Blog 7 - Doorbraak in regulering van Artificiële Intelligentie: de AI Verordening

AI, Algoritmen, digitaal
Blog 7   AI Act

22 februari 2024 (geüpdate op 5 juni 2024)

De Europese Raad heeft op 21 mei 2024 definitief groen licht gegeven voor de Artificiële Intelligentie Verordening (hierna: AI Act). De AI Act is daarmee de eerste vorm van (risicogebaseerde) regelgeving ten aanzien van kunstmatige intelligentie in de EU en richt zich onder andere op ontwikkelaars, distributeurs en gebruikers van AI-systemen.

Dat zijn systemen die bijvoorbeeld worden ingezet voor voorspellingen, classificaties en analyses. De potentiële impact hiervan voor overheden en het bedrijfsleven die werken met AI-systemen is groot. In deze blog vertellen we je graag wat de belangrijkste verplichtingen zijn, hoe dit je als organisatie raakt en welke stappen je nu alvast kunt zetten om in de toekomst te voldoen.

Achtergrond

Met de komst van de AI Act worden burgers en bedrijven in de EU beter beschermd tegen onverantwoord gebruik van AI. Potentiële risico’s die gepaard gaan met het gebruik van AI-systemen worden zoveel mogelijk gemitigeerd, bijvoorbeeld door eisen te stellen aan risicovolle toepassingen en basisafspraken te maken over de werking hiervan. Transparantie over de wijze waarop en met welke techniek AI-systemen tot stand zijn gekomen en hoe deze worden gebruikt speelt daarbij een belangrijke rol. Met de komst van een Europees register voor hoog risico AI-systemen wordt hier ook ruchtbaarheid aan gegeven. Tegelijk biedt de AI Act ook ruimte om de mogelijkheden van AI zoveel mogelijk te benutten, bijvoorbeeld in de vorm van een gereguleerde sandbox voor innovatieve AI. Hiermee wordt geprobeerd om zowel de economische kansen van AI te benutten als de publieke waarden zoveel mogelijk te waarborgen. De verantwoorde ontwikkeling van AI krijgt hierdoor een belangrijke impuls.

Risicogebaseerde aanpak

De AI Act gaat uit van een risicogebaseerde aanpak. Dit houdt in dat afhankelijk van het domein waar deze ingezet wordt, een bepaalde risicocategorie en daarbij behorende set aan regels gelden. In totaal kent de verordening drie risiconiveaus: onacceptabel, hoog en laag. Het uitgangspunt hierbij is dat hoe groter het risico, des te strenger de regels zijn die hiervoor gelden.

Voor het risiconiveau ‘onacceptabel’ (onwenselijke AI-toepassingen) geldt dat deze verboden zijn. Hierbij kan gedacht worden aan AI-systemen die gebruikt worden voor social scoring. Dit zijn gevallen waarin een score verbonden wordt aan individuen gebaseerd op sociaal gedrag, socio-economische status of persoonlijke kenmerken. Het verbod geldt ook voor systemen die gebruik maken van gegevens die hierop lijken (zogeheten proxies).

De verordening richt zich met name op ‘hoog risico’-AI-systemen. Dat zijn toepassingen die worden ingezet in het domein van bijvoorbeeld kritieke infrastructuur, opleidingen en trainingen en toegang tot het onderwijs. Voor dergelijke systemen verplicht de AI Act onder meer tot het:

  • inrichten van een risico- en kwaliteitsmanagementsysteem (bijvoorbeeld ISO42001);
  • uitvoeren van een impact assessment op mensenrechten (bijvoorbeeld IAMA);
  • registreren in een Europees (algoritme)register en eigen administratie;
  • zorgdragen voor een goede data governance;
  • opstellen van technische documentatie;
  • implementeren van loggingsmogelijkheden en bewaartermijnen;
  • zorgdragen voor voldoende transparantie;
  • inrichten van 'human oversight';
  • treffen van beveiligingsmaatregelen;
  • uitvoeren van een conformiteitsbeoordeling.

Daarnaast wordt in de AI Act specifiek aandacht gegeven aan General Purpose AI-Systemen en Foundation-modellen. Aanbieders van chatbots, deepfake technieken of generatieve AI-systemen zoals het populaire ChatGPT moeten er onder andere voor zorgen dat het voor gebruikers duidelijk is waar generieke AI-systemen voor bedoeld zijn en waarvoor deze (beter) niet ingezet kunnen worden. Daarnaast geldt dat het voor eindgebruikers duidelijk moet zijn dat zij met AI communiceren of dat bepaalde content AI-gegenereerd is. 

Voor AI-systemen die kwalificeren als risiconiveau laag gelden geen extra verplichtingen. Het is echter wel verplicht om bij het gebruik van dergelijke systemen verslaglegging bij te houden van de risicobeoordeling. Dit verslag bevat dan ten minste een afweging en toelichting over de vraag waarom een AI-systeem wel of geen ‘hoog risico'-systeem is. Verder geldt dat men verplicht is om transparant te zijn over de content die gegenereerd is door een AI-systeem.

Impact en voorbereiding

De potentiële impact van deze verordening op organisaties in zowel de publieke als private sector is groot. Zo valt in de definitieve tekst onder meer te lezen dat AI-systemen die (semi-)publieke organisaties gebruiken bij het toekennen van bepaalde voor- of nadelen aan burgers als hoog risico classificeren. Dit betekent dat het veel van de AI-systemen die in gebruik zijn in de publieke sector als hoog risico gekwalificeerd zullen worden. Ook AI-systemen die worden gebruikt bij bijvoorbeeld opsporing vallen in deze categorie.

Op het moment dat je als organisatie door deze wetgeving geraakt wordt is het belangrijk om zicht te hebben op de AI-systemen die in gebruik zijn en welke risico’s en verplichtingen hiermee gepaard gaan. Wil je goed voorbereid zijn op de komst van de AI act, dan zijn er op dit moment zeker drie stappen die je nu al kunt zetten.

Stap 1. Informatie verzamelen en vastleggen

Start met het in kaart brengen welke algoritmen en AI-systemen er in jouw organisatie gebruikt worden. Verzamel vervolgens de benodigde informatie over deze algoritmen en stel vast wat het bijbehorende risiconiveau is (onacceptabel, hoog of laag). Relevante informatie die daarbij vastgelegd is kun je dan in het kader van transparant gebruik van AI publiceren het eigen of landelijke algoritmeregister.

Stap 2. Maak duidelijke afspraken

Na het inventariseren van AI-systemen en algoritmen is de volgende stap om afspraken te maken over het (door)ontwikkelen en het inkopen van AI. Leg deze afspraken vervolgens vast in een werkwijze en maak deze onderdeel van je algoritme governance. Hierbij kan aansluiting gezocht worden bij bestaande structuren zoals voor IT, data, privacy en/of informatiebeveiliging.

Stap 3. Risico- en kwaliteitsbeheer 

Tot slot kun je naast het inventariseren en maken van goede afspraken een start maken met de inrichting van een AI-managementsysteem. Om de risico’s van het gebruik van AI-systemen zoveel mogelijk te beheersen en de kwaliteit hiervan te bewaken kan aansluiting gezocht worden bij internationale standaarden zoals de ISO-normen. Een voorbeeld hiervan is de ISO/IEC 42001-norm, die ervoor moet zorgen dat AI-systemen op een verantwoorde manier ontwikkeld en gebruikt worden. 

Vandaag aan de slag

De AI Act treedt naar verwachting in het tweede kwartaal van 2024 in werking. Het verbod op onacceptabele AI gaat al zes maanden daarna in. Voor General Purpose AI en de daarbij behorende transparantieverplichtingen geldt een termijn van anderhalf jaar. Voor overige AI-toepassingen geldt een overgangstermijn van één tot twee jaar.  Dit betekent dat iedereen die met AI werkt vanaf het tweede kwartaal van 2026 zal moeten voldoen aan de vereisten uit de AI Act. Organisaties doen er goed aan om te starten met  het in kaart brengen van (vormen van) AI-systemen en algoritmes die reeds in gebruik zijn of momenteel ontwikkeld worden. Het ligt voor de hand om hier dan vervolgens duidelijke beheer- en managementafspraken over te maken en hiervoor een AI-managementsysteem in te richten.

Meer vragen over de AI Act? Of organisatiehulp nodig om aan de slag te gaan met het inventariseren, registreren en het borgen van kwaliteit van AI-systemen? Neem dan contact op met een van onze adviseurs. 

Ook vroegen we aan ChatGPT, een LLM-model van OpenAI, om uit de definitieve tekst van de AI Act de waarde en risico’s van AI samen te vatten. Het antwoord ziet er als volgt uit:

“Artificiële intelligentie (AI) is een snel evoluerende reeks technologieën die bijdragen aan een breed scala van economische, milieu- en maatschappelijke voordelen over het gehele spectrum van industrieën en sociale activiteiten. Door voorspellingen te verbeteren, operaties en middelenallocatie te optimaliseren, en digitale oplossingen te personaliseren die beschikbaar zijn voor individuen en organisaties, kan het gebruik van kunstmatige intelligentie cruciale concurrentievoordelen bieden aan bedrijven en sociale en milieuvriendelijke resultaten ondersteunen.

 Tegelijkertijd kan kunstmatige intelligentie, afhankelijk van de omstandigheden met betrekking tot de specifieke toepassing, het gebruik en het niveau van technologische ontwikkeling, risico's genereren en schade veroorzaken aan openbare belangen en fundamentele rechten die worden beschermd door het Unierecht. Dergelijke schade kan materieel of immaterieel zijn, inclusief fysieke, psychologische, maatschappelijke of economische schade.”