Vrouw beklimt trappen doolhof (afbeelding bevat digitaal gegenereerde gele elementen)

EU AI Act Roadmap: Wat betekent de AI-wet voor jouw organisatie?

Portrait of Bernadette Wesdorp
Bernadette Wesdorp

EY Nederland Director, EMEIA FSO Responsible AI Lead

15 minuten leestijd 06 feb. 2025

Onze EU AI Act Roadmap helpt je verantwoord AI te implementeren door nu de juiste stappen te nemen.

In het kort:

  • De EU AI Act stelt hoge eisen aan bedrijven voor een AI-proof toekomst.
  • Belangrijke stappen: begrijp AI-oplossingen en implementeer een beheersysteem.
  • Stel duidelijke verantwoordelijkheden vast en laat IT, regelgeving en gegevensbescherming samenwerken.

Zonder dat je het weet, wordt er binnen jouw organisatie veelvuldig AI gebruikt. Achter de schermen opereren slimme algoritmes en geavanceerde systemen die cruciale beslissingen ondersteunen. Denk bijvoorbeeld aan de marketingafdeling die systemen inzet voor gepersonaliseerde advertenties, waardoor klanten zich meer verbonden voelen met jouw merk.  Welke modellen hanteert de verkoopafdeling voor verkoopprognoses, die niet alleen de omzet kunnen verhogen, maar ook de efficiëntie van je team verbeteren? En hoe filtert de HR-afdeling sollicitaties, zodat je de beste talenten kunt aantrekken zonder uren te verliezen aan handmatig screenen? Duidelijke verantwoordelijkheidslijnen en risicobeoordelingen zijn essentieel, aangezien overtredingen hoge boetes kunnen opleveren. Met deze roadmap krijg je inzicht in waar je organisatie staat In de EU AI Act en welke stappen je het beste kunt nemen.

Wat is de EU AI Act?

Deze richtlijn moet door alle EU-lidstaten worden geïmplementeerd, met de meeste bepalingen die 24 maanden na inwerkingtreding van kracht worden. Na de afronding van de triloog op 8 december 2023 hebben de Europese Raad, de Europese Commissie en het Europees Parlement overeenstemming bereikt over de belangrijkste punten van de AI-wet. Het definitieve ontwerp werd goedgekeurd op 13 maart 2024.

Zorg voor duidelijke verantwoordelijkheidslijnen, inventarislijsten en risicobeoordelingen.

Waar gaat de EU AI Act over?

De EU AI Act hanteert een risicogebaseerde aanpak voor de regulering van AI. AI-systemen worden ingedeeld in risicocategorieën op basis van hun toepassing en doelgroep. Afhankelijk van deze categorieën moeten bedrijven verschillende maatregelen implementeren, van eenvoudige openbaarmaking voor laag-risico toepassingen tot uitgebreide documentatie en zorgplicht voor hoog-risico toepassingen. Verboden toepassingen, zoals sociale scoring, worden volledig uitgesloten.

AI kan niet alleen in technische afdelingen worden toegepast, maar in het hele bedrijf. Duidelijke verantwoordelijkheidslijnen, inventarislijsten en risicobeoordelingen zijn cruciaal en moeten snel worden opgezet, aangezien de wet is ingegaan en er hoge boetes kunnen volgen bij overtredingen. De maximale boete bedraagt 7% van de wereldwijde jaaromzet of 35 miljoen euro, wat zelfs hoger is dan de boetes onder de AVG. Bedrijven moeten met vertrouwen deze wet in hun organisatie implementeren.

Belanghebbenden moeten de EU AI Act begrijpen en de implementatie met vertrouwen coördineren.

De EU AI Act Roadmap

The AI Roadmap

Actieplan voor de EU AI Act Roadmap:

1. Erken het potentieel van AI
Begrijp de principes en vereisten van de EU AI Act.

2. Transformeer en plan
Informeer het management en stel duidelijke verantwoordelijkheidslijnen vast.

3. Datafundament en structuur
Voer een gap-analyse uit en maak een tijdlijn voor de implementatie om een solide datafundament en structuur te waarborgen.

4. Externe partnerschapsecosystemen
Inventariseer AI-gerelateerde software en classificeer AI-systemen op risicocategorie door samen te werken met externe partners.

5. Interne AI-expertise
Implementeer de noodzakelijke maatregelen en blijf de voortgang continu beoordelen met behulp van interne AI-expertise.

6. Architectuur en infrastructuur
Bereid je voor op de handhavingsfase en zorg voor naleving door een robuuste architectuur en infrastructuur op te zetten.
 

Begrijpen, beoordelen en plannen

Belanghebbenden met AI-verantwoordelijkheden moeten zich vertrouwd maken met de principes, vereisten en gevolgen van de EU AI Act. Het management moet goed geïnformeerd zijn over de wetgeving om duidelijke verantwoordelijkheidslijnen voor de implementatie vast te stellen. Dit kan uitdagend zijn, aangezien verschillende functies binnen het bedrijf verantwoordelijk kunnen zijn. Als het moeilijk is om duidelijke verantwoordelijkheden toe te wijzen, moet een commissie worden gevormd om de implementatie te coördineren en aan het management te rapporteren.

Naast verschillende functies moeten ook medewerkers met technische en juridische expertise over AI uit operationele afdelingen of het middenmanagement in de commissie worden opgenomen. Dit waarborgt een efficiënte beantwoording van gedetailleerde vragen. Daarnaast moet de huidige situatie binnen het bedrijf in overweging worden genomen, zoals bestaande verantwoordelijkheden, potentiële AI- en innovatiestrategieën, het gebruik van AI en het huidige regelgevingskader. Deze factoren beïnvloeden de organisatie van verantwoordelijkheidslijnen.

Zorg dat de maatregelen binnen de twee jaar na goedkeuring van de EU AI Act worden geïmplementeerd.

Hoe EY kan helpen

Tijdschema

Naast het definiëren van verantwoordelijkheidslijnen moet er een duidelijk tijdschema voor de implementatie van de EU AI Act worden opgesteld, gebaseerd op een gap-analyse. Deze analyse moet de geschiktheid van processen, de huidige training van personeel en een registratie van geïmplementeerde AI-oplossingen in overweging nemen.

 

Na goedkeuring van de AI-wet is er twee jaar om aan de vereisten te voldoen. Het tijdschema moet binnen deze periode worden uitgevoerd, en het bedrijf moet voortdurend controleren of de mijlpalen worden gehaald.

 

Tijdens de overgangsfase: implementeren, herzien, voorbereiden

Na de goedkeuring van de AI-wet zal er een periode van twee jaar zijn om aan de vereisten te voldoen. Het tijdschema van maatregelen moet binnen deze periode worden geïmplementeerd. Het bedrijf moet voortdurend controleren of de mijlpalen binnen het tijdschema worden bereikt.

 

Stap 1: Inventarisatie – Onderzoek naar huidig gebruik

Als het bedrijf nog geen inventaris heeft, moet er een uitgebreide lijst worden opgesteld van AI-gerelateerde software, toepassingen, algoritmen en oplossingen die momenteel worden gebruikt. Indien beschikbaar, kan het software asset managementsysteem van de IT-afdeling hiervoor worden ingezet, waar de geïnstalleerde software en bijbehorende licenties voor alle apparaten doorgaans worden beheerd.

Het software asset managementsysteem controleert AI-functionaliteit. Gebruik data-analyse en verifieer met enquêtes en steekproeven door experts.

Het software asset managementsysteem kan controleren welke geïnstalleerde software AI-functionaliteit gebruikt of kan gebruiken. In plaats van handmatig vergelijken, kan dit ook via data-analyse van softwaredatabases. Bij twijfel moet worden aangenomen dat software met AI-mogelijkheden deze functionaliteit gebruikt of dat AI is geïmplementeerd.

Deze veronderstelling moet worden geverifieerd met enquêtes en steekproeven. Gezien de diversiteit aan software moet het ontwerp van de enquêtes door experts gebeuren, die mogelijk al een lijst hebben van AI-functionaliteiten per programma en het potentieel technisch kunnen beoordelen.

Als er geen asset managementsysteem is, kan een bredere enquête worden uitgevoerd om te bepalen of AI-capabele software wordt gebruikt. Hoewel een brede enquête doorgaans lagere initiële responsen heeft, zijn de benodigde managementmiddelen aanzienlijk hoger.

Ongeacht de enquêtevorm moet deze zo worden ontworpen dat alle benodigde informatie over de gebruikte software beschikbaar is voor risicoclassificatie en om te voldoen aan vragen van autoriteiten. Op basis van deze classificatie moeten programma's worden ingedeeld in de risicocategorieën van de AI-wet.

Op basis van deze classificatie moeten programma's worden ingedeeld in de risicocategorieën van de AI Act.

Stap 2: Classificatie in risicocategorieën en vereisten

Op basis van de initiële classificatie moeten programma's worden ingedeeld in de risicocategorieën van de EU AI Act. Hieruit volgen de vereisten die geïmplementeerd moeten worden. Vervolgens kunnen de bestaande maatregelen in het bedrijf worden geëvalueerd om te waarborgen dat het nalevingsbeheersysteem aan de wet voldoet. Eventuele hiaten moeten worden aangepakt voordat de wet in werking treedt.

Risicocategorieën en vereisten

De definitie van termen en risicocategorieën was een belangrijk discussiepunt bij de wetgeving. De laatste versie bevat deze definities in de bijlage, inclusief de OESO-definitie van AI. AI-systemen die een duidelijke bedreiging vormen voor EU-burgers of hun rechten zijn volledig verboden, zoals sociale scoring door overheden en systemen voor predictive policing.

Risicocategorieën voor AI-systemen:

Piramide - Risicocategorieën

Relevante risicocategorieën voor de meeste bedrijven zijn:

  • Verboden AI-systemen: AI-systemen die onaanvaardbare risico's voor veiligheid en fundamentele rechten met zich meebrengen, zoals sociale scoring door overheden en manipulatieve technieken.
  • Hoog-risico AI-systemen: Deze systemen vormen risico's voor gezondheid, veiligheid of fundamentele rechten. Voorbeelden zijn toepassingen in HR, kritieke infrastructuur en wetshandhaving. Er zijn strikte vereisten voor risicobeheer, datakwaliteit, documentatie, transparantie en technische beveiliging. Exploitanten zijn verantwoordelijk voor naleving en moeten hoog-risico systemen registreren in een EU-database.
  • AI-systemen met transparantievereisten: Systemen die interactie hebben met mensen of emotieherkenning uitvoeren, moeten duidelijk aangeven dat ze AI gebruiken.
  • Laag-risico AI-systemen: Deze systemen vormen geen risico voor gebruikers, zoals AI-oplossingen in testomgevingen. Algemene productveiligheidseisen zijn van toepassing.

Het classificeren van AI-systemen vereist een systematische aanpak, vooral voor hoog-risico systemen met strikte documentatieverplichtingen.

General Purpose AI (GPAI): Deze systemen zijn getraind op grote datasets voor diverse doeleinden. Ze vereisen aanvullende transparantie- en nalevingsvereisten, vooral als ze zijn gebouwd met hoge rekenkracht.

Stap 3: Tijdschema’s opstellen

Het is belangrijk om nu een risicobeoordeling uit te voeren. Dit helpt bij de voorbereiding en implementatie van noodzakelijke maatregelen, vooral voor complexe organisaties. Vroegtijdige voorbereiding voorkomt complicaties en stelt bedrijven in staat om tijdig regels op te stellen voor AI-toepassingen. Diverse instanties werken aan normen en richtlijnen voor de EU AI Act. Het EU AI Pact moedigt bedrijven aan om vereisten te implementeren en best practices uit te wisselen.

EY ondersteunt bedrijven bij het begrijpen en implementeren van deze vereisten.

Na inwerkingtreding: implementeren en monitoren

Na implementatie van de maatregelen is het werk nog niet klaar. Nieuwe AI-toepassingen moeten continu worden gemonitord en ontwikkeld volgens de vastgestelde processen. Regelmatige training van personeel en het opzetten van advies- en klachtenkanalen zijn essentieel.

Een systeem voor automatische controles op nieuwe software kan helpen bij naleving van de EU AI Act. Dit systeem kan goedkeuringsworkflows naar managers sturen en gebruikers informeren over beperkingen.

Het is belangrijk om een cultuur van verantwoord AI-gebruik te creëren om risico’s te minimaliseren. Een goed ontworpen controlesysteem helpt bij het naleven van de EU AI Act en bereidt bedrijven voor op externe audits, wat een concurrentievoordeel kan opleveren.
 

Plan jouw AI-reis

 

Neem contact met ons op voor meer informatie over EY.ai, onze holistische benadering van AI.

Neem contact met ons op

Samenvatting

Wordt er binnen jouw bedrijf AI gebruikt? Veel mensen denken meteen aan zelfrijdende bezorgvoertuigen of autonome onderhoudsrobots en antwoorden dan met nee. Maar laten we de vraag anders stellen: Gebruikt de marketingafdeling een systeem om gepersonaliseerde advertenties naar klanten te sturen? Welke modellen gebruikt de verkoopafdeling om verkoopprognoses te maken? Hoe filtert de HR-afdeling sollicitaties voor? Dit zijn allemaal potentiële gebieden waar AI kan worden gebruikt en die binnenkort zullen worden gereguleerd door de EU AI Act van de Europese Unie. Ontdek waar jouw organisatie staat in de EU AI Act Roadmap om met vertrouwen de juiste stappen te zetten.

Over dit artikel

Portrait of Bernadette Wesdorp
Bernadette Wesdorp
EY Nederland Director, EMEIA FSO Responsible AI Lead
Leider op het gebied van privacy voor de financiële dienstverleningssector en trusted AI in Nederland. Moeder van twee kinderen. Voormalig professioneel hockeyster. Houdt van hardlopen en zwemmen.
Gerelateerde topics
AI
Consulting
Cybersecurity
Waarde op lange termijn

Lees ook

De impact van de EU AI Act: Responsible AI en inzichten van de EU AI Barometer

Ontdek hoe de EU AI Act en het Responsible AI Framework bedrijven verplichten tot technologische en ethische training, risicobeheer en multidisciplinaire samenwerking. Leer hoe organisaties zich kunnen aanpassen aan de nieuwe AI-regelgeving.

Bernadette Wesdorp

Hoe multidisciplinair samenwerken aan Responsible AI vertrouwen creëert

Ontdek de inzichten van EY AI Talks over Responsible AI in organisaties.

Bernadette Wesdorp + 1

Zeven richtlijnen voor het implementeren van Responsible AI

Ben jij klaar voor de toekomst? Het EY Responsible AI-framework biedt een concrete aanpak om met vertrouwen Responsible AI te implementeren.

Bernadette Wesdorp

    EY verwijst naar de wereldwijde organisatie en kan verwijzen naar een of meer van de lidfirma's van Ernst & Young Global Limited, die elk een afzonderlijke juridische entiteit zijn. Ernst & Young Global Limited, een Britse vennootschap met beperkte aansprakelijkheid, verleent geen diensten aan cliënten.