De Europese Commissie heeft de afgelopen jaren op verschillende fronten wetgeving gelanceerd op het gebied van digitalisering. Als onderdeel van de digitale strategie wil de Europese Commissie regels voor artificiële intelligentie (hierna: AI) vaststellen om beter vat te krijgen op de voorwaarden voor de ontwikkeling en het gebruik van deze innovatieve technologie. Naar aanleiding hiervan heeft de Europese Commissie in april 2021 haar voorstel bekend gemaakt met de allereerste EU-regels voor AI. De verwachting is dat de AI Act in 2026 van kracht zal gaan. De AI Act is een Europese verordening. Een Europese verordening is direct toepasbaar en hoeft niet te worden omgezet in nationale wetgeving. De AI Act dient in alle Europese lidstaten op dezelfde manier ingezet worden. In deze blog vertel ik, Nisrin Akdim (Privacy & Legal consultant overheid), je meer over de AI Act en hoe je als organisatie kunt voorbereiden op deze nieuwe wetgeving. AI biedt namelijk kansen, maar brengt ook risico’s met zich mee zoals: privacy risico’s, ethische vraagstukken en verlies van menselijke controle. Het invoeren van wet- en regelgeving heeft daarom als doel om het gebruik van AI te reguleren.
De AI Act is de nieuwe wetgeving die eraan zit te komen op het gebied van AI. Het bevat regels voor het gebruik van AI en draagt bij aan een veilige, transparante, traceerbare, niet-discriminerende en milieuvriendelijke omgang met AI. Het definitieve ontwerp van de AI Act is op 2 februari 2024 unaniem goedgekeurd door de ambassadeurs van de Europese Unie (EU). Op dit moment is er nog goedkeuring nodig van de EU-wetgevers voordat de AI Act daadwerkelijk in werking zal treden.
Om de reikwijdte van de AI Act te bepalen, wordt eerst gekeken naar de betekenis van AI. De laatste versie van de AI Act bevat de volgende definitie: “Machinaal systeem dat is ontworpen om met verschillende niveaus van autonomie te werken en dat voor expliciete of impliciete doelstellingen output kan genereren, zoals voorspellingen, aanbevelingen of beslissingen die van invloed zijn op de fysieke of virtuele omgeving”. Let er wel op dat deze definitie een vertaling is van de definitie afkomstig uit de laatste versie van de AI Act. De Nederlandse vertaling in wet- en regelgeving van de laatste AI Act laat nog op zich wachten en zal in de komende periode gepubliceerd worden.
Na de formele goedkeuring en inwerkingtreding zal de AI Act een aanzienlijke impact hebben op organisaties die AI ontwikkelen of gebruiken, zowel in de EU als daarbuiten. De AI Act zal risico- en technologie gebaseerde verplichtingen opleggen aan organisaties die AI -systemen in de EU ontwikkelen, gebruiken, distribueren of importeren. Daarnaast stelt de de AI Act hoge boetes bij overtredingen. De boetes bedragen tot 35 miljoen euro per overtreding of 7% van de wereldwijde omzet van het concern waarbinnen de overtreding wordt gemaakt. Voor kleine administratieve overtredingen bedraagt de boete 7,5 miljoen euro of 1,5% van de wereldwijde omzet van het bedrijf of de organisatie.
De AI Act zorgt ervoor dat gebruikers binnen de Europese Unie kunnen vertrouwen op wat AI te bieden heeft. Hoewel de meeste AI-systemen weinig tot geen risico vormen en juist bijdragen aan het oplossen van maatschappelijke uitdagingen, brengen bepaalde AI-systemen wel degelijk risico’s met zich mee. De AI Act volgt daarom een risico gebaseerde benadering en stelt verplichtingen voor aanbieders en gebruikers afhankelijk van het risiconiveau dat een AI-systeem met zich meebrengt.
Het regelgevingskader definieert vier risiconiveaus in AI
1) Onaanvaardbaar AI-systeem
In titel II artikel 5 van de AI Act staan AI-systemen opgesomd die een onacceptabel hoog risiconiveau vormen. Dit zijn systemen die een dermate hoog risico vormen voor de samenleving dat ze worden verboden. Hierbij kan bijvoorbeeld worden gedacht aan bepaalde vormen van gezichtsherkenningstechnieken in de openbare ruimte, social scoring en manipulatieve AI-systemen. Manipulatieve AI-systemen worden omschreven als systemen die bijvoorbeeld gebruik maken van een kwetsbaarheid van een specifieke groep personen zoals leeftijd of handicap om het gedrag op een schadelijke wijze te verstoren
2) Hoog risico AI-systeem
Artikel 6 van de AI Act geeft aan dat een AI-systeem het stempel ‘hoog risico’ krijgt als het valt onder bepaalde ’toepassingen’ en ‘categorieën’. Te denken valt aan: migratie- en asielsystemen, kritieke infrastructuur en opleidingen en trainingen. Deze zijn toegestaan, mits ze aan strengen regels voldoen. Hierin zijn twee soorten categorieën te onderscheiden met een hoog risico:
Bijlage 1) AI-toepassingen met een hoog risico waarvoor een ‘self assessment’ verplicht is.
Bijlage 2) AI-toepassingen met een hoog risico die door een externe instantie op ‘conformiteit’ getoetst moeten worden.
Als een AI-systeem valt onder een hoog risico, dan moeten onder andere zaken als een risicomanagementsysteem, technische documentatie, transparantie en een conformiteitsbeoordeling geregeld worden.
3) Beperkt risico AI-systeem
AI-systemen met een beperkt risico krijgen enkel basisregels mee maar zijn verder vrij te gebruiken. Deze systemen moeten voldoen aan de transparantieverplichting. Dit houdt in dat bij het gebruik van AI-systemen met een beperkt risico, bijvoorbeeld chatbots, het voor de gebruiker duidelijk moet zijn dat ze interactie met een machine hebben. Hierdoor kunnen gebruikers zelf de keuze maken om het AI-systeem te blijven gebruiken of een stap terug te doen.
4) Minimaal of geen risico AI-systeem
De AI Act maakt het mogelijk om vrij gebruik te maken van AI-systemen met een minimaal of geen risico. Dit zijn AI-systemen die (niet direct) een verhoogd risico vormen voor de samenleving. Hierbij kan je denken aan AI gedreven karakters in videogames of spamfilters.
In de AI Act zijn de volgende doelgroepen vastgesteld: aanbieders, gebruikers, importeurs en distributeurs van AI-systemen. Dit betekent dat de nieuwe regelgeving van toepassing is op vrijwel iedereen die betrokken is bij de ontwikkeling, distributie, import, productie, of gebruik van AI-technologieën. Overigens is ook sprake van een extraterritoriale reikwijdte. Dit wil zeggen dat een startup buiten de Europese Unie die een AI-systeem heeft ontwikkeld en dit in de Europese Unie op de markt brengt, moet voldoen aan de regels die zijn vastgesteld in de AI Act. Elke partij zal in beginsel zelf moeten kunnen aantonen dat zij aan haar verplichtingen onder de AI Act voldoet.
AI-systemen kunnen beslissingen nemen die aanzienlijke invloed hebben op individuen, gemeenschappen en maatschappijen. De komst van de AI Act zorgt ervoor dat deze beslissingen worden genomen op een ethische en verantwoorde manier, rekening houdend met menselijke waarden en belangen. Veruit de meeste verplichtingen uit de AI Act hebben betrekking op AI-systemen met een hoog risico. De concrete verplichtingen waarmee een organisatie rekening dient te houden, variëren afhankelijk van de specifieke rol. Denk hierbij aan rollen als gebruiker of aanbieder. Op aanbieders van AI-systemen rusten vooralsnog de zwaarste verplichtingen.
We raden aan om je als organisatie alvast voor te bereiden op de inwerkingtreding van de AI Act. Start met het inventariseren van alle AI-systemen die jouw organisatie heeft ontwikkeld, van plan is om te ontwikkelen of waarvan gebruik wordt gemaakt. Vervolgens bepaal je of deze AI-systemen binnen de reikwijdte van de AI Act vallen en welk risiconiveau van toepassing is. Daarnaast is het zinvol om een AI Assessment uit te (laten) voeren. Middels een AI Assessment breng je de kansen en risico’s voor het gebruik van AI in kaart. Op basis van de resultaten kan je maatregelen implementeren voor een verantwoorde omgang met AI. Tot slot, is het belangrijk om een plan van aanpak op te stellen om ervoor te zorgen dat de juiste verantwoordingsplicht en governance kaders, risicobeheer- en controlesystemen, kwaliteitsbeheer, monitoring en documentatie aanwezig zijn, wanneer de verordening van kracht wordt. Kortom, ga alvast aan de slag een bereid jouw organisatie voor op de komst van de AI Act.
De AI Act gaat hoe dan ook impact hebben op aanbieders, gebruikers, importeurs en distributeurs van AI-systemen. Het moet bijdragen aan een verantwoorde en veilige omgang met AI. Ons advies? Wacht niet tot de AI Act in werking zal treden, maar bereid je alvast voor. Wij helpen je graag bij het in kaart brengen van de specifieke eisen en verplichtingen die voor jouw organisatie gelden. Ook kunnen we een AI Assessment uitvoeren, om de risico’s en verbeterpunten van het gebruik van AI voor jouw organisatie in kaart te brengen. Behoefte aan iemand binnen jouw organisatie die zich volledig focust op een verantwoorde omgang met AI? Dan vervullen we graag de rol van Responsible AI Officer. Cuccibu is graag van toegevoegde waarde in de verantwoorde omgang met AI-systemen binnen jouw organisatie, met als doel mensen en andere gebruikers het vertrouwen te geven om AI gebaseerde oplossingen te omarmen.
Reduce Risk, Create Value!
Bronnen: AI Act (2021/0106 (COD)), Autoriteit Persoonsgegevens, Euractiv, Euronews en Hunton Andrews Kurth.