De AI-Act, wat betekent dit voor jouw organisatie?
Wat is de AI Act?
Per 1 augustus treedt de AI-Verordening (AI Act) gefaseerd in werking. Maar wat houdt deze verordening eigenlijk in? De AI Act is wetgeving die bestaat uit regels over het gebruik van Artificiële Intelligentie binnen de Europese Unie. Het vormt een kader dat de veilige en betrouwbare ontwikkeling van AI bevordert, met als doel dat AI-systemen die binnen de EU worden gebruikt, veilig, transparant, traceerbaar, niet-discriminerend en milieuvriendelijk zijn.
Als je eerste gevoel paniek is omdat er weer nieuwe wetgeving komt, ben je niet alleen. Hoogstwaarschijnlijk zul je ook met de vraag zitten wat dit voor jouw organisatie betekent? AI is namelijk niet meer weg te denken uit onze dagelijkse praktijk en juist iets wat organisaties verder kan helpen. Het biedt mooie kansen die niet onbenut moeten blijven. Lees daarom hier verder over wat de AI Act zal gaan betekenen voor jouw organisatie.
Voor wie geldt de AI Act?
De AI-Act is van toepassing op leveranciers, aanbieders, importeurs, distributeurs, ontwikkelaars en gebruikers van AI-systemen die zich in de EU bevinden. Ook zal het gelden voor aanbieders en gebruikers buiten de EU, op het moment dat zij AI-systemen in de EU aanbieden.
Daarnaast geldt de AI-Act voor getroffen personen. Dit zijn personen die door een besluit worden getroffen en daardoor rechtsgevolgen ondervinden of nadelige gevolgen ervaren voor hun gezondheid, veiligheid of grondrechten. Een voorbeeld hiervan is een persoon die door een AI-systeem wordt geselecteerd voor een belastingcontrole. Hier zitten natuurlijk rechtsgevolgen aan. Die persoon heeft daarom het recht op informatie. Dit houdt in dat diegene informatie moet krijgen over hoe het AI-systeem tot de beslissing is gekomen, zoals vermeld in artikel 86 van de AI Act.
Wanneer gaat de AI Act gelden?
De wet treedt per 1 augustus 2024 in werking. Vanaf dit moment zullen de verschillende hoofdstukken gefaseerd van toepassing zijn, dat ziet er als volgt uit:
Februari 2025: Hoofdstuk I (Algemene bepalingen) en II (Verboden AI-systemen)
Augustus 2025: Hoofdstuk III, afdeling 4 (Aanmeldende autoriteiten en aangemelde instanties), Hoofdstuk V (AI-modellen voor algemene doeleinden), Hoofdstuk VII (Governance), Hoofdstuk XII (Sancties) en Artikel 78 (Vertrouwelijkheid), met uitzondering van Artikel 101 (Geldboeten voor aanbieders van AI-systemen voor algemene doeleinden)
Augustus 2026: de gehele AI-Act is van toepassing, met uitzondering van Artikel 6, lid 1, en de overeenkomstige verplichtingen
Augustus 2027: Artikel 6 lid 1, en de overeenkomstige verplichtingen van de AI-Act
Wat zijn de risicocategorieën onder de AI Act?
De AI Act volgt een risicogebaseerde aanpak. Dit betekent dat de wetgeving uitgaat van vier verschillende risiconiveau’s, namelijk:
Een onaanvaardbaar risico: hieronder vallen systemen en toepassingen die de vrije keuze van mensen te veel beperken, manipuleren of discrimineren. Deze vormen van AI-systemen zijn verboden. Voorbeelden hiervan zijn ‘social scoring’ en ‘emotieherkenning in de werkomgeving en het onderwijs.
Een hoog risico: dit zijn bijvoorbeeld AI-systemen die worden gebruikt voor onderwijs of beroepsopleiding, waarbij het systeem de toegang tot het onderwijs en de loop van iemands beroepsleven kan bepalen. Een voorbeeld hiervan is het beoordelen van examens.
Een laag risico: omdat AI-systemen in deze categorie geen groot risico vormen, gelden hier minder strenge voorwaarden voor. Voorbeelden van de type AI-systemen die onder deze categorie vallen zijn chatbots en deepfakes.
Een minimaal risico: hierbij gaat het om het laagste risico. Hiervoor gelden vrijwillige voorwaarden, zoals het opstellen van gedragscodes. Hieronder vallen spamfilters en videogames.
De bovengenoemde risicocategorieën bepalen de bijbehorende verplichten voor organisaties. Hoe hoger het risiconiveau, hoe strenger de eisen zijn waar je aan zult moeten voldoen. De AI Act legt nadruk op de één na hoogste categorie, de hoge risico’s. Het zou te uitgebreid zijn om in deze blog de complete lijst van bijbehorende verplichtingen te behandelen, dus ik zal volstaan met een aantal voorbeelden. Verplichtingen die uit deze categorie voortvloeien zijn bijvoorbeeld: Fundamental Rights Impact Assessment, risicomanagementsysteem, hoge kwaliteit van datasets die het systeem voeden, transparantie, informatieverstrekking en registratie van activiteiten.
Voor aanbieders van het risiconiveau laag en minimaal, zijn minder zware verplichtingen van toepassing. Zo gelden voor deze categorie vooral de ‘transparantieverplichtingen’. Dit betekent bijvoorbeeld dat het van belang is dat voor de menselijke gebruiker duidelijk is, dat hij of zij met een AI-systeem communiceert (bijvoorbeeld in het geval van een chatbot).
Wat voor gevolgen heeft niet-naleving?
Bij niet-naleving voorziet de AI Act in de mogelijkheid van geldboetes. Deze boete kan oplopen tot maximaal 35 miljoen, of 7% van de totale wereldwijde jaarlijkse omzet. Voor kleinere overtredingen geldt er een geldboete tot maximaal 7.5 miljoen, of 1% van de totale wereldwijde jaarlijkse omzet. Al met al, hoge bedragen!
Daarnaast zijn ook andere juridische gevolgen mogelijk. Een voorbeeld hiervan is dat bedrijven die AI-systemen ontwikkelen of implementeren, contractueel verantwoordelijk kunnen worden gehouden voor eventuele tekortkomingen in de werking van deze systemen. Als een AI-systeem bijvoorbeeld niet aan de afgesproken specificaties voldoet of leidt tot onvoorziene schade, kan de leverancier aansprakelijk worden gesteld voor de gevolgen. Om dit risico te mitigeren, is het essentieel dat organisaties goede contracten opstellen, waarin de verantwoordelijkheden en verplichtingen van alle partijen duidelijk worden vastgelegd.
Hetzelfde geldt voor schadeclaims van betrokkenen. Zoals eerder genoemd, geldt de AI-Act ook voor getroffen personen. Als deze personen nadelige gevolgen hebben ondervonden, bijvoorbeeld door niet-naleving van de regelgeving, dan zouden zij juridische stappen kunnen ondernemen om compensatie te eisen. Dit kan resulteren in aanzienlijke financiële aansprakelijkheid voor de verantwoordelijke entiteiten.
Welke stappen moet ik zetten?
Begin eerst met het inventariseren van AI-systemen binnen jouw organisatie.
Op basis van deze inventarisatie, dient eerst het gesprek aangegaan te worden met het bestuur. Wat is de visie van het bestuur op het gebruik van AI-systemen en hoe dient de organisatie ermee om te gaan? Het is belangrijk om dit eerst te bespreken, voordat er verder gehandeld kan worden.
Vervolgens dient er vastgesteld te worden hoeveel medewerkers nodig zijn voor het aanpakken van dit onderwerp. Zo kan er bijvoorbeeld een werkgroep worden opgericht die zich zal bezighouden met de implementatie van de AI Act. In plaats van een werkgroep kan hiervoor ook de hulp van een aantal juristen worden ingeschakeld. Dit is uiteraard afhankelijk de mate waarin er gebruik wordt gemaakt van AI-systemen binnen de organisatie. Het is echter noodzakelijk om taken en rollen binnen de organisatie duidelijk te verdelen, voordat er concrete stappen worden ondernomen. Het is een nieuw onderwerp en een goede implementatie zal tijd kosten. Door vooraf taken en rollen vast te stellen, wordt gewaarborgd dat er een duidelijke verantwoordelijkheid voor risicobeheer is.
Stel vervolgens een plan op met hoe AI opgepakt kan worden binnen de organisatie. In het plan moet worden opgenomen dat de AI-systemen beoordeeld moeten worden op hun risiconiveau. Dit zal je in staat stellen de nodige wettelijke verplichtingen vast te stellen.
Vergeet ook bewustwording niet! Hoewel de meeste verplichtingen voor AI van toepassing zullen zijn op systemen die als hoog risico worden beschouwd, betekent dit niet dat er geen andere risico's verbonden zijn aan het gebruik van AI. Er worden steeds meer tools aangeboden die erg handig zijn in gebruik. Het gebruik van deze tools kan echter gepaard gaan met risico’s op het gebied van privacy en informatiebeveiliging. Het is daarom belangrijk om medewerkers te trainen en bewust te maken van deze risico's, zodat zij op een verantwoorde manier met de technologie kunnen omgaan en de organisatie voldoet aan de geldende wet- en regelgeving.
Heb je hulp nodig met de AI-Act binnen jouw organisatie of wil je even vrijblijvend sparren? Mail dan naar info@lujinpl.nl of neem dan contact op via het contactformulier.