Deployer of provider? Waarom dit onderscheid belangrijker is dan u denkt

Veel organisaties denken dat de EU AI Act niet voor hen geldt. "Wij bouwen geen AI, wij gebruiken het alleen." Dat klopt, maar het maakt u niet minder verantwoordelijk. In de terminologie van de AI Act bent u dan een "deployer", en dat brengt eigen verplichtingen met zich mee.

Provider versus deployer: het verschil

De EU AI Act onderscheidt twee hoofdrollen:

Provider (aanbieder): de partij die een AI-systeem ontwikkelt, traint en op de markt brengt. Denk aan OpenAI (ChatGPT), Microsoft (Copilot), of de leverancier van uw HR-screeningtool.

Deployer (gebruiker): de partij die een AI-systeem inzet voor eigen gebruik. Dat bent u, als uw organisatie Copilot inzet, een AI-chatbot op uw website heeft, of een recruitmenttool gebruikt die cv's screent.

Het onderscheid klinkt helder, maar in de praktijk zijn er grensgevallen die belangrijke gevolgen hebben voor welke verplichtingen gelden.

Waarom vrijwel elke organisatie deployer is

Gebruikt uw organisatie Microsoft 365 met Copilot? Dan bent u deployer. Hebben uw medewerkers toegang tot ChatGPT of Gemini? Deployer. Staat er een chatbot op uw website? Deployer. Gebruikt uw HR-afdeling een tool die cv's screent of rangschikt? Deployer, en dan ook van een hoogrisico-systeem.

De drempel is laag. Zodra u een AI-systeem inzet in uw organisatie, ook als het door een ander is gemaakt, valt u onder de deployer-verplichtingen van de AI Act.

Dit geldt ook voor ongeautoriseerd gebruik. Als een medewerker de gratis versie van ChatGPT gebruikt om een klantmail te beantwoorden, maakt dat uw organisatie tot deployer, ook als u er niet van wist. Bovendien worden bij de gratis versie ingevoerde gegevens mogelijk gebruikt om het model te trainen. Dat is niet alleen een deployer-kwestie, maar ook een potentieel datalek. Shadow-AI maakt u deployer zonder dat u het beseft.

De verplichtingen van een deployer

Deployers hebben minder verplichtingen dan providers, maar het zijn er meer dan de meeste organisaties denken:

AI-geletterdheid (Artikel 4): U moet ervoor zorgen dat uw medewerkers weten wat ze doen als ze met AI werken. Deze basisverplichting geldt sinds 2 februari 2025 en raakt elke organisatie die AI gebruikt. Wat aantoonbaar voldoen aan Artikel 4 van u vraagt, werkten we elders uit.

Transparantie (Artikel 50): Bij bepaalde AI-systemen moet u betrokkenen informeren dat er AI wordt ingezet. Sollicitanten moeten weten dat AI hun cv beoordeelt. Burgers moeten weten dat een chatbot geen mens is.

Menselijk toezicht (Artikel 26): Bij hoogrisico-AI, werving, onderwijs, zorg, publieke dienstverlening, moet er altijd een mens zijn die de eindbeslissing neemt of kan ingrijpen.

Logging en monitoring (Artikel 26): U moet bijhouden hoe uw AI-systemen worden gebruikt, en bij incidenten kunnen aantonen wat er is gebeurd.

Risicobeoordeling (Artikel 27): Bij hoogrisico-AI in publieke dienstverlening moet u als deployer een Fundamental Rights Impact Assessment uitvoeren.

Wanneer verandert u van deployer in provider?

Hier zit de nuance die veel organisaties missen. Artikel 25 van de AI Act beschrijft drie situaties waarin een deployer automatisch provider wordt, maar alleen bij hoogrisico-AI-systemen:

Voor systemen die niet hoogrisico zijn, ligt de drempel veel hoger. Dan is echt ontwikkelwerk vereist, zelf een model bouwen, substantieel uitbreiden, of in opdracht laten ontwikkelen, voordat u provider wordt.

Een concreet voorbeeld

Stel: u heeft een bedrijf dat voedingsadvies verkoopt. U plaatst op uw website een chatbot die bezoekers adviseert over afvallen: "Vraag het aan onze AI-coach". Onder de motorkap draait ChatGPT. U presenteert het aan de buitenwereld als uw eigen dienst.

Bent u nu provider?

Nee. Een voedingsadvies-chatbot is geen hoogrisico-systeem onder de AI Act (Bijlage III). Omdat Artikel 25 alleen triggert bij hoogrisico-systemen, blijft u deployer, ook al staat er "onze AI-coach" bij. Uw verplichtingen blijven beperkt tot Artikel 50 (u moet duidelijk communiceren dat het een AI is, geen mens) en Artikel 4 (uw medewerkers moeten AI-geletterd zijn).

Draai het voorbeeld om: u runt een recruitmentbureau en u rebrand een AI-cv-screener van een leverancier als "OnzeHR-AI" en biedt dit aan eindklanten aan. Dan bent u wel provider, met alle verplichtingen van dien. Waarom? CV-screening staat in Bijlage III als hoogrisico-toepassing. Hoogrisico + eigen naam = provider onder Artikel 25(1)(a).

Nog een voorbeeld: een zorgorganisatie die een taalmodel fine-tunet op eigen patiëntdata en inzet als diagnose-assistent. Dat is hoogrisico (zorg) én substantiële modificatie, dus provider.

En fine-tuning dan?

Fine-tuning wordt vaak genoemd als het grote gevaar waarbij organisaties onbedoeld provider worden. De realiteit is genuanceerder. De Europese Commissie publiceerde in juli 2025 richtlijnen die stellen dat een fine-tuner van een general-purpose AI-model pas provider wordt als de modificatie méér dan een derde van de oorspronkelijke training compute gebruikt. Die drempel halen MKB-organisaties vrijwel nooit, zij gebruiken doorgaans lichte RAG- of prompt-engineering-technieken, geen massieve retraining.

Kortom: fine-tuning maakt u niet automatisch provider. Het inzetten voor een hoogrisico-doel, of het rebrenden van een hoogrisico-systeem, doet dat wel.

De boetes: wat staat er echt op het spel?

De EU AI Act kent een gelaagd boetesysteem (Artikel 99):

Ter vergelijking: de GDPR kent maximaal €20 miljoen of 4%. De AI Act gaat daar dus overheen.

Twee belangrijke nuances:

Voor MKB en startups geldt het laagste van de twee bedragen, niet het hoogste. Een MKB met €2 miljoen omzet riskeert dus maximaal €140.000 voor de zwaarste overtreding, niet €35 miljoen. Materieel nog steeds serieus, maar in de juiste orde van grootte.

Artikel 4 (AI-geletterdheid) kent géén aparte directe boete. Artikel 99 noemt Artikel 4 niet bij de specifiek beboetbare overtredingen. Maar het wordt behandeld als verzwarende factor bij andere overtredingen. Als uw organisatie een AI-incident heeft en een toezichthouder stelt vast dat uw medewerkers nooit AI-geletterdheidstraining hebben gehad, weegt dat stevig mee in de boete die volgt. Het argument "we wisten niet beter" werkt niet als u niet kunt aantonen dat u uw medewerkers heeft opgeleid.

Wat u nu moet doen

Stap 1: Bepaal uw rol per AI-systeem. Loop uw AI-systemen na en beoordeel per systeem: ben ik deployer, of heb ik één van de Artikel 25-triggers geraakt?

Stap 2: Inventariseer uw verplichtingen. Als deployer van een niet-hoogrisico-systeem (spamfilter, vertaaltool, productiviteitschatbot) zijn uw verplichtingen beperkt tot AI-geletterdheid en, waar relevant, transparantie. Bij hoogrisico-systemen komt er veel meer bij kijken.

Stap 3: Check op onbedoelde provider-status. Heeft u hoogrisico-AI onder eigen naam gerebrand? Het doel gewijzigd? Substantieel aangepast? Dan moet u uw compliance-positie herzien.

Stap 4: Train uw medewerkers. Artikel 4 geldt voor álle organisaties die AI inzetten. Uw IT-beheerders moeten bovendien het verschil tussen provider en deployer kennen, zodat zij niet ongemerkt de grens oversteken bij implementaties.

Stap 5: Documenteer en bewijs. De bewijslast ligt bij u. Een overzicht van wie welke training heeft gevolgd, met certificaten per medewerker die de eindtermen en gedekte AI Act-artikelen vermelden, is de meest concrete manier om aan te tonen dat u aan uw Artikel 4-plicht heeft voldaan.

Tot slot

De EU AI Act is niet geschreven om innovatie te remmen. Het is geschreven om ervoor te zorgen dat AI veilig en verantwoord wordt ingezet. Als deployer hoeft u niet in paniek te raken, maar u moet wel weten wat uw rol is, wat uw verplichtingen zijn, en waar de grens ligt.

Het verschil tussen een organisatie die dit begrijpt en een die dat niet doet, kan serieuze boetes én reputatieschade schelen.

Wilt u weten of uw organisatie deployer of provider is? Onze AI-geletterdheidstraining behandelt dit uitgebreid in Module 4 (IT/Technisch). Bekijk onze trainingen of download de gratis compliance checklist.