Alles wat je moet weten over de Europese AI Act: Inwerkingtreding, Risico's en Verplichtingen

Inwerkingtreding van de AI Act

Na veel onderhandelingen is op 9 december 2023 een voorlopig akkoord bereikt over de AI Act. Formele goedkeuring door het Europees Parlement en de Raad wordt verwacht voor het einde van 2023, waarna de wet naar verwachting in de eerste weken van 2024 van kracht zal gaan. De implementatie zal geleidelijk zijn, met deadlines afhankelijk van het risiconiveau van de AI-systemen.

‍

Zodra de definitieve tekst is goedgekeurd, wordt deze in het Official Journal gepubliceerd. De verplichtingen voor bedrijven en instellingen treden twee jaar na publicatie in werking. Echter, AI-systemen met onacceptabele risico's moeten al binnen zes maanden van de markt worden gehaald. Binnen een jaar na publicatie moeten de toezichthouders per land bekend zijn, en moet het handhavings- en boetebeleid worden gepubliceerd.

‍

Wat houdt de AI Act in?

De AI Act beoogt het gebruik van kunstmatige intelligentie (AI), algoritmes en machine learning in de Europese Unie te reguleren. De wet stelt regels voor autonome computersystemen en algoritmes die beslissingen nemen, content genereren of mensen assisteren. Oftewel alle inzet van AI valt onder AI Act. Het belangrijkste doel van de AI Act is ervoor te zorgen dat mensen en bedrijven in de EU kunnen vertrouwen op veilige, transparante, traceerbare, niet-discriminerende en milieuvriendelijke AI-systemen die onder menselijk toezicht staan.

‍

Waarschijnlijk moeten alle partijen die met AI werken voldoen aan deze regelgeving vanaf 2026. De AI Act voorziet in aanzienlijke boetes voor overtreders, variërend van 7,5 miljoen tot 35 miljoen euro, afhankelijk van de ernst van de overtreding.

‍

Wat valt onder de regulering

De AI Act reguleert alle inzet van AI, ongeacht de sector. Het volgt een risicogebaseerde aanpak en legt verplichtingen op aan zowel aanbieders als gebruikers, afhankelijk van het risiconiveau van het AI-systeem. De wet is van toepassing op diverse sectoren, waaronder gezondheidszorg, overheid, financiën, onderwijs en entertainment. Alleen voor opsporings- en veiligheidsdiensten gelden aangepaste regels.

‍

Voor wie geldt de AI Act?

De nieuwe regels gelden voor iedereen die betrokken is bij het ontwikkelen, op de markt brengen of gebruiken van AI. Producenten, integrators, importeurs en gebruikers moeten kunnen aantonen dat hun AI-systemen aan de regels voldoen. Deze wet sluit aan bij bestaande Europese wet- en regelgeving in verschillende sectoren en vult deze aan. Belangrijk is dat de AVG naast de AI Act van kracht blijft.

‍

Risiconiveaus en verboden AI-systemen

De AI Act categoriseert AI-systemen in drie risiconiveaus:

• Verboden AI-systemen met onacceptable risico's:
  AI-activiteiten die in strijd zijn met Europese normen en waarden, zoals het voorspellen van crimineel gedrag en biometrische surveillance in openbare ruimtes, zijn verboden op de Europese markt.

‍

• AI-systemen met hoge risico's:
  AI-systemen met aanzienlijke risico's voor gezondheid, veiligheid, grondrechten of het milieu zijn toegestaan onder strikte voorwaarden. Duidelijke herkomst van trainingsdata, menselijk toezicht en gedegen technische documentatie zijn vereist. Voorbeelden zijn het beoordelen van sollicitanten, medische hulpmiddelen en het afhandelen van verzekeringsclaims.

‍

• AI-systemen met lage risico's:
  AI-systemen die niet onder de voorgaande categorieën vallen, mogen zonder grote belemmeringen op de Europese markt worden geïntroduceerd. Deze moeten echter transparant zijn en geen autonome beslissingen nemen.

‍

Naast deze 3 risicocategorieën zijn er ook nog basismodellen die niet onder de risicocategorieën vallen.

‍

Verplichtingen basismodellen AI

Basismodellen, zoals Bing Chat en ChatGPT, komen na de verboden systemen. Ontwikkelaars moeten binnen 12 maanden, begin 2025, voldoen aan de verplichtingen van de AI Act. Grote basismodellen, zoals ChatGPT en Gemini, hebben een nog hogere prioriteit vanwege hun potentieel voor misbruik en worden onderworpen aan uitgebreide verplichtingen. Voor kleinere basismodellen gelden alleen transparantieverplichtingen.

‍

Voorbereiding voor organisaties die werken met AI of algoritmes

1. Inventariseer en identificeer: Begin met het in kaart brengen van de gebruikte AI en algoritmes. Noteer de leveranciers en verzamel alle benodigde informatie van hen. Vergeet niet om ook de zogenaamde shadow-IT mee te nemen, dit zijn de AI-diensten die medewerkers mogelijk op eigen initiatief hebben aangeschaft.
   ‍
2. ‍Onderzoek en beoordeel jouw rol: Onderzoek welke rol jij binnen het AI-gebruik hebt en welke verantwoordelijkheden daarbij horen. Controleer of de bestaande contracten aansluiten op deze verantwoordelijkheden. Aspecten zoals aansprakelijkheid, opzegtermijnen en de mogelijkheid om documentatie op te vragen over werking en datasets moeten worden overwogen.
   ‍‍
3. Evalueer de AI-uitvoer: Zorg voor gestandaardiseerde protocollen om de uitvoer van het AI-systeem te evalueren. Implementeer beleid voor periodieke controles om de nauwkeurigheid van de aanbevelingen te waarborgen.
   ‍‍
4. Identificeer menselijke bemoeienis: Onderzoek welke mate van menselijke betrokkenheid er is bij de AI-systemen binnen jouw organisatie.
   ‍‍
5. Categoriseer het risico: Bepaal de risicocategorie van het gebruikte AI-systeem. Raadpleeg Annex lll voor AI-systemen met een hoog risico en let op mogelijke wijzigingen in deze lijst.

‍

Met de aanstaande implementatie van de AI Act staat een nieuwe fase in het tijdperk van kunstmatige intelligentie voor de deur. Wij begrijpen dat deze regelgeving vragen kan oproepen over hoe deze specifiek van invloed zal zijn op uw organisatie en AI-toepassingen. Aangezien de wetgeving zich nog in het goedkeuringsproces bevindt, is er ruimte voor verdere verduidelijking en aanpassingen. Neem gerust contact met ons op voor vragen of onduidelijkheden en houdt onze website in de gaten voor updates.