Doel AI-verordening
De AI-verordening stelt eisen aan de ontwikkeling en het gebruik van AI binnen de EU. De AI-verordening heeft ten doel de werking van de interne markt te verbeteren door een uniform rechtskader vast te stellen, met name voor de ontwikkeling, het in de handel brengen, het in gebruikstellen, en het gebruik van AI-systemen in de EU. Daarnaast is het streven om de introductie van mensgerichte en betrouwbare AI te bevorderen, te zorgen voor een hoge mate van bescherming van de gezondheid, de veiligheid te beschermen tegen de schadelijke effecten van AI-systemen in de EU, als ook innovatie te ondersteunen.
Voor wie geldt de AI-verordening?
De AI-verordening geldt voor zowel publieke als private partijen. De AI-verordening is rechtstreeks van toepassing en beschrijft de rechten en plichten van ontwikkelaars/ aanbieders en gebruikers van AI-systemen in de hele EU. Het maakt daarbij niet uit of de AI-systemen binnen of buiten de EU worden ontwikkeld.
Gefaseerde inwerkingtreding
Vanaf de inwerkingtreding op 1 augustus 2024, wordt de AI-verordening gefaseerd van kracht. De AI-verordening is in principe volledig van toepassing per 2 augustus 2026. Voor sommige onderdelen geldt de regelgeving echter al eerder, bijvoorbeeld voor het verbod op AI-systemen die onaanvaardbare risico’s vormen (na zes maanden) en praktijkcodes (na negen maanden) en het aanwijzen van nationale toezichthouders (na 1 jaar). Of soms later, zoals verplichtingen voor hoog risico AI-systemen in bestaande gereguleerde producten (2 augustus 2027) of verplichtingen voor AI-systemen gebruikt door overheidsorganisaties die reeds voor inwerkingtreding in gebruik waren (2 augustus 2030).
Verschillende risico’s & verplichtingen
Onder de AI-verordening zijn de risico’s van AI-systemen onderverdeeld in drie niveaus: onaanvaardbaar, hoog risico en laag of minimaal risico. Onaanvaardbaar risico omvat systemen die een duidelijke bedreiging vormen voor de veiligheid, rechten of vrijheden van mensen en daarom verboden zijn, zoals sociale scoring door overheden of speelgoed dat gebruikmaakt van spraakassistentie die gevaarlijk gedrag aanmoedigt. Hoog risico betreft toepassingen die invloed hebben op essentiële aspecten van het leven, zoals gezondheidszorg en onderwijs, en vereisen strenge naleving en toezicht. De AI-verordening bevat verder transparantieverplichtingen voor aanbieders en gebruiksverantwoordelijken van bepaalde AI-systemen die voor directe interactie met natuurlijke personen zijn bedoeld, zoals chatbots, of AI-systemen die content genereren. Laag of minimaal risico wordt niet duidelijk gedefinieerd in de AI-verordening. Tot slot zijn er in de AI-verordening regels opgenomen voor AI-modellen voor algemene doeleinden waar bijvoorbeeld grote taalmodellen, zoals GPT-4 van OpenAI, onder vallen.
Sancties
De AI-verordening volgt grotendeels de logica van productveiligheidsregelgeving. Dat betekent onder meer dat niet-veilige (verboden) AI-systemen of AI-systemen die niet voldoen aan de vereisten van de AI-verordening, niet op de markt mogen worden gebracht en uit de handel kunnen worden genomen en teruggeroepen. Voor de niet-naleving van de bepalingen van de AI-verordening gelden bovendien forse administratieve geldboeten tot maximaal EUR 35 miljoen of indien de overtreder een onderneming is, tot 7% van haar totale wereldwijde jaarlijkse omzet voor het voorafgaande boekjaar, indien dat hoger is.
Begin op tijd met de inventarisatie en implementatie
We raden aan om AI-projecten binnen uw organisatie in detail te beoordelen met oog op de AI-verordening. Meer specifiek dient elke organisatie ervoor te zorgen dat men:
- inzichtelijk heeft welke AI-systemen worden aangeschaft, gebruikt en ontwikkeld;
- analyseert wat de rol van de organisatie zal zijn binnen de AI-verordening (bv. kwalificeert als “gebruiksverantwoordelijke” of mogelijk ook als “aanbieder”), en welke risicocategorie(ën) met welke verplichtingen/eisen van toepassing zijn;
- ervoor zorgt dat de organisatie de vereiste documentatie implementeert onder de AI-verordening;
- inventariseert welke (persoons)gegevens deze AI-systemen gebruiken en waar de gegevens vandaan komen en hoe de gegevens worden gebruikt om het achterliggende model te trainen en hoe men de (cyber)beveiliging waarborgt;
- rekening houdt met de privacyverplichtingen onder de Algemene verordening gegevensbescherming (AVG);
- kritisch kijkt naar de contracten met leveranciers van AI-systemen, AI-modellen en overige AI-tools;
- duidelijke interne (beleids)regels opstelt over het gebruik van AI binnen de organisatie.
Geïnteresseerd?
Houd dan deze pagina in de gaten. Mocht je al advies willen over het kiezen en inrichten van een plan dat het beste past bij jouw onderneming of organisatie? Neem gerust contact op met Heleen Kleinjan en Veerle van den Boomen om de mogelijkheden door te nemen.