Wat is de definitie van een AI-systeem onder de EU AI Act?

Volgens artikel 3 van de AI Act is een AI-systeem een machine-based systeem dat werkt met variërende mate van autonomie en dat, voor expliciete of impliciete doelen, uit de invoer die het ontvangt afleidt hoe het outputs zoals voorspellingen, aanbevelingen of beslissingen genereert die fysieke of virtuele omgevingen kunnen beïnvloeden. Eenvoudiger gezegd: software die op basis van data patroonherkenning doet en daar output op baseert — van een spamfilter tot ChatGPT.

Wat is het verschil tussen een provider en een deployer in de AI Act?

Een provider (artikel 3 lid 3) is de partij die een AI-systeem ontwikkelt en op de markt brengt. Een deployer (artikel 3 lid 4) is de partij die dat systeem vervolgens professioneel of zakelijk gebruikt. De meeste Nederlandse bedrijven zijn deployer: ze gebruiken AI-tools zoals ChatGPT of Copilot, maar bouwen ze niet zelf.

Wat is een GPAI-model en valt ChatGPT daaronder?

Een General Purpose AI-model (GPAI-model) is een AI-model dat op grote schaal is getraind en voor een breed scala aan taken gebruikt kan worden. ChatGPT (GPT-4o), Claude, Gemini en LLaMA zijn voorbeelden. GPAI-modellen hebben eigen verplichtingen in de AI Act, met zwaardere regels voor modellen die als 'systemisch risico' worden aangemerkt (getraind met meer dan 10^25 FLOP).

Artikel 3 AI Act: de belangrijkste definities uitgelegd

De EU AI Act staat vol juridisch taalgebruik. Artikel 3 is het woordenboek van de wet: het definieert wat bedoeld wordt met termen als "AI-systeem", "provider", "deployer" en "GPAI-model". Wie deze definities begrijpt, begrijpt ook welke verplichtingen op hem of haar van toepassing zijn.

Hieronder de tien meest relevante definities uit artikel 3, vertaald naar de praktijk van Nederlandse bedrijven.

De 10 meest relevante definities

1. AI-systeem (art. 3 lid 1)

"Een machine-based systeem dat is ontworpen om te werken met variërende mate van autonomie en dat, voor expliciete of impliciete doelen, uit de invoer die het ontvangt afleidt hoe het outputs genereert zoals voorspellingen, aanbevelingen, beslissingen of inhoud die fysieke of virtuele omgevingen kunnen beïnvloeden."

In de praktijk: Elk stuk software dat op basis van data patroonherkenning doet en daar conclusies op baseert. Een spamfilter, ChatGPT, een AI-cv-scanner, een aanbevelingsalgoritme en een creditscoring-model zijn allemaal AI-systemen in de zin van de wet. Eenvoudige regelgebaseerde systemen (als X dan Y) zijn dat niet.

2. Provider (art. 3 lid 3)

"Een natuurlijke persoon of rechtspersoon, overheidsinstantie, agentschap of ander lichaam dat een AI-systeem of een AI-model voor algemene doeleinden ontwikkelt of laat ontwikkelen en dit op de markt brengt of het AI-systeem onder eigen naam of handelsmerk in gebruik neemt."

In de praktijk: OpenAI (ChatGPT), Microsoft (Copilot), Google (Gemini) zijn providers. Als u zelf een AI-product bouwt en verkoopt, bent u provider. De provider draagt de zwaarste verantwoordelijkheid voor de compliance van het systeem.

3. Deployer (art. 3 lid 4)

"Een natuurlijke persoon of rechtspersoon, overheidsinstantie, agentschap of ander lichaam dat een AI-systeem gebruikt onder zijn verantwoordelijkheid, tenzij het AI-systeem wordt gebruikt in het kader van een persoonlijke activiteit die niet van professionele aard is."

In de praktijk: U, als u zakelijk AI-tools gebruikt. Elk bedrijf dat ChatGPT, Copilot of welke AI-tool dan ook professioneel inzet, is deployer. Persoonlijk gebruik (iemand die thuis ChatGPT gebruikt om een verhaaltje te schrijven) valt er niet onder.

4. Hoog-risico AI-systeem (art. 3 lid 12)

"Een AI-systeem als bedoeld in artikel 6."

In de praktijk: Artikel 6 verwijst naar Bijlage II (producten met CE-markering) en Bijlage III (acht sectoren). De belangrijkste voor bedrijven: AI in HR/recruitment, kredietverlening, onderwijs en essentiële dienstverlening. Voor hoog-risico AI gelden de zwaarste verplichtingen.

5. AI-model voor algemene doeleinden / GPAI-model (art. 3 lid 63)

"Een AI-model, ook getraind met een grote hoeveelheid data met behulp van zelfbegeleiding op grote schaal, dat een aanzienlijke algemeenheid vertoont en dat in staat is een breed scala aan afzonderlijke taken adequaat uit te voeren."

In de praktijk: ChatGPT, Claude, Gemini, LLaMA — grote taalmodellen die voor uiteenlopende taken geschikt zijn. GPAI-modellen hebben eigen verplichtingen in de AI Act (Hoofdstuk V). Modellen getraind met meer dan 10²⁵ FLOP worden als "systemisch risico" aangemerkt met extra eisen.

6. Biometrisch systeem (art. 3 lid 33)

"Een AI-systeem bedoeld voor biometrische identificatie, verificatie of categorisering."

In de praktijk: Gezichtsherkenning, stemherkenning voor identificatie, vingerafdrukscanners met AI-matching. Biometrische systemen zijn in veel gevallen hoog-risico of zelfs verboden (artikel 5). Face ID op uw eigen telefoon valt er niet onder.

7. Emotieherkenningssysteem (art. 3 lid 39)

"Een AI-systeem bedoeld voor het identificeren of infereren van emoties of intenties van natuurlijke personen op basis van hun biometrische gegevens."

In de praktijk: Software die via webcam, stem of tekst detecteert of iemand blij, gestrest of betrokken is. Inzet op de werkvloer of in onderwijs is volledig verboden (artikel 5). Inzet voor veiligheidsmonitoring in voertuigen is onder voorwaarden toegestaan.

8. AI-praktijk met onaanvaardbaar risico (art. 3 lid — verwijzing art. 5)

Expliciet verboden toepassingen onder artikel 5, waaronder subliminal manipulation, social scoring en realtime biometrische identificatie.

In de praktijk: Systemen die onder deze categorie vallen zijn volledig verboden — geen overgangsperiode, geen uitzondering voor bedrijven. Het verbod geldt al per 2 februari 2025.

9. Ernstig incident (art. 3 lid 49)

"Een incident of storing in verband met een AI-systeem dat rechtstreeks of indirect leidt tot overlijden of ernstig letsel van een persoon, ernstige schade aan eigendommen of het milieu, ernstige schending van grondrechten, of ernstige verstoring van de verlening van essentiële diensten."

In de praktijk: Als uw hoog-risico AI-systeem een ernstig incident veroorzaakt, bent u verplicht dit te melden bij de AP. Dit geldt ook als u deployer bent en niet zelf de bouwer van het systeem.

10. AI-geletterdheid (art. 3 lid 56)

"Vaardigheden, kennis en begrip die providers, deployers en betrokken personen in staat stellen een geïnformeerd gebruik van AI-systemen te maken."

In de praktijk: Dit is de basis voor artikel 4, dat bedrijven verplicht medewerkers voldoende AI-geletterd te maken. Verplicht per 2 februari 2025. Medewerkers hoeven geen techneuten te zijn — ze moeten begrijpen wat de AI doet, wat de beperkingen zijn en wanneer ze de output moeten controleren.

Meer dan 60 definities: Artikel 3 bevat in totaal 65 definities. De overige definities betreffen onder meer notified bodies, markttoezichthouders, CE-markering en technische documentatie. Die zijn vooral relevant voor providers en importeurs.

Waarom zijn definities zo belangrijk?

De definitie van "AI-systeem" bepaalt of de wet überhaupt van toepassing is op uw software. De definitie van "deployer" bepaalt welke verplichtingen voor u gelden. En de definitie van "hoog-risico" bepaalt hoe zwaar die verplichtingen zijn.

Veel compliance-discussies draaien uiteindelijk om de vraag: valt dit systeem onder de definitie? Is dit een AI-systeem of gewone beslissingslogica? Is mijn bedrijf provider of deployer? Bent u er niet zeker van — de gratis checker helpt u de juiste positie te bepalen.

Wat is uw rol onder de AI Act?

De gratis checker stelt gerichte vragen en bepaalt in 10 minuten of u provider of deployer bent, welke tools u gebruikt en welke verplichtingen op u van toepassing zijn.

Start de gratis check

Artikel 3 AI Act: de belangrijkste definities uitgelegd

De 10 meest relevante definities

Waarom zijn definities zo belangrijk?

Wat is uw rol onder de AI Act?

Meer lezen

Artikel 2 AI Act: voor wie geldt de EU AI wet?

Artikel 5 AI Act: welke AI-toepassingen zijn volledig verboden?

High-risk AI systems: welke AI valt onder de strengste regels?