Voordat u begint met compliance, moet u weten of de AI Act überhaupt op ú van toepassing is. Artikel 2 regelt precies dat: het toepassingsbereik van de wet. Het antwoord is voor de meeste Nederlandse bedrijven kort: ja, de AI Act geldt voor u — maar uw specifieke verplichtingen hangen af van welke rol u speelt.
Wie valt onder de AI Act?
Artikel 2 omschrijft vier typen organisaties die onder de wet vallen:
- Providers die een AI-systeem ontwikkelen of laten ontwikkelen en op de EU-markt brengen of in gebruik nemen
- Deployers die een AI-systeem gebruiken voor professionele of zakelijke doeleinden
- Importeurs die een AI-systeem van buiten de EU importeren
- Distributeurs die AI-systemen beschikbaar stellen in de EU zonder ze te wijzigen
Het onderscheid tussen provider en deployer is voor de meeste Nederlandse bedrijven het meest relevant. Vrijwel elk bedrijf is minimaal deployer — u gebruikt immers ChatGPT, Copilot, of andere AI-tools zakelijk.
Wat is uw rol: provider of deployer?
U bent provider als...
U AI-systemen ontwikkelt, laat ontwikkelen of aanzienlijk wijzigt met als doel ze op de markt te brengen of te gebruiken. Providers dragen de zwaarste verantwoordelijkheid: zij moeten zorgen dat het systeem voldoet aan alle technische en documentatievereisten voordat het in gebruik wordt genomen.
- U bouwt een AI-applicatie voor klanten
- U fine-tunet een bestaand model voor een specifiek gebruik en levert dit als dienst
- U integreert een AI-API in uw eigen product en verkoopt dat product
U bent deployer als...
U een AI-systeem gebruikt voor zakelijke of professionele doeleinden, maar zelf niet de bouwer bent. Als deployer heeft u verplichtingen die lichter zijn dan die van een provider, maar bij hoog-risico AI nog steeds aanzienlijk.
- Uw medewerkers gebruiken ChatGPT, Copilot of Gemini voor hun werk
- Uw HR-software heeft een AI-module voor cv-screening
- Uw klantenservice gebruikt een AI-chatbot van een externe leverancier
De grens is niet altijd scherp: Als u een bestaand AI-model aanzienlijk aanpast voor een nieuw doel, kunt u als provider worden beschouwd — ook al was u oorspronkelijk alleen deployer. Dit geldt bijvoorbeeld als u ChatGPT met een uitgebreide systeem-prompt en bedrijfsdata inzet als geautomatiseerde beslissingsmodule voor kredietverlening.
Geografisch bereik: geldt het ook buiten Nederland?
Artikel 2 heeft een breed geografisch bereik, vergelijkbaar met de AVG. De AI Act geldt voor:
- Providers gevestigd in de EU die AI op de EU-markt brengen
- Providers buiten de EU waarvan de output in de EU wordt gebruikt
- Deployers die in de EU zijn gevestigd
- Deployers buiten de EU waarvan de gebruikers zich in de EU bevinden
Kortom: een Amerikaans bedrijf dat AI aanbiedt aan Nederlandse gebruikers valt óók onder de AI Act. En een Nederlands bedrijf dat AI inzet om besluiten te nemen over personen in de EU, valt er sowieso onder.
Uitzonderingen op artikel 2
De wet geldt niet voor iedereen in elke situatie. Artikel 2 noemt de volgende uitzonderingen:
Anders dan sommige andere EU-wetgeving bevat de AI Act geen drempel op basis van bedrijfsomvang of gebruiksfrequentie. Of u nu tien keer per maand ChatGPT gebruikt of tienduizend keer — als het zakelijk is, valt u als deployer onder de wet. De verplichtingen zijn wel proportioneel: wie alleen minimaal-risico AI gebruikt, heeft beduidend minder te doen dan wie hoog-risico AI inzet.
Wat betekent dit concreet voor een Nederlands bedrijf?
Als uw bedrijf zakelijk AI-tools gebruikt, bent u minimaal deployer. Dat betekent:
- U bent verplicht medewerkers die AI gebruiken voldoende te informeren (artikel 4 — al van kracht per februari 2025)
- U bent verantwoordelijk voor het toezicht op de AI-systemen die u inzet
- Bij hoog-risico AI gelden aanvullende verplichtingen die voor augustus 2026 geregeld moeten zijn
Geldt de AI Act voor uw bedrijf?
De gratis checker stelt u de juiste vragen en bepaalt in 10 minuten uw rol, uw risiconiveau en welke verplichtingen voor u gelden.
Start de gratis check