Belangrijke datum: Op 10 juli 2025 publiceerde de Europese Commissie de definitieve versie van de Code of Practice voor general-purpose AI-modellen. Deze gedragscode treedt in werking op 2 augustus 2025.
Waarom deze gedragscode cruciaal is
Op 10 juli 2025 publiceerde de Europese Commissie de definitieve versie van de Code of Practice voor general-purpose AI-modellen. Deze gedragscode is ontwikkeld om aanbieders van AI-modellen te helpen voldoen aan de verplichtingen uit de AI Act, die op 2 augustus 2025 in werking treedt.
Hoewel het vrijwillig karakter heeft, zal de Code in de praktijk fungeren als dé referentie voor toezicht, compliance en governance. Ondertekening levert niet alleen juridische voordelen op, maar ook reputatiewinst in een markt waarin vertrouwen cruciaal wordt.
De gedragscode richt zich specifiek op general-purpose AI-modellen (GPAI) – AI-systemen die voor verschillende doeleinden kunnen worden ingezet, zoals grote taalmodellen en multimodale AI-systemen. Deze modellen vormen de ruggengraat van veel moderne AI-toepassingen en vereisen daarom specifieke governance.
Transparantieverplichtingen: documenteren, delen en updaten
De gedragscode verplicht aanbieders tot transparante documentatie van hun modellen. Deze documentatie omvat technische kenmerken zoals de architectuur, input- en outputmodaliteiten, trainingsdata, energieverbruik en beoogde toepassingen.
Het Model Documentation Form
Aanbieders moeten een gestandaardiseerd Model Documentation Form invullen dat de volgende informatie bevat:
- Technische architectuur en specificaties
- Input- en outputmodaliteiten
- Trainingsdata (herkomst, omvang, representativiteit)
- Energieverbruik en milieu-impact
- Beoogde toepassingen en beperkingen
- Bekende risico's en mitigatiemaatregelen
Dit gebeurt via een standaard Model Documentation Form, dat aansluit op artikel 53 van de AI Act. De informatie moet toegankelijk zijn voor downstream-ontwikkelaars en op verzoek voor de AI Office. Doel is het faciliteren van een verantwoorde integratie van modellen in AI-systemen van derden.
Bijzonder is dat ook informatie over de gebruikte data – zoals de herkomst, omvang, en mate van representativiteit – gedocumenteerd moet worden. Daarmee krijgt transparantie over bias en datakwaliteit een centrale plaats in het complianceproces.
Uitzondering voor open-source: Voor open-source modellen geldt in beginsel een uitzondering op de documentatieverplichtingen, tenzij sprake is van systemische risico's.
Auteursrecht: respecteer digitale rechten bij webscraping en modeltraining
Het tweede hoofdstuk van de Code legt vast hoe aanbieders moeten omgaan met auteursrechtelijk beschermde content. Dit is een cruciaal aspect dat direct impact heeft op de manier waarop AI-modellen worden getraind.
Legitieme toegang tot trainingsdata
- Respecteer technische toegangsbeperkingen
Het is verboden om technische toegangsbeperkingen zoals paywalls te omzeilen. AI-modellen mogen alleen worden getraind op legitiem toegankelijke data.
- Volg het Robot Exclusion Protocol
Het gebruik van crawlers moet voldoen aan robots.txt-bestanden en andere technische richtlijnen voor webscraping.
- Herken rechtenreserveringen
Aanbieders zijn verplicht om rechtenreserveringen – zoals opgenomen in robots.txt of via metadata – technisch te herkennen en te respecteren.
Dit sluit aan bij artikel 4 van de DSM-richtlijn over text and data mining. Daarnaast verplicht de Code aanbieders om technische maatregelen te treffen die het risico op inbreukmakende output beperken.
Klachtenprocedure voor rechthebbenden
Rechthebbenden moeten bovendien laagdrempelig klachten kunnen indienen over mogelijk onrechtmatig gebruik. De Code vereist dat aanbieders:
- Een duidelijke contactmogelijkheid bieden voor auteursrechtklachten
- Binnen redelijke termijn reageren op klachten
- Transparant communiceren over genomen maatregelen
- Een escalatieprocedure hebben voor complexe gevallen
Praktische tip: Implementeer een geautomatiseerd systeem voor het herkennen van auteursrechtelijke metadata en robots.txt-instructies om compliance te waarborgen.
Veiligheid en systemische risico's: alleen voor de zwaarste modellen
Niet alle AI-modellen vallen onder het regime van systemische risico's. Alleen de meest geavanceerde foundation models – met bijvoorbeeld zelfverbeterende capaciteiten of risico's voor de publieke veiligheid – vallen onder deze zwaardere verplichtingen.
Wanneer geldt het systemische risico-regime?
| Criterium | Drempelwaarde | Implicatie |
|---|---|---|
| Rekenkracht | ≥ 10²⁵ FLOPs | Automatische classificatie als systemisch risico |
| Zelfverbetering | Autonome code-generatie | Risicobeoordeling vereist |
| Publieke veiligheid | Kritieke infrastructuur | Uitgebreide evaluatie nodig |
Voor deze modellen vereist de Code een integraal risicobeheerproces, bestaande uit continue evaluatie, mitigatie, monitoring en rapportage aan de AI Office.
Verplichtingen voor systemische modellen
Modellen die geclassificeerd worden als systemisch moeten voldoen aan strikte normen:
Verplichte maatregelen voor systemische risico's
- Externe audits door onafhankelijke partijen
- Toegang voor onafhankelijke evaluatoren
- Red-teaming voor het identificeren van kwetsbaarheden
- Verantwoord incidentbeheer en -rapportage
- Bestuurlijke verantwoordelijkheid op C-level
- Transparante communicatie over risico's
Ook moet het bestuur van het AI-bedrijf expliciet verantwoordelijk zijn voor het beheer van deze risico's. Deze verplichtingen zijn gebaseerd op artikel 55 van de AI Act en zorgen ervoor dat de risico's niet alleen in theorie, maar ook in de praktijk beheersbaar blijven.
Van vrijwillig kader naar normerende standaard
Hoewel de Code of Practice geen wettelijke verplichting is, groeit het uit tot een feitelijke standaard. Dit heeft belangrijke implicaties voor alle betrokkenen in de AI-waardeketen.
Waarom vrijwillige naleving strategisch is
Organisaties die nu al de Code implementeren, profiteren van:
- Toezichtvoordeel: Toezichthouders zullen de Code als referentie gebruiken
- Marktvoordeel: Afnemers zien naleving als kwaliteitswaarmerk
- Risicobeperking: Vroegtijdige compliance voorkomt toekomstige problemen
- Reputatievoordeel: Proactieve houding versterkt vertrouwen bij stakeholders
Toezichthouders zullen zich erop baseren en afnemers zullen het als kwaliteitswaarmerk zien. Voor AI-aanbieders betekent dit dat vrijwillige naleving vandaag een strategische investering is voor morgen.
Implementatie in de praktijk
Voor een succesvolle implementatie van de Code raden we aan:
- Start met een gap-analyse om te bepalen waar uw organisatie staat ten opzichte van de Code-vereisten
- Ontwikkel een implementatieplan met duidelijke mijlpalen en verantwoordelijkheden
- Investeer in tooling voor geautomatiseerde compliance-monitoring
- Train uw teams in de nieuwe vereisten en procedures
- Monitoor ontwikkelingen want de Code zal waarschijnlijk verder evolueren
Praktische tip: Begin met de transparantie-eisen – deze zijn het meest concreet en bieden een goede basis voor verdere compliance-inspanningen.
Conclusie: structuur in een complex landschap
De gedragscode biedt structuur, helderheid en richting in een landschap waar regelgeving, maatschappelijke verwachtingen en technologische innovatie steeds meer in elkaar grijpen. Voor AI-aanbieders is dit het moment om proactief te handelen.
De Code of Practice voor general-purpose AI markeert een belangrijke stap in de volwassenwording van AI-governance. Door transparantie, auteursrechtrespect en veiligheidsmaatregelen te combineren, creëert het een raamwerk dat innovatie mogelijk maakt binnen duidelijke grenzen.
Organisaties die nu investeren in naleving van de Code, positioneren zichzelf niet alleen voor compliance, maar ook voor concurrentievoordeel in een markt die steeds meer waarde hecht aan verantwoorde AI-ontwikkeling.
Wilt u meer weten over de implementatie van de Code of Practice in uw organisatie? Neem contact met ons op voor een persoonlijk adviesgesprek.