wapperende Europese Unie vlaggen buiten het Europees Parlementsgebouw in Brussel

Waarom bedrijven zich nu moeten voorbereiden op de nieuwe EU AI-wet


Gerelateerde topics

De EU AI Act is een baanbrekende verordening die het gebruik van Artificial Intelligence (AI) in de EU en daarbuiten reguleert. Ontdek hoe deze regelgeving relevant is voor jou.


In het kort:

  • De EU AI-verordening is van toepassing op alle organisaties die AI-modellen of -systemen ontwikkelen, inzetten, importeren of distribueren naar de EU. 
  • AI-systemen worden geclassificeerd in risicogebaseerde niveaus met verschillende nalevingsverplichtingen.  
  • Organisaties moeten de vereiste stappen ondernemen om te voldoen of riskeren aanzienlijke boetes.

Uit een recent onderzoek onder leiders in de financiële sector in Europa blijkt dat er steeds meer aandacht is voor juridische en regelgevende naleving binnen organisaties, waarbij slechts 11% zich volledig voorbereid voelt. De belangrijkste bevindingen zijn:

  • Bijscholing: Slechts een kwart van de bedrijven heeft Generative AI-trainingsprogramma's opgezet, ondanks dat de meerderheid (78%) gelooft dat hun personeel niet over de sterke capaciteiten beschikt om de nieuwe technologie te implementeren. 
  • Zorgen: Beperkt begrip van GenAI binnen het personeel, onzekerheid over bestaande en opkomende regelgeving en het bijhouden van de snel evoluerende technologie. 
  • Impact op functies: De meerderheid (66%) gelooft dat tot 25% van de huidige functies kan worden beïnvloed door de voortdurende AI-integratie en tot 10% kan binnen een jaar overbodig worden.
     

Impact van de EU AI Act

De EU AI Act is de eerste uitgebreide wetgeving over kunstmatige intelligentie wereldwijd. De impact op Nederland is vergelijkbaar met die op andere EU-landen, met enkele verschillen in de opzet van toezicht, aangezien daar enige ruimte voor is gelaten. De EU AI Act is gericht op het stimuleren van innovatie en het gebruik van AI-systemen op een manier die fysieke veiligheid waarborgt en de fundamentele rechten van individuen beschermt. Het doel is om een evenwicht te creëren tussen innovatie en de bescherming van mens en maatschappij, met een sterke focus op veiligheid en ethische naleving. Innovatie kan immers plaatsvinden als men voldoende kan vertrouwen dat AI veilig en ethisch wordt toegepast. Het concept van digitaal vertrouwen is niet nieuw voor Nederlandse bedrijven, die al bekend zijn met wetten in het digitale domein zoals de Algemene Verordening Gegevensbescherming (AVG) en de Digital Operational Resilience Act (DORA). AI-specifieke regelgeving is echter wel een nieuw domein. 

Sectorspecifieke impact

De financiële sector in Nederland is meer gewend aan regelgevende naleving en staat onder strengere supervisie. Ze werken al met het Al-modelriskmanagement, maar de staande modellen voldoen nog niet altijd. Andere sectoren moeten mogelijk uitgebreidere maatregelen nemen om aan de nieuwe vereisten te voldoen, aangezien ze minder gereguleerd zijn. 

Kansen voor innovatie en groei

Door AI-modellen zorgvuldig te ontwerpen, hun functies te begrijpen en technische details en potentiële risico's te documenteren, kunnen bedrijven innoveren. Deze aanpak van ontwikkelaars zorgt niet alleen voor naleving, maar bevordert ook groei en efficiëntie.

Wat zijn de belangrijkste punten van de EU AI Act?

De verordening vereist dat organisaties aan bepaalde verplichtingen voldoen, afhankelijk van het risiconiveau dat wordt bepaald op basis van het doel van het AI-systeem. Er zijn vier risicoclassificatiesystemen en een apart kader voor general-purpose AI (GPAI) modellen.

Privacy en beveiliging zijn niet nieuw, maar krijgen een nieuwe urgentie met GenAI.

Wie wordt getroffen door de verordening?

De verordening is van toepassing op alle AI-systemen en op alle organisaties in de waardeketen, of het nu ontwikkelaars, gebruikers, importeurs of distributeurs zijn. De AI Act is extraterritoriaal, wat betekent dat ie ook van toepassing kan zijn op organisaties niet gevestigd in de EU. In de meeste gevallen is de wet niet met terugwerkende kracht van toepassing, maar in sommige beperkte gevallen moeten AI-modellen en -systemen die op de markt zijn gebracht voordat de wet van kracht werd, voldoen.

 

Eerste stappen voor naleving

Nederlandse bedrijven moeten eerst inzicht krijgen in welke systemen ze gebruiken en de toepassing ervan begrijpen door middel van een uitgebreide inventarisatie. Deze inventarisatie moet AI-systemen classificeren en ervoor zorgen dat er geen verboden systemen in gebruik zijn. De deadline voor deze eerste stap is 1 februari 2025. We verwachten dat de meeste organisaties geen verboden systemen toepassen. Echter, er is nog onduidelijkheid, omdat er nog uitleg moet komen over wat onder die systemen valt. Hoewel verboden systemen niet vaak voorkomen, moeten bedrijven dit proces starten om naleving te waarborgen.

Risicogroepen en nalevingsvereisten:

  • Verboden AI-systemen: AI-systemen die een onaanvaardbaar risico vormen voor de veiligheid, beveiliging en fundamentele rechten van mensen, zijn verboden. Voorbeelden zijn sociale scoring en emotieherkenningssystemen op de werkplek. 
  • Hoog risico AI-systemen: Toegestaan onder naleving van strikte vereisten. Voorbeelden zijn AI-systemen gebruikt in werving en credit scoring. 
  • AI-systemen met beperkt risico: Toegestaan met beperkte transparantie- en openbaarmakingsverplichtingen. Voorbeelden zijn chatbots en foto-bewerkingssoftware. 
  • Minimaal risico AI-systemen: AI-systemen met beperkt risico. Staat vrij gebruik van AI met minimaal risico toe (bijv. spamfilters). Daarnaast dienen organisaties ervoor te zorgen dat de medewerkers voldoende begrip hebben van de werking van dergelijke AI-systemen, conform artikel 4 AI Act.
     

Elke categorie heeft verschillende nalevingsvereisten, zoals hieronder samengevat:

Risiconiveau
Beschrijving
Nalevingsniveau
Voorbeelden van cases:

Verboden

AI-systemen die een onaanvaardbaar risico vormen voor de veiligheid, beveiliging en fundamentele rechten van mensen.

Verboden

1. Sociale scoring die kan leiden tot nadelige behandeling

2. Emotieherkenningssystemen op de werkplek

3. Voorspellende politiewerkzaamheden van individuen

Hoog risico

Toegestaan, onder voorbehoud van naleving.

Significant

Gebruik van AI in: 

1. Werving

2. Biometrische identificatie- en bewakingssystemen

3. Veiligheid van kritieke infrastructuur (bijv. energie en transport)

Minimaal risico

Toegestaan

Onder voorbehoud van specifieke transparantie- en openbaarmakingsverplichtingen waar het gebruik een beperkt risico vormt.

Beperkt

1. Chatbots

2. Visuele of audio-inhoud gemanipuleerd door AI

Minimaal risico

Toegestaan

Zonder aanvullende vereisten waar het gebruik een minimaal risico vormt.

Minimaal

1. Foto-bewerkingssoftware

2. Productaanbevelingssystemen

3. Spamfiltersoftware

GPAI-modellen, inclusief generatieve AI, volgen ook een gelaagde aanpak, maar binnen een apart classificatiekader dat aanvullende transparantie-eisen toepast. De strengste verplichtingen gelden voor de krachtigste GPAI-modellen die een 'systemisch risico' vormen:

Niveau
Beschrijving
Nalevingsniveau

Basisrisico

Modellen die voldoen aan de GPAI-definitie

Beperkte transparantieverplichtingen

Systemisch risico

GPAI-modellen met een grote impact die een systemisch risico vormen, worden voorlopig geïdentificeerd op basis van de cumulatieve hoeveelheid rekenkracht die wordt gebruikt voor training (met een kracht groter dan 1025 floating point-bewerkingen).

Een model kan ook in deze categorie worden ingedeeld op basis van een besluit van de Commissie dat een general-purpose AI-model capaciteiten of impact heeft die gelijkwaardig zijn aan de bovenstaande.

Significante verplichtingen

Risico’s van niet-naleving

Niet-naleving van de AI Act kan leiden tot aanzienlijke boetes, hoewel de meeste verplichtingen voor hoog risico systemen, ingaan vanaf aug 2026. Naast financiële sancties moeten bedrijven voldoen om hun reputatie en operationele integriteit te behouden. Het niet handelen kan leiden tot aanzienlijke financiële en reputatieschade.

Boetes voor niet-naleving

De straffen zijn aanzienlijk. Een organisatie kan een boete krijgen van maximaal €35 miljoen of 7% van zijn wereldwijde jaaromzet voor het overtreden van verboden AI-systeemvereisten. Niet-naleving van hoog-risico AI-systeemvereisten kan resulteren in een boete van maximaal €15 miljoen of 3% van de wereldwijde jaaromzet.

Wanneer treedt de wet in werking?

De EU AI-wet trad in werking op 1 augustus 2024, maar de nalevingsverplichtingen zullen in fasen van kracht worden over meerdere jaren. Organisaties moeten bijvoorbeeld binnen zes maanden (1 februari 2025) verboden AI-systemen uitfaseren en binnen een jaar (2 augustus 2025) voldoen aan de meeste GPAI-verplichtingen..

Voorbereiding op de EU AI Act

Overweeg de volgende acties:

  1. Maak een inventarisatie van alle AI-systemen. 
  2. Beoordeel en categoriseer de AI-systemen om hun risicoclassificatie te bepalen. 
  3. Begrijp de positie van de organisatie in de AI-waardeketen en de bijbehorende nalevingsverplichtingen. 
  4. Ontwikkel en voer een plan uit om naleving te waarborgen, inclusief verantwoordings- en governancekaders, risicobeheer- en controlesystemen.
     

Rollen en functies voor naleving

Hoewel de EU AI Act geen specifieke functies verplicht stelt, zoals een AI-officer, raden wij organisaties aan om AI-boards op te richten die bestaan uit experts op het gebied van risico, naleving, IT en op juridisch vlak. Deze multidisciplinaire boards kunnen de diverse uitdagingen van AI-regelgeving aanpakken. De noodzaak van gecentraliseerde inventarissen en risicobeoordelingen benadrukt het belang van een gecoördineerde aanpak.

Hoe beïnvloedt de EU AI-wetgeving u?

Ontdek de belangrijkste elementen van de wet en de nalevingsverplichtingen.

Toekomstige roadmap en proactieve maatregelen

Om voorop te blijven lopen bij toekomstige regelgeving, moeten Nederlandse bedrijven een multidisciplinaire aanpak hanteren en hun bestaande AI-systemen grondig inventariseren. Ze moeten bestaande frameworks en governance-structuren benutten om hiaten te identificeren en duurzame oplossingen te implementeren. Deze proactieve houding zorgt voor langdurige naleving en operationele veerkracht.


Samenvatting

De EU AI Act biedt zowel uitdagingen als kansen voor Nederlandse bedrijven. Door de regelgeving te begrijpen, grondige inventarisaties uit te voeren en een multidisciplinaire aanpak te hanteren, kunnen bedrijven naleving waarborgen en innovatie stimuleren. Naarmate het regelgevingslandschap evolueert, zullen geïnformeerd en proactief blijven de sleutel tot succes zijn.


Over dit artikel

Lees ook

De impact van de EU AI Act: Responsible AI en inzichten van de EU AI Barometer

Ontdek hoe de EU AI Act en het Responsible AI Framework bedrijven verplichten tot technologische en ethische training, risicobeheer en multidisciplinaire samenwerking. Leer hoe organisaties zich kunnen aanpassen aan de nieuwe AI-regelgeving.

Nederland blijft achter als AI-early-adopter ten opzichte van andere Europese landen

AI Barometer toont grote verschillen tussen Europese landen: dit draagt bij aan een langzamere adoptiesnelheid en gemiste kansen.

Wat betekent de AI Act voor mijn organisatie?

Welke acties moeten organisaties ondernemen om te voldoen aan de AI Act?