De uitrol van de AI Act volgt een gefaseerde tijdlijn die loopt van 2 februari 2025 tot eind 2027. Deze geleidelijkheid is bedoeld om economische spelers voldoende tijd te geven om zich aan te passen, terwijl de meest urgente beschermingsmaatregelen snel in werking treden.
Opgenomen in hoofdstuk V van de verordening vormen de GPAI-verplichtingen het hart van de regulering van foundation models. Elke aanbieder van een general-purpose AI model die op de Europese markt wordt gebracht - ook in open source, met gedeeltelijke uitzonderingen - moet:
Voor systemisch risicomodellen, geïdentificeerd door een trainingsberekening van meer dan 10²⁵ FLOPS of aangewezen door de Commissie, komen daar nog bij: voortdurende risicobeoordeling, gestandaardiseerde adversariële tests (red-teaming), cybersecuritymaatregelen, melding van ernstige incidenten aan het AI Office en publicatie van een rapport over het energieverbruik. Bij de inwerkingtreding in augustus 2025 vielen GPT-4, Gemini Ultra, Claude 3 Opus en Llama 3.1 405B binnen de scope. De drempel kan door de Commissie worden herzien om de stand van de techniek te blijven weerspiegelen.
Om de naleving van de artikelen 53 en 55 te vergemakkelijken vóór de goedkeuring van geharmoniseerde normen, is de Europese Commissie in juli 2024 gestart met de opstelling van een Code of Good Practice voor general-purpose AI models. Gecoördineerd door het AI Office en met inbreng van dertien onafhankelijke experts en een honderdtal geraadpleegde organisaties, kende de code verschillende tussentijdse versies alvorens de definitieve publicatie op 10 juli 2025.
De code steunt op drie pijlers: transparantie (publicatie van technische informatie voor uitrolers en publiek), auteursrecht (operationele procedures voor het respecteren van opt-outs), en veiligheid/veiligstelling voor systemisch risicomodellen. De toepassing is vrijwillig maar geeft een vermoeden van naleving: een aanbieder die zich aan de code houdt, wordt geacht aan de relevante eisen te voldoen. De belangrijkste Amerikaanse en Europese laboratoria hebben zich gecommitteerd aan de bepalingen, met uitzondering van Meta, dat in juli 2025 weigerde te ondertekenen wegens een volgens hen onverenigbaar kader met hun praktijken rond Llama. Google en Anthropic ondertekenden met voorbehoud, terwijl OpenAI, Mistral AI en Microsoft hun volledige steun toezegden.
Artikel 53 is het centrale punt geworden van het debat over het samengaan van generatieve AI en de creatieve industrieën. Paragraaf 1(c) verplicht GPAI-aanbieders tot het invoeren van een beleid voor het respecteren van het auteursrecht, en paragraaf 1(d) vereist de publicatie van een voldoende gedetailleerde samenvatting van de trainingsdata, volgens een model van het AI Office.
In de praktijk berust het mechanisme op het duo TDM-exceptie (text and data mining, artikel 4 van richtlijn 2019/790) en opt-out machine-readable. Rechthebbenden die niet willen dat hun werken worden gebruikt voor het trainen van AI-modellen, moeten dit kenbaar maken in een machine-leesbaar formaat - doorgaans via een robots.txt-bestand, een HTTP-header of een in het werk ingebedde metadata. Diverse initiatieven - TDM Reservation Protocol van het W3C, ai.txt, C2PA - bieden concurrerende standaarden, maar in 2026 is er nog geen dominante standaard.
Franse rechthebbenden betwisten de effectiviteit van het systeem. SACEM, SCAM, SACD en SDRM hekelen de informatie-asymmetrie en het ontbreken van effectieve sancties bij niet-naleving van opt-outs. In mei 2026 werd het voorstel van de wet Darcos, dat een omgekeerde bewijslast wilde introduceren (vermoeden van gebruik van werken bij gebrek aan transparantie) via artikel L. 331-4-1 van de Code de la propriété intellectuelle, in de Assemblée nationale verworpen. Hierdoor bleven rechthebbenden zonder nationaal wetgevend vangnet en zijn zij aangewezen op de strikte toepassing van artikel 53 door de Europese Commissie.
De AI Act creëert twee centrale Europese instanties. Het European AI Office (European AI Office), opgericht bij besluit van de Commissie in mei 2024 en ondergebracht bij DG CONNECT, houdt toezicht op de uitvoering van de verordening voor GPAI en systemisch risicomodellen. Het stelt de code of good practice op, houdt toezicht op aanbieders, behandelt klachten en kan sancties opleggen. Bij de oprichting telde het kantoor circa honderd medewerkers en stond onder leiding van Lucilla Sioli.
Het European AI Board (European AI Board) brengt de vertegenwoordigers samen van de nationale toezichthouders van de 27 lidstaten. De eerste officiële bijeenkomst vond plaats in september 2024. De raad zorgt voor coördinatie tussen de lidstaten, harmoniseert de interpretatie van de verordening en adviseert de Commissie. Een adviserend forum met vertegenwoordigers uit industrie, maatschappelijke organisaties, academische wereld en het mkb maakt deel uit van het geheel.
Op nationaal niveau wijst elke lidstaat een of meer bevoegde autoriteiten aan. In Frankrijk coördineert de CNIL de toepassing van bepalingen inzake persoonsgegevens, terwijl de DGCCRF en de DGE optreden op het gebied van producten en de interne markt. Een interministeriële coördinatiegroep werd in 2025 aangekondigd, maar was nog niet formeel opgericht bij de inwerkingtreding van de GPAI-regels.
De AI Act voorziet in een sanctieladder die is afgestemd op de ernst van de overtreding:
KMO's en start-ups profiteren van een evenredig plafond: het laagste van de twee bedragen geldt. De eerste formele procedures worden eind 2026 door het AI Office verwacht, na de gefaseerde implementatieperiode.
De AI Act heeft het Europese AI-ecosysteem ingrijpend veranderd. Voor grote gebruikersbedrijven (banken, verzekeringen, gezondheidszorg, HR) betekent dit dat compliance vanaf het ontwerp van systemen moet worden geïntegreerd - de zogenaamde compliance by design-aanpak - wat inhoudt: mapping van AI-gebruik, impactanalyses, technische documentatie en interne governance. Kantoren als Wavestone, France Digitale en Gide publiceerden al in februari 2024 praktische gidsen om deze professionaliseringsslag te ondersteunen.
Voor aanbieders van open source modellen voorziet de verordening in gedeeltelijke uitzonderingen op GPAI-verplichtingen wanneer parameters, architectuur en gebruiksinformatie openbaar worden gemaakt - behalve voor systemisch risicomodellen. Een coalitie van Europese open source-spelers (Hugging Face, GitHub, Mistral, La Quadrature du Net) vroeg in juli 2023 om een soepeler kader om collaboratieve innovatie te beschermen. Het uiteindelijke compromis handhaaft deze uitzonderingen, maar verplicht wel tot publicatie van de trainingsdata-samenvatting en het auteursrechtbeleid, wat het opschalen van modellen met zeer grote datasets bemoeilijkt.
Voor de Europese kampioenen - Mistral AI, LightOn, Aleph Alpha, Black Forest Labs - betekent de AI Act een dubbele uitdaging: voldoen aan de regels binnen korte termijnen en tegelijk competitieve modellen blijven trainen tegenover OpenAI, Anthropic of Google. Verschillende stemmen, waaronder Arthur Mensch (Mistral AI), waarschuwden voor het risico van Europese de-industrialisatie als de regeldruk te zwaar wordt vergeleken met buiten de EU. Daarentegen vinden Yoshua Bengio, Raja Chatila en Nicolas Miailhe dat strikte regulering essentieel is om de Europese strategische autonomie en het publieke vertrouwen te waarborgen.
De AI Act past in een gefragmenteerd internationaal landschap. In de Verenigde Staten werd het Executive Order van Biden uit oktober 2023 grotendeels ingetrokken door de regering-Trump in januari 2025, waardoor federale agentschappen en staten (vooral Californië met SB 1047) sectorale of lokale benaderingen ontwikkelen. China voerde al in augustus 2023 een voorafgaande vergunningsplicht in voor generatieve AI-modellen voor het grote publiek, en keurde meer dan 190 LLMs goed, met politieke controle op de gegenereerde inhoud als prijs.
Het Verenigd Koninkrijk koos voor een op principes gebaseerde aanpak, uitgevoerd door bestaande sectorale toezichthouders, zonder tot nu toe een specifieke wet. Brazilië, Canada, Japan en Zuid-Korea werken aan hun eigen kaders, vaak geïnspireerd op het Europese risicogebaseerde model. Het Brussels effect - de facto extraterritorialiteit van Europese regels wanneer internationale aanbieders wereldwijd conformeren in plaats van meerdere regimes te beheren - zal waarschijnlijk net als bij de RGPD een rol spelen, al is het effect in 2026 nog niet meetbaar.
Verschillende internationale topontmoetingen markeerden deze ontwikkeling: de AI Safety Summit in Bletchley Park (november 2023), Seoul AI Safety Summit (mei 2024), AI Action Summit in Parijs (februari 2025). Alle bevestigden het uitblijven van een wereldwijd consensus over regulering, maar wezen op de bijzondere verantwoordelijkheid van de EU als eerste regulator die een bindende tekst heeft aangenomen.
De kritieke uitdagingen voor de komende 18 maanden zijn:
De AI Act is geen eindpunt, maar een levend kader. Een herziening is voorzien om de vier jaar, met de eerste in 2028. Het succes zal minder afhangen van de letter van de wet dan van het vermogen om de bescherming van fundamentele rechten, industriële innovatie en Europese technologische soevereiniteit met elkaar te verbinden.
De verordening is in werking getreden op 1 augustus 2024, twintig dagen na publicatie in het Publicatieblad van de Europese Unie op 12 juli 2024. De toepassing ervan wordt gefaseerd tot augustus 2027, afhankelijk van het type systemen: verboden zijn van kracht sinds 2 februari 2025, GPAI-verplichtingen vanaf 2 augustus 2025, hoog-risico systemen vanaf augustus 2026.
Een model wordt vermoed systemisch risicovol te zijn wanneer het de drempel van 10²⁵ FLOPS aan cumulatieve rekenkracht tijdens de training overschrijdt. Bij de start van de verplichting in augustus 2025 vielen GPT-4, Gemini Ultra, Claude 3 Opus en Llama 3.1 405B hieronder. De Commissie kan ook andere modellen aanwijzen op basis van kwalitatieve criteria (aantal gebruikers, gebruikswijze, beoordeelde capaciteiten).
Elke aanbieder van een foundation model voor algemeen gebruik op de Europese markt moet technische documentatie bijhouden, een gedetailleerde samenvatting van de trainingsdata publiceren, een beleid voor naleving van het auteursrecht opstellen en samenwerken met het AI Bureau. Voor systemisch risicovolle modellen komen daar continue evaluatie, adversariële tests, cybersecurity en incidentrapportage bij.
Artikel 53 verplicht GPAI-aanbieders om de opt-out van rechthebbenden te respecteren volgens richtlijn 2019/790. Deze opt-out moet machine-readable zijn (robots.txt, HTTP-headers, metadata). Franse rechthebbenden betwisten de effectiviteit van deze regeling, omdat het vervallen van de wet Darcos in mei 2026 de rechthebbenden zonder nationale wettelijke ondersteuning heeft achtergelaten.
De sancties lopen op tot 35 miljoen euro of 7% van de wereldwijde jaaromzet voor verboden praktijken, 15 miljoen of 3% voor schendingen van verplichtingen voor hoog-risico systemen en GPAI, en 7,5 miljoen of 1% voor het verstrekken van onjuiste informatie. Het hoogste bedrag geldt voor grote ondernemingen, het laagste voor KMO's.
Dit is een referentiedocument gepubliceerd op 10 juli 2025 door de Europese Commissie, opgesteld door dertien onafhankelijke experts en een honderdtal geraadpleegde organisaties. Vrijwillige ondertekening geeft een vermoeden van naleving van artikelen 53 en 55. OpenAI, Mistral AI, Microsoft, Anthropic en Google hebben ondertekend, Meta heeft geweigerd.
Het Europees AI Bureau, verbonden aan de Europese Commissie (DG CONNECT), houdt toezicht op GPAI-aanbieders en systemisch risicovolle modellen. Het Europees AI Comité verenigt de nationale autoriteiten van de 27 lidstaten. In Nederland zijn de AP, ACM en RDI de bevoegde autoriteiten afhankelijk van de relevante onderdelen.
Ja, modellen waarvan de parameters, architectuur en gebruiksinformatie onder een vrije licentie zijn gepubliceerd, genieten gedeeltelijke vrijstelling van GPAI-verplichtingen - behalve als het model systemisch risicovol is. De publicatie van de samenvatting van de trainingsdata en het auteursrechtbeleid blijft echter verplicht voor alle open source modellen.
In juli 2025 ondertekenden meer dan 150 leiders van Europese bedrijven - waaronder Carrefour, BNP Paribas, Airbus en TotalEnergies - een open brief waarin zij om een moratorium van twee jaar op de toepassing van de AI Act vroegen. Zij wezen op een risico van concurrentienadeel ten opzichte van Amerikaanse en Chinese spelers. De Europese Commissie heeft dit verzoek afgewezen en het oorspronkelijke tijdschema gehandhaafd.
De RGPD regelt de verwerking van persoonsgegevens, terwijl de AI Act het op de markt brengen en het gebruik van AI-systemen reguleert, ongeacht of zij persoonsgegevens verwerken. Beide regelingen zijn cumulatief van toepassing: een hoog-risico AI-systeem dat persoonsgegevens verwerkt, moet zowel de AI Act-verplichtingen als de RGPD-principes (rechtmatigheid, minimalisatie, rechten van betrokkenen) naleven.
De eerste vierjaarlijkse herziening van de verordening is gepland in 2028. De Commissie moet dan de doeltreffendheid van het systeem, de technologische stand van zaken en de mogelijkheid tot aanpassing van drempels, lijsten van hoog-risicogebruik en governance-mechanismen evalueren.
5 articles liés à ce sujet
De conferentie van de elf fractievoorzitters van de Nationale Vergadering heeft op 12 mei 2026 in de ochtend het wetsvoorstel Darcos over auteursrecht...
L'AI Act, la réglementation européenne sur l'intelligence artificielle (IA), est en vigueur depuis février 2024, malgré l'opposition de certaines entr...
Na een derde ontwerp in maart, heeft de Europese Commissie gisteren de definitieve versie gepresenteerd van de gedragscode voor algemene AI-modellen....
Europese bedrijven zoals Carrefour, BNP Paribas, Airbus en TotalEnergies hebben om een pauze van twee jaar gevraagd in de toepassing van de EU-regelge...
Het AI-kantoor van de Europese Commissie heeft de derde versie van de Code voor goede praktijken uitgebracht, met als doel het helpen van AI-leveranci...
