EU AI Act

Deployer of provider: welke rol heb je onder de AI Act?

De AI Act legt verplichtingen op aan verschillende partijen, en jouw rol bepaalt wat er van je wordt verwacht. Deze gids legt het verschil uit tussen de gebruiksverantwoordelijke (deployer) en de aanbieder (provider), en laat zien wanneer je rol kan verschuiven.

Laatst bijgewerkt: 13 juni 2026

Doe de gratis risicoscan

Waarom je rol bepalend is

De AI Act regelt niet alleen wélke AI aan eisen moet voldoen, maar ook wíe waarvoor verantwoordelijk is. Dezelfde wet geldt dus anders voor een softwarebedrijf dat AI bouwt dan voor een MKB-bedrijf dat AI inkoopt. Voordat je iets aan compliance doet, is het daarom belangrijk om je rol te bepalen. Doe je dat niet, dan loop je het risico verplichtingen te missen of juist werk te doen dat niet bij je past.

De twee rollen die voor het MKB het meest relevant zijn, zijn de gebruiksverantwoordelijke en de aanbieder. De wet kent daarnaast nog rollen als importeur en distributeur, maar die spelen voor de meeste organisaties een kleinere rol.

Deployer: de gebruiksverantwoordelijke

Een gebruiksverantwoordelijke (in de verordening deployer) is een organisatie die een AI-systeem onder eigen verantwoordelijkheid gebruikt in de beroepsmatige context. Verreweg de meeste MKB-bedrijven vallen in deze categorie: je koopt of abonneert je op een AI-tool en zet die in voor je werk.

Ook als deployer heb je verplichtingen, ook al heb je het systeem niet zelf gebouwd. Bij hoog-risico-systemen gaat het onder meer om:

het systeem gebruiken volgens de gebruiksaanwijzing van de aanbieder (Art. 26);
menselijk toezicht beleggen bij competente personen (Art. 26);
de werking monitoren en incidenten melden;
logs bewaren voor zover die onder jouw beheer staan;
waar vereist een grondrechteneffectbeoordeling (FRIA) uitvoeren (Art. 27).

Daarnaast geldt voor iedereen, ongeacht categorie, de plicht om voor voldoende AI-geletterdheid te zorgen (Art. 4).

Provider: de aanbieder

Een aanbieder (provider) ontwikkelt een AI-systeem of brengt het onder de eigen naam of merk op de markt. Voor hoog-risico-systemen draagt de aanbieder de zwaarste lasten, zoals:

een risicomanagementsysteem over de hele levenscyclus (Art. 9);
data governance voor trainings- en testdata (Art. 10);
technische documentatie en logging (Art. 11 en 12);
transparantie en een goede gebruiksaanwijzing (Art. 13);
een conformiteitsbeoordeling met EU-conformiteitsverklaring en CE-markering (Art. 43).

Veel MKB-bedrijven zijn geen provider, maar zodra je AI ontwikkelt of doorlevert onder je eigen naam, kan dat veranderen.

De plichten per rol op een rij

Aspect	Deployer (gebruiksverantwoordelijke)	Provider (aanbieder)
Typische situatie	Je koopt en gebruikt AI	Je bouwt of vermarkt AI
AI-geletterdheid (Art. 4)	Ja	Ja
Menselijk toezicht	Inrichten (Art. 26)	Ontwerpen (Art. 14)
Documentatie	Logs bewaren	Technische documentatie opstellen
Conformiteit	Niet primair	Conformiteitsbeoordeling + CE
FRIA	Soms vereist (Art. 27)	Niet primair

Wanneer een deployer provider-plichten krijgt

De rolverdeling is niet in beton gegoten. Een gebruiksverantwoordelijke kan onder de AI Act alsnog als aanbieder worden gezien, en daarmee de zwaardere provider-plichten krijgen, in situaties zoals:

je zet je eigen naam of merk op een bestaand hoog-risico-systeem;
je brengt een wezenlijke wijziging aan in een hoog-risico-systeem;
je gebruikt een systeem voor een ander doel waardoor het hoog risico wordt.

Het is dus belangrijk om bij elke aanpassing of herpositionering te toetsen of je rol verschuift. Twijfel je? Leg per systeem vast in welke rol je het gebruikt; het AI-register is daar de aangewezen plek voor.

Bepaal je rol met zekerheid

Omdat je rol je verplichtingen bepaalt, loont het om er niet naar te gissen. Beoordeel per systeem of je deployer of provider bent en leg dat onderbouwd vast. Dat voorkomt dat je later voor verrassingen komt te staan.

De gratis risicoscan helpt je hierbij: hij bepaalt niet alleen de risicocategorie, maar houdt ook rekening met je rol bij het bepalen van de verplichtingen. Het UMW-platform vertaalt dat vervolgens naar een concrete checklist per systeem. Meer verdieping vind je in de kennisbank.

Veelgestelde vragen

Doorgaans ben je dan gebruiksverantwoordelijke (deployer): je gebruikt het systeem, maar je hebt het niet zelf ontwikkeld of onder eigen naam op de markt gebracht. Zet je je eigen merk op de chatbot of pas je hem wezenlijk aan, dan kun je alsnog als aanbieder worden gezien.

Ja. Voor het ene systeem kun je gebruiksverantwoordelijke zijn en voor het andere aanbieder. Daarom beoordeel je je rol per systeem en niet voor de hele organisatie in één keer.

Bij hoog-risico-systemen draagt de aanbieder (provider) de zwaarste lasten, zoals conformiteitsbeoordeling en technische documentatie. De gebruiksverantwoordelijke heeft een lichter maar reëel pakket, waaronder menselijk toezicht en soms een FRIA.

Klaar om te beginnen?

Doe de gratis risicoscan en ontdek je risicocategorie en eerste stappen, of bekijk het platform.

Gratis risicoscan Bekijk het platform

Lees verder

De EU AI Act: de complete gids voor het MKBAlles over de EU AI Act (Verordening (EU) 2024/1689): wat de wet inhoudt, voor wie ze geldt, de risicocategorieën, de deadlines en de boetes. Met concrete eerste stappen.Wat valt onder de AI Act?Wat valt er onder de EU AI Act en wat niet? Lees wat een AI-systeem is, welke toepassingen eronder vallen, de vier risicocategorieën en doe de zelftest.Hoog-risico-AI en Bijlage III van de AI ActHoog-risico-AI valt onder de strengste eisen van de AI Act. Lees wat hoog-risico-systemen zijn, welke domeinen Bijlage III noemt en welke verplichtingen erbij horen.AI-geletterdheid: voldoen aan Artikel 4 van de AI ActArtikel 4 van de EU AI Act verplicht sinds 2 februari 2025 tot AI-geletterdheid bij je personeel. Lees wat de eis inhoudt, hoe een rol-gebaseerde aanpak werkt en hoe je het aantoonbaar maakt.