General-Purpose AI Code of Practice: Europa's nieuwe regels voor AI-modellen

De Code bundelt de belangrijkste verplichtingen voor aanbieders in drie thematische hoofdstukken. De kerninformatie staat hieronder.

Hoofdstuk: Transparantie

Voor wie? Alle GPAI-providers

Essentie van de verplichtingen: Gestandaardiseerd Model Documentation Form met o.a. architectuur, compute- en energieverbruik, data-provenance en distributiekanalen [1].

Hoofdstuk: Auteursrecht

Voor wie? Alle GPAI-providers

Essentie van de verplichtingen: Intern copywrightbeleid, crawlers die robots.txt en andere rechtenreserveringen naleven, filters tegen inbreuk in modeloutput, klachtenafhandeling voor rechthebbenden [1].

Hoofdstuk: Veiligheid en beveiliging

Voor wie? Alleen high-impact modellen

Essentie van de verplichtingen: Levenscyclusrisicoanalyse, red teaming, beveiliging van modelgewichten, meldplicht voor ernstige incidenten 2-15 dagen, halfjaarlijkse rapporten aan de AI-office [1].

Wat betekent dit in de praktijk?

De Transparantie-module vereist dat iedere aanbieder bij lancering een volledig ingevuld Model Documentation Form klaar heeft. Dat formulier legt minutieus vast hoe een model is gebouwd, getraind en gedistribueerd, welke data zijn gebruikt en hoeveel energie daarbij is verbruikt. Downstream-ontwikkelaars krijgen zo de informatie die zij nodig hebben voor hun eigen AI-Act-verplichtingen, terwijl toezichthouders op verzoek inzage krijgen in de volledige documentatie¹.

Het Auteursrechthoofdstuk legt vast dat web-crawlers niet alleen technologische blokkades (paywalls, DRM) moeten respecteren, maar ook machine-leesbare rechten­reserveringen. Daarnaast verplicht het providers om technische en contractuele waarborgen in te bouwen die voorkomen dat hun modellen plagiaat of ander inbreukmakend materiaal produceren¹.

Voor de krachtigste modellen – degene met potentiële ‘systemic risk’ – komt daar een extra laag bovenop. Voor deze modellen moeten aanbieders continu risico’s identificeren, testen en mitigeren, van de eerste trainings­run tot ver na lancering. Ernstige incidenten, zoals grootschalige datalekken of schade aan de volksgezondheid, moeten in hoog tempo worden gemeld: bij een cyberinbraak bijvoorbeeld binnen vijf dagen¹.

Relevantie voor toezichthouders

• AI Office (Brussel) – Dankzij de halfjaarlijkse Safety & Security Model Reports ontvangt de AI Office een consistente stroom gegevens over systeem­risico’s, red-teaming­resultaten en incidentmeldingen. Die standaardisatie maakt het eenvoudiger om marktrisico’s te vergelijken en gerichte handhavingsacties te plannen.

• Autoriteit Persoonsgegevens (NL) – Het transparantieformulier onthult in detail welke databronnen zijn gebruikt, hoe die zijn gefilterd en welke bias-detectie is toegepast. Daarmee kan de AP toetsen of de verwerking van (bijzondere) persoonsgegevens in trainings- en validatiesets rechtmatig is.

• Sectorale toezichthouders (bv. ACM, DNB) – Zij krijgen zicht op de onderliggende modellen die in kritieke diensten worden geïntegreerd. Het incident­rapportage-regime en de verplichte risico-analyses verschaffen vroege signalen over mogelijke financiële of consumenten­risico’s.

Door deze gezamenlijke informatielijnen ontstaat een ‘regulatory backbone’: aanbieders leveren één set gestandaardiseerde stukken aan, waarop verschillende autoriteiten hun eigen toezichtstaken kunnen enten.

Een nieuwe standaard voor vertrouwen

Met de GPAI-CoP krijgt Europa voor het eerst een uniform, publiek raamwerk dat transparantie, auteursrechtbescherming en veiligheids­normen in één pakket samenbrengt. Voor aanbieders is het niet langer de vraag óf zij documentatie en risico-processen inrichten, maar hoe snel zij het gestelde niveau kunnen halen. Voor toezichthouders betekent de Code een heldere, geharmoniseerde basis om toezicht uit te oefenen op een technologische sector die zich razendsnel ontwikkelt.

Wie vanaf nu een generiek AI-model op de Europese markt brengt, zal merken dat deze vrijwillige code de facto uitgroeit tot de minimumstandaard voor vertrouwen – precies op tijd om klaar te zijn voor de juridische hard-launch van de AI Act in augustus 2025.

Bron: Zahed Ashkara, Embed AI.

Bronnen

[1]Europese Commissie(2025) Commission welcomes finalisation of Code of Practice on General-Purpose AI. .