Wat staat er in de nieuwe EU AI-wet Algemene AI-praktijkcode?

Door Christie Rae • 15 September 2025

Het EU AI-wetDe eerste bepalingen, zoals die over verboden AI-praktijken, traden in februari 2025 in werking. De gefaseerde uitrol van de vereisten loopt door tot augustus 2027, wanneer alle systemen moeten voldoen aan de verplichtingen van de wet. Deze maand publiceerde het AI Office de General-Purpose AI Code of Practice voor aanbieders van General-Purpose AI (GPAI)-modellen en GPAI-modellen met systemisch risico.

De Code is een vrijwillig instrument, opgesteld door onafhankelijke experts, en is bedoeld om aanbieders van GPAI-modellen te helpen voldoen aan hun verplichtingen onder de wet. Ondertekenaars zijn verplicht samenvattingen van trainingsgegevens te publiceren, ongeoorloofd gebruik van auteursrechtelijk beschermde content te vermijden en interne kaders te creëren om risico's te monitoren. De Code dient als leidraad voor het aantonen van naleving van de verplichtingen zoals uiteengezet in de artikelen 53 en 55 van de EU AI-wet, hoewel naleving geen doorslaggevend bewijs van naleving is.

De Code bestaat uit drie hoofdstukken: Transparantie, Auteursrecht en Veiligheid. In deze blog bespreken we de drie hoofdstukken die in de Gedragscode zijn geïntroduceerd en schetsen we de volgende stappen voor organisaties.

Belangrijke termen die in de gedragscode worden gebruikt

Systeemrisico: De EU AI Act definieert systemisch risico als specifiek voor capaciteiten met een grote impact: modellen die zijn getraind met een cumulatieve hoeveelheid rekenkracht groter dan 10^25 drijvende-kommabewerkingen, bezitten capaciteiten met een grote impact.

Verbintenissen: De verplichtingen waartoe ondertekenaars van de Gedragscode zich verbinden, bijvoorbeeld:

Documentatie
Het invoeren van een state-of-the-art veiligheids- en beveiligingskader.

Afmetingen: De specifieke acties die ondertekenaars ondernemen om zich aan de toezeggingen te houden en te voldoen aan de verplichtingen van de Gedragscode, bijvoorbeeld:

Het up-to-date houden van de modeldocumentatie
Het creëren van een veiligheids- en beveiligingskader.

EU AI Act GPAI-praktijkcode – Transparantie

Het hoofdstuk Transparantie bevat één toezegging – Documentatie – en drie maatregelen (1.1, 1.2 en 1.3) om de transparantie, integriteit en relevantie van de informatie die wordt verstrekt door aanbieders van GPAI-modellen en GPAI-modellen met systemisch risico te waarborgen.

Ondertekenaars moeten alle informatie waarnaar wordt verwezen in het Modeldocumentatieformulier, zoals hieronder beschreven, hebben gedocumenteerd en de Modeldocumentatie bijwerken met relevante wijzigingen. Bedrijven moeten ook eerdere versies van de Modeldocumentatie maximaal 10 jaar bewaren.

Om transparantie te waarborgen, moeten organisaties ook contactgegevens van het AI Office openbaar maken, zodat het toegang kan krijgen tot de benodigde informatie. Ze moeten op verzoek actuele aanvullende informatie verstrekken, binnen een redelijke termijn en uiterlijk 14 dagen na ontvangst van het verzoek.

Organisaties moeten ervoor zorgen dat de kwaliteit en integriteit van de informatie die zij verstrekken, worden gecontroleerd en bewaard als bewijs van naleving.

Wat is het modeldocumentatieformulier?

Het hoofdstuk Transparantie bevat een modeldocumentatieformulier waarmee aanbieders de benodigde informatie kunnen documenteren om te voldoen aan de verplichting van de EU AI-wet om voldoende transparantie te waarborgen. Het formulier geeft per item aan of de informatie bedoeld is voor downstream aanbieders, het AI-bureau of nationale bevoegde autoriteiten.

Ontvangers van de informatie die is verstrekt in het modeldocumentatieformulier, moeten de vertrouwelijkheid van de informatie respecteren in overeenstemming met artikel 78 van de EU AI-wet en ervoor zorgen dat er cyberbeveiligingsmaatregelen zijn getroffen om de beveiliging en vertrouwelijkheid van de informatie te beschermen.

EU AI Act GPAI-praktijkcode – Auteursrecht

Hoofdstuk twee van de Gedragscode gaat over auteursrecht en bevat één verbintenis – Auteursrechtbeleid – en vijf maatregelen die ondertekenaars moeten implementeren om naleving van de EU-wetgeving inzake auteursrecht en naburige rechten te waarborgen, in overeenstemming met artikel 53 van de EU AI-wet.

In grote lijnen omvat dit hoofdstuk:

Het opstellen van een auteursrechtbeleid
Maatregelen nemen om te voldoen aan het EU-auteursrechtbeleid en de rechtenvoorbehouden
Het risico op inbreuk op het auteursrecht in de uitkomsten van AI-modellen beperken
Het opzetten van een contactpunt voor de communicatie met rechthebbenden en het indienen van klachten.

Om aan de vereisten van dit hoofdstuk te voldoen, moeten ondertekenaars een auteursrechtbeleid implementeren en consistent bijwerken voor GPAI-modellen die zij op de EU-markt brengen, en dit beleid in één document bijhouden. Ze moeten er tevens voor zorgen dat ze binnen hun organisatie verantwoordelijkheden toewijzen voor de implementatie en handhaving van het auteursrechtbeleid.

Organisaties die zich willen conformeren aan de Gedragscode, moeten er ook voor zorgen dat ze bij het crawlen van het internet alleen rechtmatig toegankelijke, auteursrechtelijk beschermde content reproduceren en extraheren. Dit houdt in dat websites die door rechtbanken of autoriteiten in de EU als inbreuk op het auteursrecht zijn erkend, worden uitgesloten. Ter ondersteuning hiervan zal een lijst van deze websites openbaar worden gemaakt.

In lijn hiermee moeten organisaties zich houden aan rechtenreserveringen bij het crawlen van het internet, bijvoorbeeld door webcrawlers in te zetten die instructies lezen en volgen die staan vermeld in het robots.txt-bestand van een website. Dit bestand geeft aan welke delen van de site crawlers mogen bezoeken. Daarnaast moeten organisaties andere geschikte, machinaal leesbare protocollen identificeren en naleven om rechtenreserveringen uit te drukken.

EU AI Act GPAI-praktijkcode – Veiligheid en beveiliging

Het derde en laatste hoofdstuk van de Gedragscode is het meest uitgebreid en beschrijft praktijken voor het beheer van systeemrisico's en ondersteunt aanbieders bij het naleven van de verplichtingen van de EU AI-wet voor GPAI-modellen die een systeemrisico vormen. Dit hoofdstuk bevat tien toezeggingen, bestaande uit meerdere maatregelen:

Het aannemen, implementeren en bijwerken van een passend veiligheids- en beveiligingskader om de processen en maatregelen voor systeemrisicobeheer te schetsen die organisaties hebben geïmplementeerd om ervoor te zorgen dat de systeemrisico's die voortvloeien uit hun modellen acceptabel zijn.

Identificatie van systeemrisico's: Organisaties moeten een gestructureerd proces implementeren om systemische risico's die voortvloeien uit hun AI-modellen te identificeren en voor elk geïdentificeerd systemisch risico scenario's voor systemische risico's ontwikkelen.

Systeemrisicoanalyse, waaronder het verzamelen van modelonafhankelijke informatie, het uitvoeren van evaluaties, het modelleren van het systemische risico, het schatten van het systemische risico en het uitvoeren van post-market monitoring.

Vaststelling van de acceptatie van systeemrisico's, waaronder het specificeren van acceptatiecriteria, het bepalen of systemische risico's die voortvloeien uit een AI-model aanvaardbaar zijn, en het beslissen of de ontwikkeling en het gebruik moeten worden voortgezet op basis van de vaststelling van de acceptatie van systemische risico's.

Implementatie van veiligheidsmaatregelen gedurende de volledige levenscyclus van het model om ervoor te zorgen dat de systemische risico's die voortvloeien uit het model acceptabel zijn, bijvoorbeeld door het gedrag van het model aan te passen uit veiligheidsoverwegingen.

Implementatie van beveiligingsmaatregelen zoals een adequaat niveau van cyberbeveiliging. Organisaties moeten er ook voor zorgen dat systeemrisico's die voortvloeien uit ongeoorloofde toegang tot, gebruik van of diefstal van modellen, acceptabel zijn.

Een rapport over het veiligheids- en beveiligingsmodel maken Voordat een model op de markt wordt gebracht en ervoor wordt gezorgd dat dit up-to-date is. Organisaties kunnen één modelrapport voor meerdere modellen opstellen als de processen en maatregelen voor systemische risicobeoordeling en -beperking voor één model niet kunnen worden begrepen zonder verwijzing naar het/de andere model(len). MKB-bedrijven kunnen het detailniveau in hun modelrapporten verlagen om rekening te houden met beperkingen qua omvang en capaciteit.

Toewijzing van systeemrisicoverantwoordelijkheid door verantwoordelijkheden te definiëren voor het beheer van de systemische risico's van modellen op alle niveaus van de organisatie en door de juiste middelen toe te wijzen aan degenen die verantwoordelijk zijn voor het beheer van systemische risico's.

Melding van ernstige incidenten, Door processen en maatregelen te implementeren voor het volgen, documenteren en onverwijld melden van ernstige incidenten aan het AI-bureau (en, indien van toepassing, aan de bevoegde nationale autoriteiten). Ondertekenaars dienen tevens de nodige middelen voor dergelijke processen en maatregelen te verstrekken.

Aanvullende documentatie en transparantie – inclusief het documenteren van de implementatie van dit hoofdstuk en het publiceren van samenvattende versies van hun raamwerk- en modelrapporten, indien nodig. Aanvullende documentatie omvat een gedetailleerde beschrijving van de architectuur van het model, de integratie ervan in AI-systemen, modelevaluaties uitgevoerd conform dit hoofdstuk en de geïmplementeerde veiligheidsmaatregelen.

Naleving van de gedragscode met ISO 42001

De Gedragscode is vrijwillig. Ze biedt aanbieders van GPAI-modellen en GPAI-modellen met systeemrisico's echter een manier om aan te tonen dat ze voldoen aan de wettelijke verplichtingen van de EU AI-wet.

Als uw bedrijf van plan is zich aan de Gedragscode te houden, ISO 42001 De norm biedt een best practice-kader voor het opzetten, onderhouden en continu verbeteren van een AI-managementsysteem (AIMS) en kan ook de bredere naleving van de EU AI-wetgeving ondersteunen. De ISO 42001-norm is ontworpen om ervoor te zorgen dat organisaties rekening houden met specifieke kwesties met betrekking tot AI, waaronder beveiliging, veiligheid, eerlijkheid, transparantie, datakwaliteit en de kwaliteit van AI-systemen gedurende hun hele levenscyclus.

Hoewel de GPAI-praktijkcode gericht is op leveranciers van AI-modellen en niet op systemen, biedt ISO 42001 een basis voor organisaties om een ethisch en transparant AIMS te implementeren dat zowel AI-modellen als -systemen omvat.

Er is een hoge mate van overlap tussen de eisen van de norm en de maatregelen en afspraken die in de Gedragscode zijn vastgelegd. Zo vereist de ISO 42001-norm dat organisaties AI-risico's identificeren en aanpakken (paragraaf 6.1.2. AI-risicobeoordeling, paragraaf 6.1.3. AI-risicobehandeling en paragraaf 8.3. AI-risicobehandeling).

De implementatie van ISO 42001 omvat ook het opstellen van documentatie- en registratieprocessen die alle aspecten van het AIMS bestrijken, inclusief beleid, procedures, prestatiegegevens en nalevingsregistraties. Dit sluit direct aan bij de documentatievereisten van hoofdstuk één van de Code of Practice.

Met een robuust, ISO 42001-conform AIMS kunnen organisaties eenvoudig bewijs leveren van naleving van de Gedragscode en de EU AI-wet.

Volgende stappen

Het implementeren van de nodige maatregelen om te voldoen aan de Gedragscode kan een uitdaging zijn. Nu is het moment om uw bestaande AI-documentatie, auteursrechtelijke afstemming en systemisch risicomanagement te evalueren en hiaten te identificeren tussen uw huidige beheer en de maatregelen die de Gedragscode vereist.

Als uw organisatie overweegt om te voldoen aan ISO 42001, uitreiken Ontdek hoe ISMS.online u kan helpen. Zet de volgende stap naar verantwoord en methodisch AI-beheer en zorg ervoor dat u AI-modellen en -systemen ethisch, veilig en in overeenstemming met uw wettelijke verplichtingen onder de EU AI-wet implementeert.

Christie Rae

Christie is contentmarketingspecialist bij ISMS.online. Met meer dan zeven jaar ervaring wil ze informatieve, boeiende inhoud schrijven en heeft ze in een groot aantal sectoren gewerkt, waaronder cyberbeveiliging, software as a service, technologie en farmaceutica.

Lees meer van Christie Rae

Cyber security 10 December 2025

Rapport over de stand van zaken op het gebied van informatiebeveiliging: 11 belangrijke statistieken en trends voor de financiële sector

Het derde jaarlijkse State of Information Security Report van IO onthulde de belangrijkste uitdagingen waar beveiligingsleiders in 2025 voor staan, van AI-gestuurde aanvallen tot...

Christie Rae

Cyber security 4 December 2025

IO benoemd tot G2 Grid®-leider in governance, risico en compliance voor de winter van 2025

We zijn verheugd te kunnen melden dat IO is uitgeroepen tot leider in de G2 Grid®-rapporten voor de winter van 2025. Dit kwartaal heeft IO acht badges behaald in de Rep...

Christie Rae

Cyber security 28 November 2025

Cyberweerbaarheid opbouwen: hoe u uw bedrijf kunt beschermen tijdens deze Black Friday-banner

Cyberweerbaarheid opbouwen: hoe u uw bedrijf beschermt tijdens Black Friday

2025 werd gekenmerkt door een reeks opvallende cyberincidenten. Een inbreuk op een leveranciersaccount zorgde ervoor dat de activiteiten van retailgigant M&S stil kwamen te liggen, met klanten...

Christie Rae