AI verraste de afgelopen jaren iedereen, zo ook beleidsmakers. Omdat AI nu al zo’n grote impact heeft op de samenleving, heeft het Europees Parlement een wet gemaakt om dat te veranderen: De AI Act. De AI Act is een Europese wet die het gebruik van AI, algoritmes en machine learning beperkt en eist dat risico’s voor mens en maatschappij worden geminimaliseerd.
Wat is de AI Act en vanaf wanneer moet eraan worden voldaan?
De AI Act is een Europese verordening die in de EU strenge regels stelt voor alle autonoom handelende computersystemen die beslissingen nemen, content genereren of mensen assisteren. Met de AI Act wil de EU dat mensen en bedrijven kunnen vertrouwen op veilige, transparante, traceerbare, niet discriminerende en milieuvriendelijke AI-systemen die onder toezicht staan van mensen. Naar verwachting zal in 2026 iedereen die met AI werkt aan de eisen moeten voldoen.
Bij overtreding stelt de AI Act hoge boetes. De maximale boete is 40 miljoen, of 7% van uw totale wereldwijde jaaromzet voor het voorafgaande boekjaar, wanneer dit hoger is.
Voor wie geldt de AI Act?
De AI Act is van toepassing op alle sectoren, zoals de gezondheidszorg, overheid, financiën, het onderwijs en entertainment. Het is dus niet beperkt tot een specifieke branche. De nieuwe regels gelden voor iedereen die AI ontwikkelt, inzet of importeert naar de EU en hier verkoopt. Denk aan:
- Producenten van AI-systemen;
- Integrators die AI in eigen softwarediensten opnemen;
- Importeurs die AI van buiten de EU halen;
- Gebruikers die dergelijke diensten inzetten.
Wanneer u gebruik maakt van AI moet u zelf kunnen aantonen dat u aan de regels voldoet en zult u dus helderheid moeten opvragen bij de leverancier.
De risiconiveaus
De AI Act houdt bepaalde verplichtingen voor aanbieders en gebruikers in. Deze verplichtingen zijn afhankelijk van het risico van de AI-toepassing. Bij veel AI-systemen is het risico minimaal, maar alle AI-systemen moeten beoordeeld worden. Hiervoor zijn drie risiconiveaus:
- Onacceptabele risico’s: als een AI iets doet dat in strijd is met Europese fundamentele normen en waarden. In dat geval mag deze niet in de Europese markt worden ingezet. Bijvoorbeeld: gezichtsherkenning in publieke ruimtes en crimineel gedrag voorspellen.
- Hoge risico’s: AI-systemen die een hoog risico vormen voor de gezondheid, veiligheid, grondrechten of het milieu. Deze zijn toegestaan onder strenge voorwaarden. Er moet duidelijk zijn waar de data vandaan komt, menselijk toezicht is vereist en de technische documentatie moet op orde zijn.
- Lage risico’s: AI-systemen die niet onder de hiervoor genoemde categorieën vallen, mogen zonder al te veel problemen de Europese markt op. De AI moet wel transparant zijn, zodat niemand denkt met een mens te maken te hebben. Daarnaast mag de AI niet zelfstandig beslissingen nemen.
Waar moet u volgens de AI Act aan voldoen?
De AI Act stelt de meeste verplichtingen voor AI-systemen in de hoge categorie. Voor deze systemen moet het volgende geregeld zijn:
- Risicomanagementsysteem;
- Systeem van gegevensbeheer;
- Technische documentatie;
- Transparantie;
- Menselijk toezicht;
- Specifiek conformiteitsbeoordeling afgestemd op de kenmerken van de AI.
Voor AI-systemen met een laag risico geldt dat het moet voldoen aan minimale vereisten op het gebied van transparantie. Gebruikers moeten in staat zijn om weloverwogen beslissingen te nemen. Het moet bij de gebruiker duidelijk zijn dan zij met een AI-systeem te maken hebben. Dit geldt onder meer voor AI-systemen die beeld-, audio- of videomateriaal genereren, zoals deepfakes.
Wat betekent de AI Act voor u?
Wanneer u of uw organisatie werkt met AI of algoritmes, of dat overweegt te doen, neemt u dan alvast de volgende stappen:
- Inventariseren: Inventariseer om welke AI het gaat, van welke leverancier de AI is en welke informatie u van hen nodig hebt. Vergeet hierbij ook niet de AI-diensten die werknemers op eigen initiatief hebben aangeschaft.
- Onderzoeken: Onderzoek wat uw rol is en welke verantwoordelijkheden daarbij horen. Beoordeel vervolgens of uw contracten daarop aansluiten. Denk aan aansprakelijkheid, opzegtermijn en mogelijkheden om documentatie op te eisen over werking en dergelijke.
- Evalueren: Evalueer de uitvoer van het AI-systeem. Zorg voor protocollen voor de evaluatie van de uitvoer en maak beleid met betrekking tot periodieke controles.
- Bepaal het risiconiveau van het AI-systeem.
De verhouding tussen de AI Act en de AVG
Het uitgangspunt van de AVG is het grondrecht op gegevensbescherming. Als burger kunt u uw recht uitoefenen tegenover organisaties die uw gegevens verwerken. De AI Act bekijkt AI-systemen als producten en reguleert deze vanuit dit perspectief. Dit betekent dat de veiligheid van het AI-systeem vooraf wordt gecontroleerd. Burgers worden indirect beschermd tegen gebrekkige AI-systemen, maar ze hebben geen directe rol in de AI Act. Ze kunnen hun rechten niet rechtstreeks uitoefenen zoals onder de AVG. Dit is niet per se nodig als ondeugdelijke AI-systemen van de markt worden geweerd en individuen hun rechten onder de AVG kunnen behouden. Met andere woorden, als u vermoedt dat persoonsgegevens worden verwerkt door een gebrekkig AI-systeem, kunt u nog steeds uw rechten uit de AVG uitoefenen. Belangrijk is dat dit alleen geldt voor AI-systemen die persoonsgegevens verwerken. Daarom moet de relatie tussen deze twee verordeningen transparant zijn.
Waarom de AI-Act juist nu zo belangrijk is
Sommige AI-technologieën bestaan al meer dan 50 jaar, maar computers worden steeds sterker en met de enorme hoeveelheid data die vandaag de dag beschikbaar is kan AI steeds meer. Hierdoor heeft AI een grote invloed op de maatschappij. Daarom is het juist geruststellend dat er regels voor kunstmatige intelligentie komen. Het doel is dat mensen en bedrijven in de EU kunnen rekenen op veilige AI-systemen die onder toezicht staan van mensen.
Over Enshore Security
Enshore Security helpt bedrijven bij hun informatiebeveiliging. Het snel wijzigende IT-landschap vraagt om een aanpak met focus op eenvoud. Omdat informatiebeveiliging een doorlopend proces is, moet je het niet te ingewikkeld maken. Vanuit deze gedachte leiden we onze security-professionals op. Wij blijven dichtbij de belangrijkste bedrijfsprocessen om zo tot een hoge kwaliteit van dienstverlening te komen. Vind meer over Enshore Security op security.enshore.nl.