Extraterritorialiteit van de EU AI Act: wanneer gelden de regels buiten de EU?

De EU AI Act trekt qua reikwijdte een vergelijkbare lijn als de AVG. Niet de plaats van vestiging is bepalend, maar de plaats waar het effect van het AI-systeem zich manifesteert. Voor Nederlandse bedrijven die met buitenlandse leveranciers werken, en voor Nederlandse aanbieders die richting buiten-EU klanten exporteren, is dat een fundamentele systematiek. In dit artikel werken we artikel 2, de drie extraterritoriale scenarios, de EU-representant uit artikel 22 en de praktische gevolgen uit.

Artikel 2: het toepassingsbereik van de AI Act

Artikel 2 lid 1 omschrijft drie hoofdgroepen die onder de AI Act vallen. Ten eerste providers die AI-systemen in de EU op de markt brengen of in gebruik nemen, ongeacht of zij in de EU of in een derde land gevestigd zijn. Ten tweede deployers die zich in de EU bevinden. Ten derde providers en deployers in derde landen indien de output van het AI-systeem in de EU wordt gebruikt.

De wetgever combineert hier twee aanknopingspunten: de plek waar het systeem op de markt komt en de plek waar het effect optreedt. Dat eerste is een klassieke interne-marktbenadering, dat tweede is extraterritoriaal. De combinatie maakt dat een AI-provider in San Francisco of Singapore alsnog onder de AI Act kan vallen.

Drie scenarios waarin niet-EU partijen onder de wet vallen

Scenario 1: AI-systeem wordt op de EU-markt geplaatst

Een Amerikaanse software-aanbieder verkoopt een SaaS-tool met AI-functionaliteit aan klanten in de EU. Zodra de tool actief op de EU-markt wordt aangeboden via licenties, downloads of cloud-deployment, valt de provider onder de AI Act. Of de servers in de VS staan en of de provider geen vestiging in de EU heeft, is niet bepalend.

Scenario 2: Deployer is in de EU

Een Nederlands ziekenhuis neemt een AI-systeem voor radiologie af van een leverancier in Zwitserland. Het ziekenhuis is in de EU en wordt deployer. Op het ziekenhuis rusten de deployer-verplichtingen uit artikel 26, ongeacht waar de leverancier gevestigd is. De Zwitserse provider valt op grond van het eerste scenario zelf eveneens onder de wet, omdat het systeem op de EU-markt is geplaatst.

Scenario 3: Output van het AI-systeem wordt in de EU gebruikt

Dit is het meest verstrekkende scenario. Een AI-systeem draait volledig buiten de EU, een bedrijf buiten de EU genereert er output mee (bijvoorbeeld een score, een rapport, een classificatie) en die output wordt vervolgens in de EU gebruikt door een EU-deployer. Een Indiase BPO-aanbieder die CV's screent voor een Nederlandse opdrachtgever met een lokaal gehoste AI-tool valt hieronder. De AI Act vermijdt zo dat partijen via offshoring aan de wet kunnen ontsnappen.

Vergelijking met AVG-territorialiteit

Wie de AVG kent, herkent het patroon. Artikel 3 AVG legt de extraterritoriale werking vergelijkbaar vast: vestiging in de EU, of het richten van diensten op betrokkenen in de EU, of het monitoren van hun gedrag. Het zogenoemde Brussels effect, waarbij EU-regelgeving wereldwijde marktstandaard wordt, kreeg via de AVG zijn naam. De AI Act bouwt op hetzelfde mechanisme.

Verschil is dat de AI Act niet alleen de verwerking van persoonsgegevens beschermt, maar het volledige systeem aan eisen onderwerpt. Een AI-systeem zonder persoonsgegevens kan onder de AI Act vallen terwijl de AVG niet van toepassing is, denk aan industriele kwaliteitscontrole zonder mensen in beeld. Lees ook ons artikel over AI Act vs AVG voor de uitgebreide vergelijking.

EU-representant verplichting (artikel 22)

Voor providers van hoog-risico AI-systemen die buiten de EU gevestigd zijn, schrijft artikel 22 voor dat zij een gemachtigde vertegenwoordiger in de EU aanwijzen voordat zij hun systeem op de EU-markt brengen. Deze EU-representant is contractueel gemandateerd om namens de provider richting markttoezicht en toezichthouders op te treden.

De aanwijzing moet schriftelijk gebeuren. De representant aanvaardt het mandaat eveneens schriftelijk en is daarna mede-verantwoordelijk voor de naleving van een aantal kerntaken. De provider blijft eindverantwoordelijk, maar de representant is het juridische en operationele aanspreekpunt binnen de EU.

Wat doet een EU-representant?

Artikel 22 lid 3 somt de kerntaken op:

• Verifieren dat de EU-conformiteitsverklaring en technische documentatie zijn opgesteld en dat een passende conformiteitsbeoordeling is uitgevoerd.
• Een kopie van de EU-conformiteitsverklaring, de technische documentatie en eventueel certificaten van notified bodies tien jaar bewaren na het op de markt brengen.
• De provider faciliteren bij registratie van het systeem in de EU AI-databank uit artikel 71.
• Samenwerken met markttoezichthouders en op verzoek alle informatie verstrekken die nodig is om naleving aan te tonen.
• Het mandaat beeindigen indien hij meent dat de provider in strijd handelt met de wet, en dit melden aan de toezichthouder.

Een EU-representant is geen passieve postbus. Wie de rol op zich neemt, draagt reele aansprakelijkheid en moet actief toezicht houden op zijn opdrachtgever.

Wanneer is geen EU-representant nodig?

De representant-plicht geldt specifiek voor providers van hoog-risico systemen die buiten de EU gevestigd zijn. In drie situaties is geen representant nodig:

• De provider is gevestigd in de EU, dan is hij zelf aanspreekpunt.
• Het systeem is geen hoog-risico systeem. Voor minimaal en beperkt risico geldt geen representant-verplichting onder artikel 22.
• Er is een importeur in de EU die de provider-verplichtingen onder zijn naam op zich neemt, dan vervangt de importer-route de representant-route in sommige configuraties.

Voor general-purpose AI providers (GPAI) gelden vergelijkbare regels onder artikel 54: providers van GPAI-modellen die buiten de EU zijn gevestigd, moeten ook een gemachtigde aanwijzen voordat zij het model in de Unie op de markt brengen.

Hoe kiest u een EU-representant?

De markt voor AI Act-representanten is in 2026 in opbouw. Drie typen aanbieders domineren:

• Nederlandse of Europese advocatenkantoren: bieden de representant-rol vaak als onderdeel van een breder nalevingspakket. Sterk in juridische diepgang, soms minder ervaring met technische operationele kanten.
• Gespecialiseerde naleving-bedrijven: bieden integrale representant-, GDPR-vertegenwoordiging en cyberweerbaarheid-advies aan. Combineren goed met technische audits.
• Branche-spelers en consortia: in sectoren zoals medical devices en automotive bestaan gespecialiseerde representanten met domeinkennis. Aanbevolen wanneer uw systeem onder bijlage I valt.

Selectie-criteria: aantoonbare ervaring met AI Act-dossiers, voldoende personeel om termijnen te halen, beroepsaansprakelijkheidsverzekering, fysieke vestiging in een EU-lidstaat en heldere SLA over reactietijden bij verzoeken van toezichthouders.

Importer- en distributor-rollen

Artikel 23 en 24 leggen specifieke verplichtingen op aan importeurs en distributeurs. Een importeur is degene die een AI-systeem uit een derde land op de EU-markt brengt. Een distributeur is iedere andere partij in de toeleveringsketen, anders dan de provider of importeur, die het systeem op de Unie-markt beschikbaar stelt.

Importeurs moeten verifieren dat het systeem is voorzien van de CE-markering, dat de provider zijn verplichtingen heeft vervuld, dat de technische documentatie aanwezig is en dat er een EU-representant is aangewezen waar dat verplicht is. Distributeurs verifieren minimaal dat CE-markering en documentatie aanwezig zijn en dat de opslag- en transportcondities de conformiteit niet aantasten.

Praktische gevolgen voor Nederlandse bedrijven: u kunt eisen aan buitenlandse leveranciers stellen

Bent u Nederlandse deployer met een buitenlandse leverancier? Dan heeft u juridische munitie. De buitenlandse provider is via de extraterritoriale werking gehouden aan de AI Act. U kunt daarvan een afgeleide contractuele claim maken:

• Eis een AI Act-statement waarin de leverancier bevestigt dat het systeem voldoet aan de toepasselijke vereisten.
• Vraag de naam en contactgegevens van de EU-representant indien de leverancier buiten de EU gevestigd is en het systeem hoog-risico is.
• Stel een vrijwaringsclausule op voor schade die voortvloeit uit niet-conformiteit door de provider.
• Maak afspraken over toegang tot de technische documentatie indien u die nodig hebt voor uw eigen deployer-verplichtingen.

Lees ook ons artikel over AI vendor due diligence voor een uitgebreid stappenplan.

Praktische gevolgen voor Nederlandse exporteurs: u kunt zelf provider buiten EU worden

Bent u zelf Nederlandse aanbieder van AI? Houd dan rekening met spiegelregelgeving in derde landen. Voor de VS gelden de staat- en sectorale regels uit ons artikel over EU AI Act vs Amerikaanse aanpak. Voor het Verenigd Koninkrijk werkt men aan een pro-innovation regulatory framework. Brazilie heeft in 2024 een AI-wet aangenomen die structurele overlap met de AI Act vertoont. China kent eigen generatieve-AI-regels.

De praktische aanpak: bouw uw productontwikkeling voor de strengste relevante markt en voeg modulaire controls toe voor specifieke regelgeving per export-bestemming. Dat is kostentechnisch efficienter dan per markt een aparte productlijn.

Wat met cloud-AI van Amerikaanse leveranciers?

Google Workspace AI, AWS AI-diensten, Microsoft Azure AI en OpenAI hebben allemaal Europese vestigingen die in de praktijk als provider richting EU-klanten optreden. Dat betekent dat zij intern AI Act-conform werken en u als afnemer doorgaans een DPA en een AI Act-statement kunt verkrijgen.

Let wel op dat deze structuur niet automatisch betekent dat u als deployer ontslagen bent van uw eigen verplichtingen. U blijft verantwoordelijk voor het AI-register, AI-geletterdheid, menselijk toezicht en, bij toepassing op personen, eventueel een FRIA. De provider levert de bouwsteen, u bouwt het huis.

Sanctierisico voor niet-EU partijen

De AI Act voorziet niet alleen in boetes, maar ook in marktverbod. Artikel 79 en volgende geven toezichthouders de bevoegdheid om systemen die niet voldoen, terug te roepen van de markt of gebruik ervan te verbieden. Voor een niet-EU partij betekent dat verlies van EU-marktaandeel. Voor Nederlandse deployers die afhankelijk zijn van zo'n systeem betekent het operationele continuiteitsrisico.

De handhaving via EU-representanten en importeurs maakt dat sancties effectief uitvoerbaar zijn, ook tegen partijen zonder fysieke EU-vestiging. De representant kan aansprakelijk worden gesteld en juridisch vervolgd in een EU-lidstaat.