AIAdopt
nlfr
HomeInzichtenDeployer of provider? Waarom het verschil je miljoenen kan kosten
artikelMaart 2026· 5 min leestijd

Deployer of provider? Waarom het verschil je miljoenen kan kosten

Veel organisaties denken dat de AI Act niet voor hen geldt. Vaak is dat een dure misvatting.

Deployer of provider? Waarom het verschil je miljoenen kan kosten

Veel organisaties denken dat de EU AI Act niet voor hen geldt. "Wij bouwen geen AI, wij gebruiken het alleen." Dat klopt — maar het maakt je niet minder verantwoordelijk. In de terminologie van de AI Act ben je dan een "deployer", en dat brengt zijn eigen verplichtingen met zich mee. Verplichtingen waar forse boetes aan hangen als je ze negeert.

Provider vs. deployer: het verschil

De EU AI Act onderscheidt twee hoofdrollen:

Provider (aanbieder): de partij die een AI-systeem ontwikkelt, traint en op de markt brengt. Denk aan OpenAI (ChatGPT), Microsoft (Copilot), of de leverancier van je HR-screeningtool.
Deployer (gebruiker): de partij die een AI-systeem inzet voor eigen gebruik. Dat ben jij, als je Copilot gebruikt in je organisatie, als je een AI-chatbot op je website hebt, of als je een recruitmenttool inzet die cv's screent.

Het onderscheid klinkt helder, maar in de praktijk is het dat niet altijd.

Waarom vrijwel elke organisatie een deployer is

Gebruik je Microsoft 365 met Copilot? Dan ben je deployer. Hebben je medewerkers toegang tot ChatGPT of Gemini? Deployer. Staat er een chatbot op je website? Deployer. Gebruikt je HR-afdeling een tool die cv's screent of rangschikt? Deployer — en dan ook nog van een hoogrisico-systeem.

De drempel is laag. Zodra je een AI-systeem inzet in je organisatie — ook als het door een ander is gemaakt — val je onder de deployerverplichtingen van de AI Act.

En let op: dit geldt ook voor ongeautoriseerd gebruik. Als een medewerker de gratis versie van ChatGPT gebruikt om een klantmail te beantwoorden, maakt dat jouw organisatie tot deployer — ook als je er niet van wist. En bij de gratis versie worden ingevoerde gegevens mogelijk gebruikt om het model te trainen. Dat is niet alleen een deployer-kwestie, dat is ook een datalek.

De verplichtingen van een deployer

Deployers hebben minder verplichtingen dan providers, maar het zijn er meer dan de meeste organisaties denken:

AI-geletterdheid (Artikel 4): Je moet ervoor zorgen dat je medewerkers weten wat ze doen als ze met AI werken. Dat is de basisverplichting die sinds 2 februari 2025 geldt.
Transparantie (Artikel 50): Bij bepaalde AI-systemen moet je betrokkenen informeren dat er AI wordt ingezet. Sollicitanten moeten weten dat AI hun cv beoordeelt. Burgers moeten weten dat een chatbot geen mens is.
Menselijk toezicht (Artikel 14): Bij hoogrisico-AI — werving, onderwijs, zorg, publieke dienstverlening — moet er altijd een mens zijn die de eindbeslissing neemt of kan ingrijpen.
Logging en monitoring (Artikel 26): Je moet bijhouden hoe je AI-systemen worden gebruikt, en bij incidenten kunnen aantonen wat er is gebeurd.
Risicobeoordeling: Bij hoogrisico-AI moet je als deployer beoordelen of het systeem geschikt is voor jouw specifieke context en of de risico's aanvaardbaar zijn.

Wanneer word je onbedoeld een provider?

Hier wordt het echt gevaarlijk. De AI Act bepaalt dat je van deployer naar provider verschuift als je een bestaand AI-systeem substantieel aanpast. Concreet:

Finetuning: Als je een taalmodel finetunet op je eigen data, kun je als provider worden aangemerkt. De compliance-last vervijfvoudigt.
Eigen naam: Als je een AI-systeem van een ander onder je eigen naam op de markt brengt, ben je provider — ook als je er technisch niets aan hebt veranderd.
Ander doel: Als je een AI-systeem inzet voor een fundamenteel ander doel dan waarvoor het is ontworpen, kun je als provider worden beschouwd.

Onderzoek wijst uit dat zo'n 40% van MKB-bedrijven die met AI werken, onbewust de provider-grens overschrijdt. Vaak door finetuning of door een AI-tool in te zetten voor een ander doel dan bedoeld.

De boetes

De EU AI Act kent een gelaagd boetesysteem:

AI-geletterdheidsplicht niet naleven: boetes tot **15 miljoen euro of 3%** van de wereldwijde jaaromzet
Deployer-verplichtingen bij hoogrisico-AI niet naleven: boetes tot **15 miljoen euro of 3%**
Verboden AI-praktijken inzetten: boetes tot **35 miljoen euro of 7%** van de wereldwijde jaaromzet

Ter vergelijking: de GDPR kent maximaal 20 miljoen euro of 4%. De AI Act gaat daar dus ruim overheen.

Maar minstens zo belangrijk als de hoogte van de boete is de verwijtbaarheid. Toezichthouders kijken niet alleen naar wat er is misgegaan, maar naar wat je hebt gedaan om het te voorkomen. Het ontbreken van AI-geletterdheidstraining is daarbij "laaghangend fruit" — het is een verplichting die eenvoudig te vervullen is, en juist daarom extra verwijtbaar als je het niet hebt gedaan.

Wat je nu moet doen

1.Bepaal je rol. Ben je deployer, provider, of allebei? Loop je AI-systemen na en beoordeel per systeem hoe je het inzet.
2.Inventariseer je verplichtingen. Als deployer van een minimaalrisico-systeem zijn je verplichtingen beperkt tot AI-geletterdheid. Bij hoogrisico-systemen komt er veel meer bij kijken.
3.Check of je niet onbedoeld provider bent. Heb je AI-systemen aangepast, gefinetuned, of onder eigen naam ingezet?
4.Train je medewerkers. Zeker je IT-beheerders moeten het verschil tussen provider en deployer kennen, en weten wanneer ze de grens overschrijden.
5.Documenteer en bewijs. De bewijslast ligt bij jou. Een overzicht van wie welke training heeft gevolgd, met certificaten die de eindtermen en gedekte AI Act-artikelen vermelden, is de meest concrete manier om aan te tonen dat je aan je verplichtingen hebt voldaan.

Tot slot

De EU AI Act is niet geschreven om innovatie te remmen. Het is geschreven om ervoor te zorgen dat AI veilig en verantwoord wordt ingezet. Als deployer hoef je niet in paniek te raken — maar je moet wel weten wat je rol is, wat je verplichtingen zijn, en waar de grens ligt.

Het verschil tussen een organisatie die dit begrijpt en een die dat niet doet, kan letterlijk miljoenen kosten.

Wil je weten waar jouw organisatie staat?

Download onze gratis EU AI Act Compliance Checklist of bekijk onze AI-geletterdheidstrainingen.

Download checklist →Bekijk trainingen

Meer inzichten

🎓
April 2026· artikel

AI in het onderwijs: wat de EU AI Act concreet betekent voor scholen en onderwijsinstellingen

Lees verder →
📝
April 2026· artikel

AI-beleid in 2 pagina's: het sjabloon dat u vandaag kunt invullen

Lees verder →
💬
April 2026· artikel

ChatGPT op het werk: wat mag jij als medewerker wel en niet?

Lees verder →

Wil je meer weten?

Neem contact op voor een vrijblijvend gesprek over wat AIAdopt voor jouw organisatie kan betekenen.

Neem contact opBekijk trainingen