Providerverplichtingen checklist voor founders en compliance leads

Providerverplichtingen moeten worden gecontroleerd voor verkoop, lancering, materiele wijziging of enterprise review. De checklist bepaalt of het bedrijf provider is, welk AI-asset wordt beoordeeld, welk risicopad geldt, welke plichten volgen en wanneer de beslissing opnieuw open moet.

1. Bevestig het AI-asset

Beoordeel niet vaag "AI in het product". Identificeer systeem, modelintegratie, scoringmodule, aanbeveling, API, intern hulpmiddel of GPAI-model. Noteer productgebied, owner, fase, gebruikers, betrokken personen, data, modelbron, vendorafhankelijkheid en klantreis.

2. Bepaal de AI Act-rol

Documenteer of het bedrijf provider, deployer, importeur, distributeur, fabrikant, GPAI-modelprovider of meerdere rollen is. Leg uit wie het doel bepaalt, de functie verkoopt, UX controleert, drempels wijzigt en klantinstructies levert.

3. Controleer waardeketen

Artikel 25 telt wanneer een team een derde systeem white-labelt, fine-tunet, herconfigureert of als eigen product verkoopt. Vraag of klanten de vendor zien, of je merk wordt gebruikt, of doel of gedrag verandert en of vendordocumentatie genoeg is.

4. Classificeer risico

Koppel de checklist aan AI-classificatie. Noteer of het asset verboden, hoog-risico, transparantie, minimaal risico, GPAI of buiten scope is. Bij mogelijk hoog-risico: use case, doel, betrokken personen, menselijk toezicht en outputgevolg.

5. Map hoog-risico plichten

Voor hoog-risicosystemen vraagt artikel 16 owners voor eisen, kwaliteitssysteem, technische documentatie, logs onder providercontrole, conformiteit, EU-verklaring, CE-markering, registratie, corrigerende actie, samenwerking met autoriteiten en toegankelijkheid.

6. Houd GPAI apart

Als het bedrijf een GPAI-model kan leveren, beoordeel artikel 53 apart: technische documentatie, downstreaminformatie, copyrightbeleid, publieke samenvatting van trainingscontent, samenwerking met autoriteiten en standaarden of codes. Een derde model gebruiken is niet genoeg.

7. Bouw bewijsdossier

Bewaar rol, classificatie, vendordocumenten, technische documentatie, testen, menselijk toezicht, logging, security, klantinstructies, releaseticket, restrisico, monitoring, incidentroute en herbeoordeling. Orden rond beslissingen, niet alleen bestanden.

8. Bereid klantdocumentatie voor

Klanten kunnen doel, grenzen, toezicht, monitoring, ondersteunde toepassingen, modelafhankelijkheden, data, wijzigingsmeldingen en support vragen. Sales, trust center, help, contracten en vragenlijsten moeten dezelfde goedgekeurde bron gebruiken.

9. Definieer monitoring en correctie

Wijs een owner toe voor incidenten, klachten, vendorupdates, modeldrift, supportescalaties en correcties. Definieer wanneer te pauzeren, klanten te informeren, instructies te wijzigen of legal en compliance te escaleren.

10. Stel herbeoordelingstriggers in

Heropen bij nieuw doel, nieuw segment, meer automatisering, minder menselijke review, nieuwe data, vendormodelwijziging, hoog-risicocontext, incident of nieuwe officiele guidance.

FAQ

Wat is het praktische doel?

Rol, plichten, bewijs, klantinstructies, monitoring en herbeoordeling tonen voor het aangeboden of gewijzigde AI-systeem.

Wanneer geldt dit voor SaaS?

Wanneer een team een AI-systeem ontwikkelt of laat ontwikkelen, onder eigen naam verkoopt, een hoog-risicosysteem wijzigt, het doel wijzigt of een GPAI-model levert.

Wat documenteer je eerst?

Een record per AI-workflow: rol, classificatie, plichten, bewijseigenaar, technische documenten, klantdocumentatie, monitoring, launchblokkades en herbeoordeling.