De Europese Unie (EU) heeft onlangs de AI Act geïntroduceerd, een baanbrekende wetgeving die tot doel heeft de ontwikkeling en het gebruik van kunstmatige intelligentie (AI) in de EU te reguleren. Deze wetgeving heeft ingrijpende gevolgen voor organisaties die AI-systemen ontwikkelen, implementeren of gebruiken, zelfs als deze organisaties buiten de EU gevestigd zijn, zolang de output van het AI-systeem in de EU gebruikt wordt. Om te voldoen aan de eisen van de AI Act en de kansen ervan te benutten, is een proactieve en risicogebaseerde implementatiestrategie essentieel. Deze strategie dient als leidraad voor organisaties om de AI Act succesvol te integreren in hun activiteiten.
Inzicht in de AI Act
De AI Act is onderdeel van een breder pakket beleidsmaatregelen ter ondersteuning van de ontwikkeling van betrouwbare AI, waaronder ook het AI Innovation Package en het Coordinated Plan on AI. Deze maatregelen waarborgen de veiligheid en fundamentele rechten van mensen en bedrijven met betrekking tot AI. Ze versterken ook de acceptatie, investeringen en innovatie in AI in de hele EU. De AI Act is het eerste alomvattende wettelijke kader voor AI wereldwijd.
De AI Act hanteert een risicogebaseerde aanpak, waarbij AI-systemen worden ingedeeld in vier risicocategorieën:
| Risicocategorie | Beschrijving | Voorbeelden | Vereisten |
|---|---|---|---|
| Onaanvaardbaar risico | AI-systemen die een onaanvaardbaar risico vormen voor de veiligheid, gezondheid of fundamentele rechten van mensen. | Systemen die subliminale manipulatie of sociale scoring door overheden mogelijk maken. | Deze systemen zijn verboden. |
| Hoog risico | AI-systemen die worden gebruikt in kritieke infrastructuur, onderwijs, rechtshandhaving, migratiebeheer en andere gevoelige domeinen. | Systemen voor biometrische identificatie, systemen die gebruikt worden voor het bepalen van toegang tot onderwijs of voor risicobeoordelingen in de context van kredietwaardigheid. | Deze systemen moeten voldoen aan strenge eisen met betrekking tot risicobeheer, gegevensbeheer, technische documentatie, menselijk toezicht en transparantie. |
| Beperkt risico | AI-systemen die transparantieverplichtingen met zich meebrengen. | Chatbots. | Gebruikers moeten ervan op de hoogte worden gesteld dat ze met een AI-systeem communiceren. |
| Minimaal risico | De meeste AI-systemen vallen in deze categorie. | AI-enabled spamfilters. | Geen specifieke wettelijke verplichtingen, maar transparantie is vereist voor AI-systemen die met mensen interageren. |
De AI Act breidt bestaande wettelijke verplichtingen zoals de Algemene Verordening Gegevensbescherming (AVG) uit en legt nieuwe transparantieverplichtingen op aan bedrijven die generatieve AI en General Purpose AI-systemen (GPAI) gebruiken of ontwikkelen.
Definities:
- Het op de markt brengen van AI: De eerste beschikbaarheid van een AI-systeem of een GPAI-model op de EU-markt.
- Het beschikbaar stellen van AI op de markt: Het gebruik van een AI-systeem of een GPAI-model voor distributie of gebruik in de EU via een commerciële activiteit, al dan niet tegen betaling.
- AI in gebruik nemen: Het eerste gebruik van een AI-systeem dat rechtstreeks aan de inzetnemer wordt geleverd voor gebruik in de EU voor een bepaald doel.
Tijdlijn:
De AI Act is op 1 augustus 2024 in werking getreden en zal twee jaar later volledig van toepassing zijn, met enkele uitzonderingen:
- Verboden AI-praktijken: van kracht na zes maanden.
- Governance regels en verplichtingen voor GPAI-modellen: van kracht na 12 maanden.
- Regels voor AI-systemen die zijn ingebed in gereguleerde producten: van kracht na 36 maanden.
- Regels voor bepaalde AI-systemen die componenten zijn van grootschalige IT-systemen die door de EU-wetgeving zijn opgezet op het gebied van vrijheid, veiligheid en recht: van kracht eind 2030.
European AI Office:
Het European AI Office, opgericht in februari 2024 binnen de Europese Commissie, houdt toezicht op de handhaving en implementatie van de AI Act met de lidstaten. Het doel is om een omgeving te creëren waarin AI-technologieën de menselijke waardigheid, rechten en vertrouwen respecteren.
Stappenplan voor implementatie
Een effectieve implementatiestrategie voor de AI Act omvat de volgende stappen:
1. Inventarisatie en classificatie:
Begin met het inventariseren van alle AI-systemen die binnen de organisatie worden gebruikt of ontwikkeld. Classificeer vervolgens elk systeem op basis van het risiconiveau dat het met zich meebrengt. U kunt overwegen om geautomatiseerde detectie- en identificatieoplossingen of workflowplatforms te gebruiken om dit proces te versnellen.
2. Gap-analyse:
Analyseer de huidige processen en systemen binnen uw organisatie om te bepalen welke aanpassingen nodig zijn om te voldoen aan de AI Act. Identificeer potentiële hiaten in uw huidige aanpak en ontwikkel een plan om deze hiaten te dichten. Dit kan bijvoorbeeld inhouden dat u uw gegevensbeheerpraktijken moet herzien, uw risicobeoordelingsprocedures moet aanpassen of uw medewerkers moet trainen in AI-ethiek.
3. Risicobeoordeling:
Voer een grondige risicobeoordeling uit voor elk AI-systeem, met bijzondere aandacht voor systemen met een hoog risico. Identificeer potentiële risico’s en ontwikkel strategieën om deze te beperken. Deze risicobeoordelingen moeten periodiek worden herhaald, vooral wanneer AI-systemen significante veranderingen ondergaan. Overweeg om risico- en impactbeoordelingen te koppelen aan inkoop- en aankoopbeslissingen om het gebruik van vrijwillige kaders te stimuleren.
4. Naleving van de eisen:
Zorg ervoor dat alle AI-systemen voldoen aan de specifieke eisen van de AI Act voor hun risicocategorie. Dit omvat onder meer:
- Voor alle AI-systemen:
- Herzie de gegevensbescherming en -beveiliging.
- Vertaal externe AI-voorschriften naar beleid voor geautomatiseerde handhaving.
- Update bestaande procedures voor leveranciersbeheer en contractering om ervoor te zorgen dat due diligence-processen AI-gerelateerde risico’s en verplichtingen identificeren en documenteren. Contractuele bepalingen moeten nalevingsverplichtingen en aansprakelijkheid tussen de partijen op de juiste wijze toewijzen.
- Voor hoge-risico AI-systemen:
- Het opzetten van een robuust risicobeheersysteem.
- Het waarborgen van de kwaliteit van de datasets die worden gebruikt om AI-systemen te trainen.
- Het documenteren van de ontwikkeling, implementatie en monitoring van AI-systemen.
- Het waarborgen van menselijk toezicht op AI-systemen.
- Voldoen aan de eisen voor nauwkeurigheid, robuustheid en cyberbeveiliging.
- Het waarborgen van de veerkracht van AI-systemen tegen ongeoorloofde wijzigingen.
- Het verstrekken van duidelijke en adequate informatie aan de inzetnemer.
- Het opzetten van een kwaliteitsmanagementsysteem.
- Het uitvoeren van fundamentele rechtenimpactbeoordelingen.
- Voor beperkt-risico AI-systemen:
- Voldoen aan de transparantieverplichtingen, zoals openbaar maken aan gebruikers dat ze met AI communiceren.
- Voldoen aan de transparantieverplichtingen, zoals openbaar maken aan gebruikers dat ze met AI communiceren.
- Voor GPAI-modellen:
- Voldoen aan de transparantieverplichtingen, waaronder het publiceren van technische documentatie, naleving van de EU-auteursrechtwetgeving en het verstrekken van samenvattingen van de trainingsgegevens.
- Voor GPAI-modellen met systeemrisico: voldoen aan aanvullende risicobeheerverplichtingen, waaronder zelfevaluatie en beperking van systeemrisico’s, rapportage van ernstige incidenten, uitvoering van testen en modelevaluaties, en cyberbeveiligingseisen.
5. Conformiteitsbeoordeling:
Voor AI-systemen met een hoog risico is een conformiteitsbeoordeling vereist voordat ze op de markt worden gebracht of in gebruik worden genomen. Deze beoordeling omvat het controleren of het systeem voldoet aan de eisen met betrekking tot risicobeheer, gegevensbeheer, technische documentatie, registratie, transparantieverplichtingen, menselijk toezicht en nauwkeurigheid, robuustheid en cyberbeveiliging. De beoordeling kan intern worden uitgevoerd of door een aangemelde instantie.
6. Training en bewustmaking:
Train medewerkers en andere betrokkenen over de AI Act en de implicaties ervan voor de organisatie. Zorg ervoor dat ze voldoende kennis en competenties hebben om AI-systemen op een verantwoorde en ethische manier te ontwikkelen en te gebruiken. Besteed aandacht aan het bevorderen van “AI-geletterdheid” binnen de organisatie, zodat medewerkers de technologie en de bijbehorende nalevingsvereisten begrijpen.
7. Monitoring en evaluatie:
Implementeer een systeem voor monitoring en evaluatie om de naleving van de AI Act te waarborgen en de effectiviteit van de implementatiestrategie te beoordelen. Dit systeem moet de volgende elementen omvatten:
- Regelmatige audits: Voer regelmatig audits uit om te controleren of de AI-systemen van de organisatie voldoen aan de eisen van de AI Act.
- Data-analyse: Analyseer data over het gebruik van AI-systemen om potentiële problemen of risico’s te identificeren.
- Rapportage: Rapporteer regelmatig aan het management over de naleving van de AI Act en de effectiviteit van de implementatiestrategie.
- Continue verbetering: Gebruik de resultaten van de monitoring en evaluatie om de implementatiestrategie continu te verbeteren.
- Monitoring van de mogelijkheden van AI: AI kan worden gebruikt om de monitoringcapaciteiten te verbeteren op gebieden zoals naleving van regelgeving en corporate governance.
- Centrale bron van vertrouwen: Het hebben van één centrale bron van vertrouwen voor gegevens- en AI-governance vereenvoudigt de naleving.
8. Verantwoordelijkheden:
De implementatie van de AI Act vereist een gezamenlijke inspanning van verschillende stakeholders binnen de organisatie. Een goede samenwerking tussen deze stakeholders is essentieel voor een succesvolle implementatie. De AI Act definieert de volgende actoren: providers, deployers, importeurs, distributeurs en productfabrikanten.
- Management: Het management is verantwoordelijk voor het creëren van een cultuur van verantwoorde AI en het waarborgen van voldoende middelen voor de implementatie van de AI Act.
- Juridische afdeling: De juridische afdeling adviseert over de interpretatie van de AI Act en de naleving van de wettelijke eisen.
- Data governance team: Het data governance team zorgt voor de kwaliteit en veiligheid van de data die worden gebruikt voor AI-systemen.
- AI-ontwikkelaars: AI-ontwikkelaars zijn verantwoordelijk voor het ontwerpen en ontwikkelen van AI-systemen die voldoen aan de eisen van de AI Act.
- Compliance officers: Compliance officers monitoren de naleving van de AI Act en rapporteren hierover aan het management.
9. Risicobeheer:
Een cruciaal onderdeel van de implementatiestrategie is het opzetten van een effectief systeem voor risicobeheer. Dit systeem moet de volgende elementen omvatten:
- Risico-identificatie: Identificeer alle potentiële risico’s die verbonden zijn aan de AI-systemen van de organisatie.
- Risicoanalyse: Analyseer de waarschijnlijkheid en de impact van elk geïdentificeerd risico.
- Risicobeperking: Ontwikkel en implementeer maatregelen om de geïdentificeerde risico’s te beperken.
- Risicomonitoring: Monitor de effectiviteit van de risicobeperkende maatregelen en pas deze indien nodig aan.
- AI voor risicobeheer: AI kan worden gebruikt om risico’s te beperken op belangrijke gebieden, zoals naleving van regelgeving, corporate governance, leveranciersrisico en cyberbeveiliging.
10. Ethische AI:
Naast de wettelijke eisen van de AI Act is het belangrijk om ethische overwegingen te integreren in de ontwikkeling en het gebruik van AI-systemen. Het is van belang om vroegtijdig stappen te ondernemen om onethische AI te beheren en voor te blijven op de komende regelgeving. Dit omvat onder meer:
- Eerlijkheid: Zorg ervoor dat AI-systemen geen discriminatie veroorzaken op basis van geslacht, ras, etniciteit, religie of andere beschermde kenmerken.
- Transparantie: Wees transparant over hoe AI-systemen werken en welke data ze gebruiken.
- Verantwoordingsplicht: Stel mechanismen in om de verantwoordingsplicht voor de beslissingen van AI-systemen te waarborgen.
- Privacy: Bescherm de privacy van individuen door ervoor te zorgen dat AI-systemen op een verantwoorde manier omgaan met persoonsgegevens.
- Menselijke waarden: De AI Act benadrukt mensgerichtheid, sociale verantwoordelijkheid en duurzaamheid in verantwoorde AI-praktijken.
- Dataverzameling en algoritmen: Zorg voor diverse datasets en eerlijke algoritmen.
- Gegevensgebruik: Communiceer duidelijk over het gegevensgebruik en verkrijg geïnformeerde toestemming.
- Menselijk toezicht: Faciliteer menselijk toezicht op AI-systemen.
- Uitdagingen en governance: Erken de uitdagingen van het bereiken van verantwoorde AI en implementeer lifecycle governance en risicobeheer.
- Rol van academici: Academici spelen een belangrijke rol bij het ontwikkelen van ethische principes voor verantwoord AI-gebruik en -ontwikkeling.
11. Blijf op de hoogte:
Houd de ontwikkelingen rond de AI Act en de bijbehorende richtlijnen nauwlettend in de gaten. Pas de implementatiestrategie indien nodig aan om te voldoen aan nieuwe eisen of om te profiteren van nieuwe mogelijkheden. Volg ook de internationale ontwikkelingen op het gebied van AI-wetgeving, zoals de ondertekening van CETS nr. 225 door de Europese Commissie en de resolutie van de Algemene Vergadering van de Verenigde Naties ter bevordering van “veilige, beveiligde en betrouwbare” AI-systemen.
Conclusie
De AI Act is een complexe wetgeving met ingrijpende gevolgen voor organisaties die AI-systemen ontwikkelen, implementeren of gebruiken. Door een doordachte implementatiestrategie te volgen, kunnen organisaties zich voorbereiden op de eisen van de AI Act, de risico’s beperken en de kansen benutten. Deze strategie moet een holistische aanpak hanteren, waarbij rekening wordt gehouden met wettelijke, technische en ethische aspecten. Door proactief te handelen en de nodige stappen te ondernemen, kunnen organisaties ervoor zorgen dat ze voldoen aan de AI Act en AI op een verantwoorde en ethische manier gebruiken.
Implementatie
De implementatie van de AI Act biedt organisaties de kans om niet alleen te voldoen aan de wet, maar ook om innovatie en verantwoorde AI-praktijken te bevorderen. Het is belangrijk om te erkennen dat de AI Act, hoewel gericht op het bevorderen van innovatie, ook de potentie heeft om innovatie te belemmeren als gevolg van de strenge normen. De strenge normen van de AI Act kunnen echter leiden tot meer vertrouwen van de klant en acceptatie van AI-systemen. De AI Act benadrukt niet alleen het minimaliseren van de negatieve effecten van AI, maar ook het maximaliseren van de voordelen ervan. Het doel is om AI te gebruiken op een manier die de fundamentele rechten beschermt en tegelijkertijd innovatie stimuleert.
Naleving
Het niet naleven van de AI Act kan leiden tot aanzienlijke boetes, die kunnen oplopen tot 7% van de wereldwijde jaaromzet voor schendingen van verboden AI-toepassingen. Daarom is het van cruciaal belang dat organisaties de nodige stappen ondernemen om te voldoen aan deze nieuwe wetgeving.
- The EU AI Act: 6 Steps to Take in 2024 - Orrick
- EU publishes its AI Act: Key steps for organizations | DLA Piper
- How the EU AI Act affects US-based companies - KPMG International
- Article 16: Obligations of Providers of High-Risk AI Systems | EU Artificial Intelligence Act
- Understanding the EU AI Act: Requirements and Next Steps - ISACA
- AI Act | Shaping Europe's digital future - European Union
- The EU AI Act: A Quick Guide
- The EU AI Act: What it means for your business | EY - Switzerland
- Preparing for change: How businesses can thrive under the EU's AI Act | Global law firm
- Ethical concerns mount as AI takes bigger decision-making role - Harvard Gazette