ChatGPT, Copilot, Claude en Gemini zijn bekende voorbeelden van AI-modellen voor algemene doeleinden, ook wel aangeduid als GPAI-modellen (General-Purpose AI). Sinds 2 augustus 2025 gelden voor aanbieders van dit type model verplichtingen op grond van de EU AI-verordening. Organisaties die deze modellen inzetten als gebruiksverantwoordelijke (deployer) hoeven zelf niet aan de GPAI-verplichtingen te voldoen, maar moeten wel begrijpen wat die verplichtingen inhouden: ze bepalen welke informatie aanbieders aan hen beschikbaar moeten stellen en welke verantwoordelijkheden daarmee bij de eigen organisatie terechtkomen.
Wat is een GPAI-model?
De EU AI-verordening definieert een AI-model voor algemene doeleinden als een model dat een aanzienlijk algemeen karakter vertoont en in staat is op competente wijze een breed scala aan verschillende taken uit te voeren, ongeacht hoe het op de markt wordt aangeboden (artikel 3, punt 63). Grote generatieve AI-modellen zijn het meest kenmerkende voorbeeld, aldus overweging 99 van de verordening.
Als indicatieve grens hanteert de Europese Commissie in haar richtlijnen over de werkingssfeer: een model is vermoedelijk een GPAI-model wanneer de gebruikte trainingsberekening groter is dan 10²³ zwevendekommabewerkingen (FLOP) en het model taal, audio, afbeeldingen of video kan genereren. Modellen die worden gebruikt voor zuiver intern gebruik zonder gevolgen voor derden of voor rechten van natuurlijke personen zijn in beginsel uitgezonderd van de verplichtingen (overweging 97).
Twee categorieën: standaard en systeemrisico
De verordening maakt onderscheid tussen twee categorieën GPAI-modellen, elk met een eigen set verplichtingen.
Standaard GPAI-modellen zijn alle GPAI-modellen die niet als systeemrisicomodel worden aangemerkt. Voor deze modellen gelden de basale transparantie- en documentatieverplichtingen uit artikel 53.
GPAI-modellen met systeemrisico zijn modellen met capaciteiten met een grote impact. Artikel 51, lid 2 stelt dat een model wordt vermoed over dergelijke capaciteiten te beschikken wanneer de cumulatieve trainingsberekening groter is dan 10²⁵ FLOP. Gelet op de huidige stand van de techniek bedragen de trainingskosten voor een dergelijk model naar schatting tientallen miljoenen euro. De Commissie kan de drempel via gedelegeerde handelingen aanpassen naarmate de technologie evolueert (artikel 51, lid 3). Momenteel worden GPAI-modellen met systeemrisico slechts door een handvol bedrijven ontwikkeld.
Verplichtingen voor alle GPAI-aanbieders (artikel 53)
Iedere aanbieder van een GPAI-model, ongeacht of sprake is van systeemrisico, is op grond van artikel 53 verplicht:
- Technische documentatie opstellen en actueel houden, met minimaal de informatie uit bijlage XI, en deze op verzoek beschikbaar stellen aan het AI-bureau en nationale bevoegde autoriteiten.
- Informatie voor downstream aanbieders beschikbaar stellen zodat zij het model kunnen integreren in hun AI-systemen en aan hun eigen verplichtingen kunnen voldoen; de minimuminhoud is vastgelegd in bijlage XII.
- Auteursrechtbeleid invoeren ter naleving van het Unierecht inzake auteursrechten, met name het voorbehoud van rechten op grond van artikel 4, lid 3, van Richtlijn (EU) 2019/790.
- Trainingsdatasamenvatting opstellen en openbaar maken over de content die voor de training is gebruikt, op basis van een sjabloon van het AI-bureau.
Aanbieders van open-sourcemodellen zijn in beginsel vrijgesteld van de documentatieverplichtingen onder a) en b), mits parameters, modelarchitectuur en gebruiksinformatie openbaar zijn gemaakt. Deze uitzondering geldt niet voor modellen met systeemrisico.
Aanvullende verplichtingen bij systeemrisico (artikel 55)
Aanbieders van GPAI-modellen met systeemrisico zijn naast de bovenstaande verplichtingen ook gehouden:
- Modelevaluaties uitvoeren conform gestandaardiseerde protocollen, inclusief tests gericht op het identificeren van kwetsbaarheden (red-teaming).
- Systeemrisico's beoordelen en beperken op Unieniveau, ook gedurende de ontwikkelingsfase.
- Ernstige incidenten documenteren en rapporteren aan het AI-bureau en, indien van toepassing, aan nationale bevoegde autoriteiten.
- Adequate cyberbeveiligingsbescherming waarborgen voor het model en de fysieke infrastructuur.
Wanneer een model voldoet aan de drempel van 10²⁵ FLOP, of wanneer dit redelijkerwijs te voorzien is, moet de aanbieder het AI-bureau hiervan in kennis stellen binnen twee weken (artikel 52, lid 1).
Naleving via de GPAI Code of Practice
Aanbieders kunnen naleving aantonen door toe te treden tot de GPAI Code of Practice, die op 10 juli 2025 door de Europese Commissie is gepubliceerd en als toereikend beoordeeld. De code is onderverdeeld in drie hoofdstukken: Transparantie, Auteursrecht en Veiligheid en Beveiliging. De eerste twee hoofdstukken gelden voor alle GPAI-aanbieders; het derde is uitsluitend van toepassing op aanbieders van modellen met systeemrisico. Deelname is vrijwillig, maar aanbieders die niet toetreden moeten aantonen op een andere gelijkwaardige wijze aan de verordening te voldoen.
Handhaving van de GPAI-verplichtingen ligt bij de Europese Commissie via het AI-bureau. Bij inbreuken kunnen boetes worden opgelegd tot 3% van de wereldwijde jaaromzet of 15 miljoen euro, al naargelang welk bedrag hoger is (artikel 101).
Wat betekent dit voor gebruiksverantwoordelijken?
Organisaties die GPAI-modellen inzetten als gebruiksverantwoordelijke zijn zelf niet onderworpen aan de GPAI-verplichtingen van artikel 53 en 55. Toch heeft de naleving door de aanbieder directe gevolgen voor hun eigen positie. De aanbieder is verplicht informatie beschikbaar te stellen waarmee de gebruiksverantwoordelijke het model begrijpt en zijn eigen verplichtingen onder de verordening kan nakomen, waaronder de verplichting tot AI-geletterdheid op grond van artikel 4. Als de GPAI-aanbieder zijn documentatieverplichtingen niet nakomt, is het voor de gebruiksverantwoordelijke moeilijker te onderbouwen dat medewerkers voldoende begrijpen hoe het model werkt, wat de beperkingen zijn en welke risico's aan het gebruik kleven.