Voordat je kunt bepalen wat de EU AI Act van je vraagt, moet je weten welke rol je vervult. De verordening koppelt verplichtingen namelijk niet aan je bedrijfsgrootte of je sector, maar aan de rol die je ten opzichte van een AI-systeem inneemt. Dezelfde tool kan voor de ene organisatie lichte verplichtingen meebrengen en voor de andere zware. Daarom begint elke serieuze AI Act-analyse met dezelfde vraag: ben je aanbieder of gebruiksverantwoordelijke?

De twee belangrijkste rollen

De AI Act onderscheidt verschillende rollen, maar voor het MKB zijn er twee die er echt toe doen.

  • Aanbieder (provider): je ontwikkelt een AI-systeem, of je laat het ontwikkelen, en brengt het onder je eigen naam of merk op de markt. Ook wie een systeem gratis aanbiedt, kan aanbieder zijn.
  • Gebruiksverantwoordelijke (deployer): je gebruikt een AI-systeem onder je eigen verantwoordelijkheid in je werk, terwijl een ander het heeft gebouwd.

De meeste MKB-organisaties zijn gebruiksverantwoordelijke. Gebruik je een AI-chatbot op je website, een tool die sollicitatiebrieven sorteert, of generatieve AI om teksten te maken, dan ben je in de regel deployer van die systemen, niet de bouwer ervan.

Waarom dit onderscheid zoveel uitmaakt

De zwaarte van je verplichtingen hangt direct samen met je rol, vooral bij hoog-risico-systemen uit Bijlage III (denk aan werving, onderwijs of kredietbeoordeling).

  • De aanbieder draagt het leeuwendeel: een risicomanagementsysteem (Art. 9), data governance (Art. 10), technische documentatie (Art. 11), ingebouwde logging (Art. 12) en een conformiteitsbeoordeling met CE-markering (Art. 43).
  • De gebruiksverantwoordelijke heeft een lichter maar reëel pakket: menselijk toezicht inrichten en het gebruik monitoren (Art. 26), logs bewaren, en waar vereist een grondrechteneffectbeoordeling (FRIA) uitvoeren (Art. 27).

Eén verplichting geldt voor álle rollen en alle risiconiveaus: AI-geletterdheid (Art. 4), die sinds 2 februari 2025 van kracht is. Ook als je AI alleen maar gebruikt, moet je personeel er voldoende van afweten.

Wanneer een deployer toch aanbieder wordt

Hier zit een valkuil die veel MKB'ers niet zien aankomen. Je kunt als gebruiker ongemerkt in de rol van aanbieder schuiven. Dat gebeurt onder meer wanneer je:

  1. een bestaand AI-systeem onder je eigen naam of merk op de markt brengt;
  2. een hoog-risico-systeem wezenlijk wijzigt, zodat het feitelijk een ander systeem wordt;
  3. een systeem dat oorspronkelijk niet als hoog risico gold, voor een hoog-risico-doel gaat inzetten.

In die gevallen verschuiven de zwaardere aanbiedersverplichtingen naar jou. Het loont dus om bij elke tool stil te staan bij wat je er precies mee doet en of je het aanpast of doorverkoopt.

Zo bepaal je je eigen rol

Begin met overzicht. Zet op een rij welke AI-systemen er binnen je organisatie worden gebruikt en stel per systeem twee vragen: heb ik dit zelf (laten) bouwen en breng ik het onder mijn naam naar buiten, of gebruik ik een kant-en-klare tool van een leverancier? Het antwoord bepaalt je rol, en daarmee je verplichtingen.

Twijfel je bij een specifiek systeem? Onze gratis risicoscan helpt je per AI-toepassing de rol én de risicocategorie te bepalen, zodat je weet welke verplichtingen op je afkomen. Wil je weten hoe het platform je daarna verder begeleidt, kijk dan op de pagina over het platform.

Houd er rekening mee dat dit voorlichting is en geen juridisch advies: bij complexe of grensgevallen is een juridische toets verstandig. Maar voor de meeste MKB-situaties is de rolbepaling goed zelf te doen, en het is de logische eerste stap voordat je aan de rest van je compliance begint.