De EU AI Act kent een aparte categorie voor general-purpose AI, kortweg GPAI. Dat zijn de modellen met brede inzetbaarheid die de basis vormen voor talloze toepassingen: de grote taalmodellen achter tools als GPT, Claude en Gemini, maar ook beeldgeneratoren en andere foundation models. Sinds 2 augustus 2025 gelden voor aanbieders van deze modellen specifieke verplichtingen. Wie zo'n model aanbiedt, of inbouwt in een eigen product, moet weten wat de verordening verwacht.
Waarom een aparte categorie?
GPAI-modellen passen niet goed in het risicogebaseerde systeem dat de rest van de AI Act kenmerkt. Een taalmodel is op zichzelf niet hoog-risico of laag-risico: het hangt volledig af van het gebruik. Hetzelfde model kan een recept schrijven of een medische triage ondersteunen. Daarom heeft de wetgever een aparte set verplichtingen gemaakt die zich richt op het model zelf, los van de toepassing.
De basisverplichtingen
Aanbieders van GPAI-modellen moeten technische documentatie opstellen en bijhouden, zodat toezichthouders en afnemers begrijpen wat het model is, hoe het is getraind en wat de mogelijkheden en beperkingen zijn. Daarnaast moeten zij informatie beschikbaar stellen aan partijen die het model in hun eigen systemen integreren, zodat die op hun beurt aan hun verplichtingen kunnen voldoen.
Een derde pijler betreft het auteursrecht. Aanbieders moeten een beleid hebben om het EU-auteursrecht te respecteren, inclusief de mogelijkheid voor rechthebbenden om zich te verzetten tegen het gebruik van hun werk voor training. En zij moeten een voldoende gedetailleerde samenvatting publiceren van de data die voor de training is gebruikt. Die transparantie over trainingsdata is een van de meest besproken onderdelen van de regeling.
Modellen met systeemrisico
Voor de zwaarste modellen gelden aanvullende eisen. Een GPAI-model met zogenoemd systeemrisico, doorgaans de meest capabele modellen die op grote schaal worden ingezet, moet onder meer modelevaluaties uitvoeren, systeemrisico's beoordelen en beperken, ernstige incidenten melden en een passend niveau van cyberbeveiliging waarborgen. Deze categorie is bedoeld voor de modellen waarvan de impact bij falen of misbruik het grootst is.
De GPAI Code of Practice
Om aanbieders te helpen aan deze eisen te voldoen, is in juli 2025 een GPAI Code of Practice afgerond, opgesteld door onafhankelijke experts. Deze gedragscode is vrijwillig en bestaat uit drie onderdelen: transparantie, auteursrecht, en veiligheid en beveiliging. Ondertekenaars kunnen de code gebruiken om aan te tonen dat zij hun verplichtingen nakomen. Het is geen vervanging van de wet, maar een praktische route om naleving aantoonbaar te maken.
Wat betekent dit voor Nederlandse organisaties?
De meeste Nederlandse organisaties bouwen zelf geen foundation models. Toch raakt GPAI hen wel degelijk. Wie een GPAI-model integreert in een eigen product, wordt in veel gevallen aanbieder van een AI-systeem met eigen verplichtingen, en is afhankelijk van de informatie die de modelaanbieder verstrekt. Het loont om bij de selectie van een AI-leverancier te toetsen of die voldoet aan de GPAI-eisen en of hij de documentatie levert die je zelf nodig hebt om compliant te zijn.
Daarnaast is er de samenhang met je eigen governance. Een organisatie die ISO 42001 implementeert, neemt de afhankelijkheid van GPAI-leveranciers mee in haar leveranciersbeoordeling en haar risicoanalyse. De vraag is niet alleen of het model goed werkt, maar ook of de aanbieder transparant en compliant is, want dat bepaalt mede of jij dat kunt zijn.
Hoe Secure Audit hierin ondersteunt
Wij helpen organisaties om de AI-leveranciersketen te beoordelen, de eigen positie in de AI Act te bepalen, en de informatie van GPAI-aanbieders te vertalen naar de eigen compliance- en governance-eisen. Neem contact op voor een AI Act-positiebepaling.
Veelgestelde vragen
Wat is een general-purpose AI-model (GPAI)?+
Een breed inzetbaar AI-model dat de basis vormt voor talloze toepassingen, zoals de grote taalmodellen achter tools als GPT, Claude en Gemini, maar ook beeldgeneratoren en andere foundation models.
Sinds wanneer gelden de GPAI-verplichtingen?+
De specifieke verplichtingen voor aanbieders van general-purpose AI-modellen gelden sinds 2 augustus 2025 onder de EU AI Act.
Wat moet ik doen als ik een GPAI-model in mijn product inbouw?+
Je wordt in veel gevallen zelf aanbieder van een AI-systeem met eigen verplichtingen, en je bent afhankelijk van de documentatie van de modelaanbieder. Toets bij de selectie van een AI-leverancier of die voldoet aan de GPAI-eisen en de informatie levert die je nodig hebt om zelf compliant te zijn.
Lees ook
De AI-verordening (EU AI Act) treedt augustus 2026 volledig in werking voor hoog-risico AI-systemen. Hoe classificeer je jouw AI-systemen, wat zijn de verplichtingen en hoe bereid je de conformiteitsbeoordeling voor? Een praktische gids met boetes tot 35 miljoen euro.
De EU AI Act is van kracht en ISO 42001 biedt het managementsysteem om eraan te voldoen. Maar hoe verhouden ze zich tot elkaar? En waar zitten de hiaten?
Aanvallers gebruiken AI om phishing, deepfakes en geautomatiseerde aanvallen op te schalen. Tegelijkertijd biedt AI nieuwe verdedigingsmogelijkheden. Hoe navigeer je als organisatie door dit snel veranderende dreigingslandschap?
In mei 2026 bereikten de EU-instellingen een akkoord over de Digital Omnibus, het eerste wijzigingspakket op de EU AI Act sinds de invoering. De verplichtingen voor hoog-risico AI-systemen schuiven op naar december 2027 en augustus 2028. Wat verandert er, wat blijft staan, en waarom is uitstel geen reden om stil te zitten?
Over de auteur
Partner | IT-auditor