Op 10 juli 2025 publiceerde de Europese Commissie de definitieve Code of Practice voor General-Purpose AI (GPAI). Onze Chief Knowledge Officer, Arnoud Engelfriet, dook eerder al diep in de inhoud van deze gedragscode in zijn LinkedIn post: wat staat er precies in de Code, hoe zit het juridisch, en hoe past dit binnen de AI Act?
In deze nieuwsupdate stel ik een andere vraag: Wat moet je hier als organisatie nou mee doen? Want een vrijwillige code, opgesteld door dertien experts, gevoed door duizend stakeholders, dat klinkt indrukwekkend, maar wat is de praktische waarde als jij AI ontwikkelt of aanbiedt?
Het antwoord is: nogal wat.
Vanaf 2 augustus 2025 gelden de eerste verplichtingen uit hoofdstuk V van de AI Act voor nieuwe GPAI-modellen. En deze Code is niet zomaar een praatstuk, maar een werkbaar instrument voor aanbieders die nú grip willen krijgen op die verplichtingen. Geen abstracte wetstaal, maar concrete handvatten. Hoe ziet transparante documentatie eruit? Hoe respecteer je het auteursrecht bij trainingsdata? Wat moet je regelen als je model zo krachtig is dat het risico’s voor de samenleving oplevert?
De Code beantwoordt precies die vragen. En niet met vage richtlijnen, maar met tools zoals het Model Documentation Form, een soort one-stop-shop voor alle technische documentatie. Ook biedt de Code een aanpak voor het opzetten van een werkbaar copyright-beleid. Voor aanbieders van zeer grote modellen is er een complete blauwdruk voor risicobeheersing: van incidentmeldingen tot cybersecuritymaatregelen.
En het mooie is: wie de Code ondertekent, kiest voor een versnelde route naar compliance. Minder toezicht en papierwerk, meer rechtszekerheid. De Europese Commissie heeft expliciet gezegd: volg je deze Code, dan mag je rekenen op een lichtere administratieve aanpak.
Organisaties die zelf AI ontwikkelen en in de handel brengen of in gebruik stellen staan voor keuzes. Ben je aanbieder van een GPAI-model, of gebruik je alleen een extern model binnen een breder AI-systeem? Dat verschil bepaalt of hoofdstuk V van de AI Act überhaupt van toepassing is.
Is het antwoord ‘ja’, dan moet je nu aan de bak. Onderteken je de Code of niet? Ga je je modeldocumentatie onderbrengen in het voorgestelde format? Heb je al nagedacht over auteursrechtelijke risico’s ten aanzien van je trainingsdata? En als je met krachtige GPAI-modellen werkt: zit je boven de drempel voor systemisch risico?
De AI Act heeft met deze Code of Practice handen en voeten gekregen ten aanzien van GPAI. Het is geen toekomstmuziek meer. De praktische tools zijn voorhanden, het is tijd om te gaan spelen.
De Chief Global Affairs Officer van Meta heeft al laten weten dat Meta de Code niet ondertekend. Daarmee gooit Meta als een echt probleemkind betaamt wederom de spreekwoordelijke kont tegen de knip. Jammer, al was dit eigenlijk wel te verwachten. Volg je ook het voorbeeld van Meta, of ga je wél serieus aan de slag met AI-governance en -compliance?
Wil je precies weten wanneer welke regels van kracht worden? Download onze AI-roadmap.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.