Op 14 juni 2023 heeft het Europees Parlement – met een grote meerderheid – zijn officiële onderhandelingspositie vastgesteld over de inzet van kunstmatige intelligentie (‘Artificial Intelligence’). Hoewel de AI Act daarmee nog geen wet is geworden, markeert het wel een belangrijk moment in het wetgevingsproces en opent het de deur voor onderhandelingen over de definitieve tekst. Deze ontwikkeling is van niet te onderschatten belang, niet alleen voor bedrijven die binnen de grenzen van de EU opereren, maar ook voor buitenlandse bedrijven vanwege de extraterritoriale reikwijdte van de AI Act.
In deze blog gaan we dieper in op de potentiële impact van de AI Act op jouw bedrijf en onderzoeken we de potentiële gevolgen en vereisten die voortvloeien uit deze regelgeving. Dit doen we aan de hand van vijf veelgestelde vragen (FAQ).
Vraag 1: Wat is de AI Act?
De AI Act is, kort gezegd, een verzameling regels die ervoor moet zorgen dat AI-technologie op een verantwoorde en ethische manier wordt gebruikt binnen de EU. Hoewel het een vrij ingewikkelde verordening is die heel wat bureaucratische rompslomp voor bedrijven met zich meebrengt, zou het onterecht zijn om de Act klakkeloos te bestempelen als een ‘AI-dooddoener’. Het doel van de AI Act is namelijk zowel innovatie te stimuleren als de ethische en verantwoorde inzet van AI te waarborgen. Dit streven naar een balans tussen innovatie en verantwoordelijkheid, komt duidelijk naar voren in de aanpak van de AI Act. In plaats van een algeheel verbod op het gebruik van AI-systemen, hanteert de wet een risicogebaseerde, trapsgewijze aanpak, waarbij AI-systemen in een aantal risicoklassen worden ingedeeld. Dit betekent dat niet alle AI-toepassingen op dezelfde manier worden behandeld. In plaats daarvan worden regels toegepast op basis van het risico dat een bepaalde toepassing met zich meebrengt. Hierdoor wordt voorkomen dat alle AI-toepassingen op dezelfde manier worden behandeld, ongeacht hun potentieel voor schade of innovatie. Met andere woorden: hoe meer risico een AI-toepassing met zich meebrengt, hoe strenger de regels zijn.
Vraag 2: Is mijn systeem een ‘AI-systeem’ volgens de AI Act?
Een AI-systeem (“artificiële-intelligentiesysteem”) wordt in de AI Act gedefinieerd als een “machinaal systeem dat is ontworpen om met verschillende niveaus van autonomie te werken en dat voor expliciete of impliciete doelstellingen output kan genereren, zoals voorspellingen, aanbevelingen of beslissingen die van invloed zijn op de fysieke of virtuele omgeving.”
Er is pas sprake van ‘autonomie’ als het systeem ten minste een zekere mate van onafhankelijkheid van menselijke controle bezit en zonder menselijke tussenkomst kan functioneren.
Een belangrijk punt is bovendien dat de AI Act erkent dat AI-systemen op verschillende manieren kunnen worden gebruikt. Een AI-systeem kan:
- Als zelfstandig softwaresysteem worden gebruikt;
- In een fysiek product worden geïntegreerd (ingebed),
- Worden gebruikt om ten dienste te staan van de functionaliteit van een fysiek product zonder daarin te zijn geïntegreerd (niet-ingebed)
- Of worden gebruikt als AI-component van een groter systeem.
Vraag 3: In welke risicoklasse val ik?
Zoals eerder vermeld, hanteert de AI Act een risicogebaseerde benadering: hoe groter het risico dat een AI-systeem met zich meebrengt, hoe strenger de regulering.
Op dit moment maakt de AI Act een onderscheid tussen drie verschillende risicoklassen:
- Verboden AI-systemen (artikel 5).
- AI-systemen met een hoog risico (artikel 6).
- AI-systemen met een laag of beperkt risico (alle AI-systemen die niet onder artikel 5 of 6 vallen).
Verboden systemen (onaanvaardbaar risico):
De Europese wetgever heeft ervoor gekozen om AI-systemen met een onaanvaardbaar risico, die een duidelijke bedreiging vormen voor de rechten en veiligheid van de mens, te verbieden. Verboden AI-systemen mogen niet worden gebruikt of beschikbaar worden gesteld in de EU. Deze systemen zijn dus vanaf de inwerkingtreding van de AI Act niet (meer) toegestaan. Het gaat bijvoorbeeld om systemen die het gedrag van een persoon wezenlijk kunnen verstoren, wat kan leiden tot lichamelijke of psychische schade. Denk onder andere aan speelgoed met een geïntegreerde stemassistent, die een minderjarige aanzet tot steeds gevaarlijker gedrag. Maar ook systemen die worden gebruikt om sociale scoring van individuen voor algemene doeleinden uit te voeren, zijn verboden. Grootschalige biometrische systemen voor identificatie op afstand in real time (zoals gezichtsherkenning) zijn in beginsel ook niet toegestaan.
Systemen met een hoog risico:
AI-systemen die in deze risicoklasse vallen, vormen aanzienlijke risico’s voor de veiligheid en grondrechten van de mens, maar worden niet ‘onaanvaardbaar’ beschouwd. Desalniettemin zijn ze onderworpen aan een aantal strikte verplichtingen. Daarom is het van groot belang om te weten of je in deze categorie valt. De huidige tekst van de AI Act maakt een onderscheid tussen twee categorieën van AI-systemen met een hoog risico:
- Het AI-systeem is een product dat valt onder specifieke EU-wetgeving op het gebied van gezondheid en veiligheid (denk aan: regels voor speelgoed, medische hulpmiddelen, auto’s en luchtvaart) zoals genoemd in Bijlage II, of het AI-systeem is een veiligheidscomponent van een product dat onder een van de voorschriften in Bijlage II valt.
- Het beoogde gebruik van het AI-systeem valt binnen een van de specifieke toepassingsgebieden van Bijlage III en vormt een significant risico op schade voor mens of milieu. Voorbeelden zijn AI-systemen die worden gebruikt in kritieke infrastructuur, onderwijs of rechtshandhaving.
Goed om te weten: indien je van mening bent dat jouw AI-systeem geen significante risico’s inhoudt, dien je dit te melden bij de nationale toezichthoudende autoriteit. Als de toezichthoudende autoriteit het met je eens is, betekent dit dat jouw systeem niet (langer) als ‘hoog risico’ wordt gekwalificeerd.
Systemen met een beperkt of laag risico:
Valt je AI-systeem niet binnen bovenstaande risicoklassen (onaanvaardbaar vs. hoog risico)? Dan wordt het waarschijnlijk beschouwd als een AI-systeem met een beperkt of laag risico. Voor AI-systemen met een beperkt risico, zoals chatbots of deepfakes, geldt de verplichting dat het voor gebruikers duidelijk moet zijn dat ze te maken hebben met een AI-systeem. Dit betekent dat transparantie essentieel is, zodat mensen zich bewust zijn van de aanwezigheid van AI-technologie in hun interacties.
AI-systemen met een laag of minimaal risico kunnen in de EU worden gebruikt en ontwikkeld zonder aanvullende wettelijke verplichtingen. Europa moedigt echter wel de ontwikkeling en naleving van vrijwillige gedragscodes voor dit type AI-systeem aan.
Vraag 4: Op wie is de AI Act van toepassing?
De AI Act is gericht op een breed scala aan belanghebbenden in de AI-ecosfeer, waaronder aanbieders, gebruikers, importeurs en distributeurs van AI-systemen. Dit betekent dat de nieuwe regelgeving van toepassing is op vrijwel iedereen die betrokken is bij de ontwikkeling, distributie, import, productie, of gebruik van AI-technologieën. Elke partij zal in beginsel zelf moeten kunnen aantonen dat zij aan haar verplichtingen onder de AI Act voldoet.
*Op aanbieders rusten momenteel de zwaarste verplichtingen. De AI Act definieert een aanbieder als “een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of ander orgaan die/dat een AI-systeem ontwikkelt of beschikt over een AI-systeem dat is ontwikkeld met het oog op het al dan niet tegen betaling in de handel brengen of in gebruik stellen ervan onder de eigen naam of merknaam.”
De AI Act heeft overigens een extraterritoriale reikwijdte. Dit betekent dat de regels in de meeste gevallen ook van toepassing zijn op aanbieders en gebruikers van AI-systemen buiten de EU. Bijvoorbeeld, een startup uit de Verenigde Staten die een AI-systeem heeft ontwikkeld en dit op de Europa markt wil verkopen, moet voldoen aan de regels die zijn vastgesteld in de AI Act. Maar ook als een AI-systeem buiten de EU wordt gebruikt, maar de resultaten ervan binnen de EU worden benut, gelden de regels van de AI Act.
Vraag 5: Wat betekent de AI Act voor bedrijven?
Veruit de meeste verplichtingen uit de AI Act hebben betrekking op AI-systemen met een hoog risico. De concrete verplichtingen waarmee je rekening moet houden, variëren afhankelijk van jouw specifieke rol. Bijvoorbeeld, de verplichtingen voor een gebruiker van een AI-systeem verschillen van die voor een aanbieder van AI-systemen. Op aanbieders van AI-systemen rusten vooralsnog de zwaarste verplichtingen. Zij moeten onder andere het volgende regelen (geen limitatieve opsomming):
- Uitvoeren van een conformiteitsbeoordelingsprocedure: Als aanbieder moet je ervoor zorgen dat jouw AI-systeem een conformiteitsbeoordelingsprocedure ondergaat voordat het systeem in handel wordt gebracht of in gebruik wordt gesteld.
- Opstellen van een conformiteitsverklaring: Als het systeem de conformiteitsbeoordelingsprocedure doorstaat, moet je als aanbieder een EU-conformiteitsverklaring opstellen (in fysieke of elektronische vorm).
- Aanbrengen van een CE-Markering: Je dient als aanbieder ook een CE-markering aan te brengen op het AI-systeem om aan te geven dat het systeem in overeenstemming is met de AI Act.
- Registratie in EU-databank: Als aanbieder moet je het AI-systeem registreren in de EU-databank.
- Opstellen van technische documentatie: Als aanbieder van een AI-systeem met een hoog risico, moet je een uitgebreide ‘handleiding’ opstellen waaruit blijkt hoe het AI-systeem is ontworpen en hoe het functioneert. Denk aan informatie over de werking van het systeem, de gegevens die zullen worden verwerkt, testprocedures en andere relevante technische aspecten. Het doel van deze documentatie is om transparantie te bieden en het mogelijk te maken dat bevoegde instanties en eindgebruikers een goed inzicht krijgen in het AI-systeem.
- Menselijk toezicht: Het AI-systeem moet zo worden ontworpen en ontwikkeld dat het kan worden gecontroleerd door mensen. Om het menselijk toezicht doeltreffend te maken, is het van belang dat de personen die belast zijn met het toezicht, over de benodigde kennis en autoriteit beschikken om hun taak uit te oefenen.
Meer weten over de AI Act?
Maak je je zorgen over de invloed van de AI Act op jouw organisatie? Of wil je weten hoe je je kunt voorbereiden? Wij helpen je graag bij het in kaart brengen van de specifieke eisen en verplichtingen die voor jouw organisatie gelden. Neem gerust contact met ons op voor meer informatie en support.
