Direct naar inhoud
Sector · ICT en software

AI Act-compliance voor ICT en software-aanbieders

Voor ICT- en software-bedrijven die AI **bouwen of doorleveren**: je bent typisch in de 'aanbieder'-rol onder AI Act art. 16, met conformiteitsbeoordeling-plicht (art. 43) en doorgifte-plichten naar je klant. Plus de stapeling met CRA (Cyber Resilience Act), NIS2 en GPAI-regels (art. 51-56) als je foundation models doorgeeft.

Doe gratis een risicoscan

Toezichthouders die in deze sector relevant zijn

AI Office (vanaf 2 augustus 2026)

EU-coordinator voor AI Act-handhaving, met name op GPAI-aanbieders. Werkt samen met nationale markttoezichtautoriteiten.

Rijksinspectie Digitale Infrastructuur (RDI)

Toezicht op markttoegang van digitale producten, mogelijk verantwoordelijk voor AI-product-conformiteit in NL.

Autoriteit Persoonsgegevens (AP)

Voor SaaS-AI met persoonsgegevens-verwerking — AVG-toezicht op aanbieder als verwerker of medeverantwoordelijke.

AI-toepassingen in deze sector — typische classificatie

Indicatieve classificatie per use-case. Echte classificatie hangt af van specifieke implementatie, data en autonomie-niveau — doe een risicoscan voor jouw specifieke geval.

Use-caseClassificatieOnderbouwing
AI-feature inbouwen in eigen SaaS-product (chat, search, agent)BeperktAls jouw klant het inzet voor niet-Bijlage-III-doelen: meestal beperkt risico (Art. 50). Maar je bent als aanbieder verplicht je klant te informeren over capaciteiten, beperkingen en voorzienbare risico's (art. 13).
Code-generatie of -review-AI voor je devs (intern)MinimaalInterne tool zonder beslissingsmacht over personen. Wel art. 4 (geletterdheid) voor het devteam + AI-beleid + DPA met de AI-leverancier.
AI-security monitoring (anomalie-detectie op netwerk)BeperktDetecteert alleen, beslist niet zelfstandig over personen. Mits geen profilering van werknemers raakt het niet Bijlage III. Wel transparant binnen organisatie.
Doorlevering van foundation model (GPAI) in eigen productBeperktAanbieder-plichten onder GPAI-regels (art. 51-56): documenteer trainingsdata-bron, bias-evaluatie, veiligheidstesten. Doorgifte aan klant volgens art. 53 lid 1d.
AI als veiligheidscomponent in industriele besturing (jouw product)HoogBijlage I (productwetgeving) + Bijlage III §2 (kritieke infrastructuur). Volledige conformiteitsbeoordeling via Notified Body, vermoedelijk onder Machinery Directive of CRA.
Embedded AI in IoT-product (smart home, wearable)BeperktNaast AI Act ook Cyber Resilience Act (CRA) van kracht vanaf eind 2027. CRA-conformiteit + AI Act-conformiteit kunnen in 1 conformiteitsverklaring.

Sector-specifieke wetgeving naast EU AI Act en AVG

AI Act art. 51-56 — General-Purpose AI (GPAI)

Specifieke regels voor aanbieders van foundation models: documentatie van trainingsdata, bias-evaluatie, doorgifte-plicht naar klanten/integrators. GPAI-regels gelden vanaf 2 augustus 2025.

Verordening (EU) 2024/2847 — Cyber Resilience Act (CRA)

Cyber-veiligheidseisen voor digitale producten met AI-componenten. Inwerkingtreding 2027 (gefaseerd). Conformiteit gecombineerd met CE-markering.

Richtlijn (EU) 2022/2555 — NIS2

Cybersecurity-eisen voor essentiele entiteiten. Software-aanbieders die kritisch zijn voor klanten in essentiele sectoren vallen onder NIS2-leveranciersverplichtingen.

Verordening (EU) 2022/868 — Data Governance Act

Bij gebruik van publieke data voor AI-training: specifieke regels over data-altruisme en data-tussenpersonen. Relevant voor AI-aanbieders die op publieke data trainen.

Vaak-gemaakte fouten in deze sector

Pas op

Provider versus deployer-rol verkeerd inschatten

Een SaaS-aanbieder die AI inbouwt in zijn product is aanbieder voor dat AI-systeem onder AI Act art. 3 lid 3, en moet conformiteitsbeoordeling doen. Veel SaaS-bedrijven denken dat zij 'gewoon doorverkopen' — dat klopt niet zodra je het AI-systeem onder eigen merk uitbrengt.

Pas op

GPAI-doorgifte-documentatie incompleet

Als je een foundation model (Claude, GPT, Llama) integreert en doorlevert, moet je je klant volgens art. 53 lid 1d voorzien van technische informatie zodat zij hun AI Act-plichten kunnen invullen. Veel SaaS-bedrijven leveren alleen privacy-policy's — onvoldoende.

Pas op

CE-markering vergeten voor 'high-risk-as-product'

Als jouw AI-product onder Bijlage I valt (componenten in machines, medische devices, etc.) is naast de AI Act ook de productwet relevant. CE-markering moet beide kaders dekken — niet alleen AI Act.

Pas op

Sub-processor-keten richting klanten niet transparant

Klanten moeten onder AVG art. 28 lid 2 toestemming geven voor sub-processors. Veel AI-SaaS heeft 5+ lagen (eigen → AWS → Anthropic → ...) die niet allemaal in de DPA staan. Lever een transparante keten-mapping.

Documenten die je in deze sector typisch nodig hebt

  • AI-beleid (provider-perspectief): eigen ontwikkelproces + klant-richting
  • AI-register intern (eigen systemen) + klant-facing register-template
  • Conformiteitsverklaring per AI-product (technische documentatie + zelf-assessment of Notified-Body-audit)
  • GPAI-documentatie als je foundation models doorgeeft (art. 53)
  • Technische documentatie volgens Bijlage IV (uitgebreid voor hoog-risico)
  • Logging-policy met klant-toegankelijke logs voor hoog-risico use-cases
  • Human-oversight-handleiding voor klanten (art. 14 lid 4)
  • Incident-response + post-market-monitoring (art. 72-73)
  • DPA + sub-processor-mapping per klantcontract
  • EU-vertegenwoordiger aangewezen als jullie buiten EU zitten (art. 22)
  • AI-geletterdheids-bewijs voor je eigen team (devs, product, sales, support)

Veelgestelde vragen — ICT en software

Wij zijn een SaaS-startup zonder hoog-risico AI — moeten wij toch FRIA?
Nee, FRIA is alleen verplicht voor gebruiksverantwoordelijken in publieke sector of essentiele diensten met hoog-risico-AI. Voor jouw klanten kan het wel relevant zijn. Lever ze als aanbieder de informatie die ze nodig hebben om hun eigen FRIA te kunnen invullen — dat is jouw verplichting onder art. 13.
Hoe verhouden CRA + AI Act zich als ik beide moet doen?
CRA en AI Act zijn complementair: CRA voor cyber-aspecten, AI Act voor AI-specifieke risico's. Voor producten met AI-componenten kun je een geintegreerde conformiteitsverklaring + technische documentatie maken. EU-Commissie publiceert gedetailleerde guidance hierover in de loop van 2026.
Doorgifte van AI Act-info naar klant: wat exact?
Onder art. 13: gebruiksinstructies, capaciteiten en beperkingen, voorzienbare risico's, voorzienbare verkeerd gebruik, kwaliteit van trainingsdata, vereiste menselijk-toezicht-niveau. Voor GPAI ook art. 53: trainingsdata-bron, bias-evaluatie, copyright-handhaving. Best practice: leg het in een 'AI Act compliance pack' bij elke klantonboarding.
Wij gebruiken Claude API — moet ik mijn klant informeren over Anthropic?
Ja, in twee opzichten. AVG-kant: sub-processor-disclosure onder art. 28. AI Act-kant: als je Claude doorlevert in een eigen AI-feature ben jij gebruiksverantwoordelijke van een GPAI-systeem en moet je je klant informeren over de capaciteiten en beperkingen van het onderliggend model. Anthropic levert deze info als Model Card.
Conformiteitsbeoordeling: zelf-assessment of Notified Body?
Voor de meeste AI-systemen onder Bijlage III: zelf-assessment via Module A (interne controle). Voor specifieke hoog-risico-categorieen (biometrie, kritieke infrastructuur): Module H of een combinatie waarbij Notified Body betrokken is. Annex VI + VII van de AI Act geven de exacte routes.

Verder lezen in de kennisbank

Hoog-risico AI herkennen: Annex III in begrijpelijk Nederlands

Bijlage III van de EU AI Act somt acht categorieen AI-systemen op die als hoog-risico gelden. Per categorie: wat valt eronder, wat valt er net buiten, en welke verplichtingen worden actief.

ISO 42001 vs EU AI Act: wanneer welk?

ISO/IEC 42001 is een internationale standaard voor AI-managementsystemen. EU AI Act is wetgeving. Ze vullen elkaar aan, maar zijn niet uitwisselbaar. Wanneer is ISO 42001-certificering interessant voor MKB, en wanneer is het overkill bovenop je AI Act-werk.

Audit-pack: wat de toezichthouder écht wil zien

Een audit-pack is een gestructureerde set documenten die bewijst dat je AI-Act-compliant werkt. Wat hoort er minimaal in voor MKB, hoe leveren toezichthouders een audit-vraag uit, en welke valkuilen vermijd je.

Specifiek voor ICT en software

Ontvang een rapport voor jouw eigen organisatie in 5 minuten

De gratis risicoscan vraagt naar je specifieke AI-toepassingen en geeft een sector-aware classificatie. Geen account nodig.

Start gratis scan