Is Llama 3 vrijgesteld van de AI Act?

Llama 3 als open-weights model is grotendeels vrijgesteld van de GPAI-verplichtingen voor aanbieders (artikelen 51-55 AI Act), omdat de gewichten openbaar beschikbaar zijn gesteld. Meta heeft als aanbieder echter nog wel basisverplichtingen zoals een auteursrechtenbeleid en technische samenvatting. Als gebruiker die Llama 3 inzet, vallen de GPAI-verplichtingen niet op u. Wél gelden de hoog-risico verplichtingen als u Llama 3 inzet voor een hoog-risico toepassing.

Wat als ik een open source model fine-tune?

Als u een open-weights model fine-tunet en het resulterende model in een specifieke toepassing inzet, wordt u de aanbieder van dat nieuwe systeem. Dit heeft gevolgen voor uw verplichtingen: bij een hoog-risico toepassing bent u niet langer alleen deployer maar aanbieder, wat uitgebreidere documentatie-, registratie- en conformiteitsverplichtingen met zich meebrengt.

Wat zijn mijn verplichtingen als ik Ollama gebruik?

Ollama is een platform waarmee u open-weights modellen lokaal draait. Als u Ollama gebruikt om een model in te zetten voor laag-risico toepassingen (zoals een interne informatieassistent), zijn er beperkte AI Act-verplichtingen. Gebruikt u Ollama voor hoog-risico toepassingen (zoals CV-selectie of medische informatieverwerking), dan gelden de volledige hoog-risico verplichtingen voor u als deployer: risicobeoordeling, menselijk toezicht, documentatie en transparantie.

Open source AI en de AI Act: gelden de regels ook voor open source modellen?, actcheck.nl

Open source AI-modellen winnen snel terrein. Bedrijven hosten Llama van Meta, Mistral van het gelijknamige Franse lab of DeepSeek op eigen servers, zonder afhankelijkheid van een externe API. Maar hoe zit het met de AI Act? Zijn open-weights modellen vrijgesteld? En wat zijn uw verplichtingen als u ze inzet in uw organisatie?

Het antwoord vereist onderscheid tussen twee rollen: die van de aanbieder van het model (Meta, Mistral, DeepSeek) en die van de deployer — uw bedrijf, dat het model voor een specifieke toepassing inzet.

Hoe de AI Act GPAI-modellen reguleert

Grote taalmodellen vallen onder de AI Act als General Purpose AI (GPAI), geregeld in artikelen 51 tot en met 55. Aanbieders van GPAI-modellen hebben verplichtingen: technische documentatie opstellen, een auteursrechtenbeleid publiceren, en transparantie bieden over de trainingsdata.

Voor open-weights modellen geldt een uitzondering. Als de aanbieder de modelgewichten openbaar beschikbaar stelt, zijn de meeste GPAI-verplichtingen niet van toepassing — tenzij het model als "GPAI met systeemrisico" is geclassificeerd (modellen die zijn getraind met meer dan 10²⁵ FLOP rekenwerk).

Wat de open-weights uitzondering inhoudt: Meta en Mistral hoeven als aanbieders van open-weights modellen geen volledige technische documentatie te publiceren en zijn vrijgesteld van de meeste GPAI-conformiteitsverplichtingen. Maar zij behouden minimumverplichtingen: een auteursrechtenbeleid en een beknopte technische samenvatting.

De GPAI-uitzondering geldt voor aanbieders — niet voor uw toepassing

Dit is het meest misbegrepen aspect van de open source uitzondering: de vrijstelling geldt voor Meta als aanbieder van Llama, niet voor uw bedrijf dat Llama inzet.

Zodra u een open-weights model inzet voor een specifieke toepassing, bent u deployer van een AI-systeem. De risicocategorie van dat systeem wordt bepaald door de toepassing — niet door het onderliggende model. Als u Llama inzet voor klantenservice zonder impact op significante beslissingen over mensen, is het waarschijnlijk laag-risico. Maar als u Llama inzet voor CV-screening of kredietbeoordeling, is het hoog-risico — ongeacht dat het model open source is.

Meta/Mistral als aanbieder

Verplichtingen: auteursrechtenbeleid, beknopte technische samenvatting, licentievoorwaarden die downstream gebruik regelen. Geen volledige GPAI-conformiteitsverplichtingen voor open-weights modellen.

Uw bedrijf als deployer

Verplichtingen: afhankelijk van de toepassing. Laag-risico toepassing = beperkte verplichtingen. Hoog-risico toepassing = volledige hoog-risico verplichtingen (risicobeoordeling, menselijk toezicht, documentatie, transparantie, registratie).

Praktijkgeval: Llama lokaal hosten voor klantenservice

Stel: u draait Llama 3 via Ollama op een eigen server om een interne klantenservice-assistent te bouwen die medewerkers helpt klantenvragen te beantwoorden. Wat zijn uw verplichtingen?

U bent deployer van een AI-systeem.
De toepassing — een informatieve assistent voor medewerkers — valt waarschijnlijk in de laag-risico categorie.
De AI Act verplicht u dan tot transparantie als het systeem direct contact heeft met eindgebruikers (artikel 50), maar kent verder geen zware verplichtingen voor laag-risico toepassingen.
U moet het systeem opnemen in uw interne AI-register.

Verschil met hoog-risico inzet: Als u hetzelfde Llama-model inzet om sollicitatiebrieven te beoordelen en kandidaten te rangschikken, is de situatie fundamenteel anders. Dan gelden de volledige hoog-risico verplichtingen voor u als deployer, inclusief risicobeoordeling, documentatie en menselijk toezicht — óók al is het model zelf open source en vrijgesteld van GPAI-verplichtingen.

Wat als u het model fine-tunet?

Fine-tuning voegt een extra laag toe aan de verantwoordelijkheidsvraag. Als u een open-weights model fine-tunet voor een specifieke toepassing en dit fine-tuned model vervolgens beschikbaar stelt aan anderen — intern of extern — wordt u de aanbieder van het resulterende systeem. Dan gelden de verplichtingen die horen bij die rol, inclusief conformiteitsbeoordeling bij hoog-risico toepassingen.

Tunt u alleen fine-tune voor intern gebruik zonder het model buiten uw organisatie te distribueren, dan blijft u deployer. Maar u heeft als deployer alle verantwoordelijkheid voor de toepassing die u bouwt.

Wanneer is een open-weights model wél "met systeemrisico"?

De AI Act definieert GPAI-modellen met systeemrisico als modellen die zijn getraind met meer dan 10²⁵ FLOP aan rekenwerk. Voor de meeste huidige open-weights modellen — inclusief Llama 3 70B en Mistral Large — is dit drempelbedrag niet bereikt, waardoor ze onder de open-weights uitzondering vallen.

Maar de AI Act biedt de Europese Commissie de mogelijkheid om modellen ook op andere gronden aan te wijzen als modellen met systeemrisico. Als dat voor een specifiek model gebeurt, vervallen de uitzondering en gelden voor de aanbieder aanvullende verplichtingen — maar niet voor u als deployer.

Open source is geen compliance-vrijbrief

De meest voorkomende misvatting is dat "open source" automatisch betekent dat de AI Act niet van toepassing is. Dat is niet correct. Open source raakt aan de verplichtingen van de aanbieder, niet aan uw verplichtingen als bedrijf dat het model inzet. Uw risicoblootstelling wordt bepaald door wat u ermee doet, niet door hoe het model is gelicenseerd.

Controleer uw open source AI-gebruik

De gratis ActCheck-checker analyseert welke AI-systemen u gebruikt — inclusief zelf gehoste modellen — en bepaalt uw risiconiveau en compliance-verplichtingen.

Start de gratis check

Open source AI en de AI Act: gelden de regels ook voor open source modellen?

Hoe de AI Act GPAI-modellen reguleert

De GPAI-uitzondering geldt voor aanbieders — niet voor uw toepassing

Praktijkgeval: Llama lokaal hosten voor klantenservice

Wat als u het model fine-tunet?

Wanneer is een open-weights model wél "met systeemrisico"?

Controleer uw open source AI-gebruik

Meer lezen

DeepSeek & de AI Act: mag een Nederlands bedrijf DeepSeek gebruiken?

Is ChatGPT legaal onder de EU AI Act? Wat Nederlandse bedrijven moeten weten

AI beleid opstellen: een praktische handleiding voor uw organisatie