uitgevoerde biometrische identificatie op openbare plaatsen voor wetshandhaving (met bepaalde uitzonderingen).

De wet legt strikte verplichtingen op aan systemen die volgens haar een aanzienlijk risico vormen voor de gezondheid, veiligheid of grondrechten van individuen, en die worden aangemerkt als AI met een hoog risico (HRAI). Deze omvatten: a) systemen die een veiligheidscomponent vormen van een product dat onder andere EU-wetgeving valt, en b) specifieke gebruikstoepassingen, zoals systemen die bedoeld zijn om toegang of toelating tot onderwijsinstellingen te bepalen, personeel te werven of selecteren of prestaties van werknemers te monitoren, de geschiktheid voor overheidssteun te beoordelen, kredietwaardigheid vast te stellen, of de geschiktheid en prijsstelling voor een zorgverzekering te evalueren, naast andere toepassingen.  

HRAI-systemen moeten voldoen aan strenge wettelijke verplichtingen, zoals het opzetten van een risicobeheersysteem om gedurende de gehele levenscyclus van het HRAI-systeem risico’s en mitigerende strategieën continu te evalueren, het implementeren van uitgebreide databeheermaatregelen om risico’s op vooringenomenheid te testen en te beoordelen, het opstellen van gedetailleerde technische documentatie voordat het systeem op de markt wordt gebracht, en het naleven van voortdurende monitoringverplichtingen. 

Aan andere AI-systemen die geen onaanvaardbare of hoge risico's opleveren, worden slechts beperkte eisen gesteld, zoals transparantieverplichtingen. De wet bepaalt bijvoorbeeld dat individuen moeten worden geïnformeerd wanneer ze interactie hebben met een AI-systeem zoals een chatbot, en dat kunstmatig gemanipuleerde afbeeldingen, audio of videomateriaal duidelijk moeten worden gelabeld. De meeste AI-systemen op de markt vallen waarschijnlijk in deze categorie.

Voor aanbieders van AI-modellen en -systemen voor algemene doeleinden, zoals OpenAI, gelden speciale vereisten: 

• Gedetailleerde technische documentatie van het model ontwikkelen en op verzoek aan het AI Office leveren
• Documentatie maken voor uitvoerders die het GPAI-model gebruiken om hun eigen AI-systemen te ontwikkelen
• Beleid implementeren dat bedoeld is om de EU-wetgeving inzake auteursrecht te respecteren
• Een samenvatting geven van de inhoud die is gebruikt om het GPAI-model te trainen 

Daarnaast zullen aanbieders van GPAI-modellen met een grote impact die worden geacht “systemische risico’s” te vormen (bijvoorbeeld modellen die getraind zijn met een grote hoeveelheid rekenkracht, technisch gedefinieerd als 10^25 FLOPs), verplicht zijn om: 

• Modelevaluaties uitvoeren om systeemrisico's te identificeren en te beperken en de gepresenteerde risico's voortdurend beoordelen en beperken
• De EU-Commissie op de hoogte stellen van modellen die voldoen aan de criteria van deze categorie
• Ernstige incidenten bewaken en rapporteren 
• Passende cyberbeveiligingsmaatregelen implementeren voor het model en de bijbehorende fysieke infrastructuur

Aanbieders van GPAI-modellen kunnen zich beroepen op een gedragscode om aan te tonen dat ze voldoen aan de eisen van de AI Act. Deze gedragscodes zullen waarschijnlijk de basis leggen voor specifieke details voor de implementatie van deze verplichtingen en we kijken uit naar de samenwerking met het EU AI Office tijdens de ontwikkeling ervan in de komende 9 maanden. 

OpenAI is toegewijd aan het naleven van de EU AI Act en we zullen nauw samenwerken met het nieuwe EU AI Office terwijl de wet wordt geïmplementeerd. In de komende maanden zullen we doorgaan met het opstellen van technische documentatie en andere richtlijnen voor downstream aanbieders en uitvoerders van onze GPAI-modellen, terwijl we de beveiliging en veiligheid van de modellen die we leveren op de Europese markt en daarbuiten zullen bevorderen.   

Als je organisatie wil uitzoeken hoe je aan de AI Act kunt voldoen, is het slim om eerst te kijken welke AI-systemen er precies onder vallen. Ga na welke GPAI- en andere AI-systemen je gebruikt, bepaal hoe ze zijn ingedeeld en bedenk welke verplichtingen voortvloeien uit je toepassingen. Je moet ook bepalen of je een aanbieder of uitvoerder bent met betrekking tot AI-systemen in het toepassingsgebied. Deze kwesties kunnen ingewikkeld zijn, dus raadpleeg een juridisch adviseur als je vragen hebt.