Wat betekent de AI Act voor mijn organisatie?

Welke acties moeten organisaties ondernemen om te voldoen aan de AI Act?

In december 2023 heeft de Europese Unie een akkoord bereikt over de AI Act. Hoewel AI al jaren wordt toegepast, heeft de komst van generatieve AI-tools als ChatGPT de urgentie van wetgeving enorm vergroot. De AI Act streeft ernaar om een uniform wettelijk kader in de EU te creëren om het gebruik en de ontwikkeling van AI systemen te reguleren. Het doel is om het vertrouwen van burgers in AI te verhogen en de fundamentele rechten te beschermen. Naar verwachting zal deze verordening in het eerste of tweede kwartaal van 2024 in werking treden.

Toepassingsgebied van de AI Act

De AI Act is van toepassing op:

• aanbieders die AI-systemen in de EU in de handel brengen of in gebruik stellen (ongeacht of die aanbieders in de EU of in een derde land zijn gevestigd);
• gebruikers van AI-systemen die zich in de EU bevinden; en
• aanbieders en gebruikers van AI-systemen die zich in een derde land bevinden, wanneer de output van het systeem in de EU wordt gebruikt.
  De wet is sectoroverstijgend van toepassing.

Verschillende risiconiveaus

AI-systemen worden opgedeeld in risicoklassen: hoe hoger het risico, hoe strenger de vereisten. In grote lijnen verdeelt de AI Act systemen in deze categorieën:

• Onaanvaardbaar risico: dit zijn AI-systemen die als een gevaar voor mensen worden beschouwd. Voorbeelden hiervan zijn het zogenaamde ‘social scoring’, en toepassing van bepaalde biometrische systemen voor identificatie op afstand zoals gezichtsherkenning.
• Hoog risico: deze AI-systemen brengen aanzienlijke risico's met zich mee en zullen aan strikte verplichtingen worden onderworpen voordat ze op de markt kunnen worden gebracht. Het overgrote deel van de verplichtingen uit de AI Act ziet op AI-systemen die hieronder vallen. Alle AI-systemen met een hoog risico krijgen een beoordeling voor zij in de handel worden gebracht en worden tijdens de volledige levensduur van het systeem gevolgd.
• Laag risico: AI-systemen die niet in de bovenstaande categorieën vallen, mogen de Europese markt zonder al te veel problemen betreden. Er moet wel transparantie zijn, zodat het duidelijk is wanneer een beeld is gemanipuleerd (zogenaamde ‘deepfakes’) en niemand onterecht denkt dat hij of zij te maken heeft met een mens.

De verordening stelt hoge boetes in het vooruitzicht voor overtreders. Deze kunnen oplopen tot 35 miljoen euro per overtreding of zeven procent van de wereldwijde omzet van het betrokken concern.

Welke stappen moeten organisaties nu al zetten?

1. Breng alle AI-systemen in kaart die uw organisatie heeft ontwikkeld (of van plan is te ontwikkelen) of waarvan gebruik wordt gemaakt. Bepaal of een van deze systemen binnen de reikwijdte van de AI Act valt.
2. Beoordeel de AI-systemen die binnen de reikwijdte van de AI Act vallen om hun risicoclassificatie te bepalen en de toepasselijke nalevingseisen vast te stellen.
3. Begrijp de positie van uw organisatie in relevante AI-waardeketens, de bijbehorende complianceverplichtingen en hoe aan deze verplichtingen zal worden voldaan. Compliance moet worden ingebed in alle functies die verantwoordelijk zijn voor de AI-systemen.
4. Stel een plan op om ervoor te zorgen dat de juiste verantwoordingsplicht en governance kaders, risicobeheer- en controlesystemen, kwaliteitsbeheer, monitoring en documentatie aanwezig zijn wanneer de verordening van kracht wordt.