Nieuwe AI-verordening van kracht: ‘Bereid je tijdig voor’
Op 1 augustus is de AI Act officieel van kracht gegaan. De verordening bevat regels voor alle organisaties die AI ontwikkelen of gebruiken. Waar de eerste regels pas begin volgend jaar zullen gelden, moeten organisaties zich nú al voorbereiden, zo benadrukt SeederDeBoer in een whitepaper.
Kunstmatige intelligentie (AI) ontwikkelt zich razendsnel. Dat gaat gepaard met talloze nieuwe mogelijkheden en kansen, maar óók met serieuze risico’s. Denk bijvoorbeeld aan discriminerende algoritmen, een gebrek aan transparantie en oneigenlijke (video)manipulatie.
Met de AI Act voert de Europese Commissie een juridisch kader in dat dergelijke risico’s moet beperken. “De AI Act heeft als doel mensgerichte en betrouwbare AI te bevorderen door een hoog niveau van bescherming te bieden voor gezondheid, veiligheid en grondrechten, terwijl innovatie ook wordt gestimuleerd”, licht SeederDeBoer toe.
Piramide
De regelgeving is opgebouwd vanuit een risicogebaseerde benadering. Daarbij worden de risico’s gerangschikt in een piramide: de onaanvaardbare risico’s vormen de punt, daaronder zitten de hoge risico’s, gevolgd door de beperkte risico’s. De basis van de piramide bestaat uit de minimale risico’s, deze vallen buiten de AI Act.
AI-toepassingen met onaanvaardbare risico’s worden verboden. Denk onder meer aan systemen voor sociale kredietscores, systemen die de kwetsbaarheden van personen uitbuiten en realtime biometrische identificatie in publiek toegankelijke (openbare) ruimtes.
AI-systemen hebben volgens de AI Act een hoog risico wanneer ze een significant gevaar kunnen vormen voor onze gezondheid, veiligheid, grondrechten of het milieu. Hierbij gaat het niet alleen om de technologie zelf, maar ook hun toepassingsgebied. Denk bijvoorbeeld aan systemen die worden ingezet voor kritieke infrastructuren, onderwijs, rechtshandhaving of personeelsbeheer.
Stapsgewijs
Organisaties moeten de komende jaren stapsgewijs aan steeds meer regels voldoen, deels gebaseerd op het risiconiveau. De eerste deadline ligt op 2 februari 2025. Dan moeten alle AI-systemen die als ‘onaanvaardbaar risico’ zijn geclassificeerd volledig zijn uitgefaseerd.
Vanaf 2 augustus 2025 moeten organisaties die werken met algemene AI-modellen (GPAI), zoals ChatGPT, voldoen aan strengere eisen op het gebied van transparantie, dataveiligheid en risicobeheer.
Op 2 augustus 2026 worden strenge eisen van kracht voor AI-systemen met een hoog risico. Bedrijven die met deze systemen werken, moeten onder andere zorgen voor technische documentatie, menselijke controle en continue monitoring van de werking van hun systemen.
Vanaf 2 augustus 2027, tot slot, gelden aanvullende verplichtingen voor specifieke hoogrisicosystemen die onder sectorale EU-wetgeving vallen, zoals medische hulpmiddelen, voertuigen en andere kritieke infrastructuren.
Compliance komt niet vanzelf
Deze gefaseerde aanpak moet organisaties in staat stellen om stap voor stap aan de nieuwe eisen te voldoen. SeederDeBoer benadrukt dat ze er goed aan doen zo snel mogelijk in actie te komen.
“Gezien de omvang van het aantal nieuwe verplichtingen, is het raadzaam tijdig te anticiperen op de AI Act”, schrijft het bureau in zijn whitepaper. “Het kan immers de nodige tijd kosten om de systemen aan te passen en bepaalde processen te doorlopen.”
Doordat er steeds meer regels gaan gelden, kunnen sommige alledaagse werkzaamheden problemen opleveren. Veel bedrijven weten volgens SeederDeBoer nog niet welke systemen onder de AI Act vallen, wat een gedetailleerde audit van de gebruikte technologieën noodzakelijk maakt.
“De AI Act is ook van toepassing wanneer een deel van een systeem gebruikmaakt van AI”, aldus het bureau.
Risicoassessment
Zodra de gebruikte systemen zijn geïdentificeerd, moeten deze worden geclassificeerd op basis van het risico dat ze vormen. De AI Act hanteert duidelijke richtlijnen voor de verschillende risiconiveaus en wat deze betekenen voor de verplichtingen van een organisatie.
Het uitvoeren van een risicoassessment voor elk AI-systeem is hierbij een belangrijke stap. Systemen die als hoog risico worden geclassificeerd, zoals die gebruikt voor personeelsselectie of medische diagnoses, zullen aan strenge eisen moeten voldoen.
Dit betekent niet alleen dat de systemen transparant en veilig moeten zijn, maar ook dat er menselijke controle moet zijn om de output van de systemen te waarborgen. Bovendien moeten organisaties kunnen aantonen dat de systemen voldoen aan de dataveiligheidsnormen, en dat er procedures zijn voor het melden van incidenten en het opslaan van gegevens.
Heldere verantwoordelijkheid
Een ander belangrijk aspect is het opzetten van een governancestructuur binnen de organisatie. De verantwoordelijkheid voor het beheer van AI-systemen mag niet vrijblijvend zijn. Er moet duidelijkheid zijn over wie verantwoordelijk is voor het toezicht op de AI-systemen, zowel op het gebied van technische werking als naleving van de wetgeving.
“De AI Act bevat verplichtingen voor de aanbieders, importeurs, distributeurs en exploitanten van AI-systemen en voor deze categorieën gaan verschillende verplichtingen gelden. Zorg voor duidelijkheid over de rol van jouw organisatie en sluit de juiste contracten af met eventuele derde partijen”, aldus SeederDeBoer.
Mogelijk moeten er nieuwe functies worden gecreëerd, zoals een AI governance officer, die ervoor zorgt dat AI-systemen veilig en volgens de regels functioneren.
Tot slot zijn er naast de AI Act nog andere juridische kaders waar bedrijven rekening mee moeten houden, zoals de Algemene Verordening Gegevensbescherming (AVG). AI-systemen die persoonsgegevens verwerken, moeten voldoen aan strenge privacyregels.
Dit betekent dat bedrijven ook moeten kijken naar de impact van hun AI-systemen op de privacy van gebruikers en moeten zorgen voor de juiste beveiligingsmaatregelen. Het niet naleven van deze regels kan immers leiden tot hoge boetes, variërend van miljoenen euro’s tot een percentage van de jaaromzet.