De AI Act treedt in werking: Hoe blijf je als ondernemer compliant en maak je optimaal gebruik van de mogelijkheden van AI?
De opkomst van kunstmatige intelligentie (AI) brengt veelbelovende innovaties met zich mee, maar ook nieuwe uitdagingen en verantwoordelijkheden. Op 1 augustus 2024 is de AI Act officieel in werking getreden. Deze wetgeving zal de ontwikkeling van AI in Europa drastisch hervormen en heeft directe gevolgen voor jou als ondernemer als je AI-systemen ontwikkelt of gebruikt. De wetgeving wordt gefaseerd ingevoerd en over 2 jaar zal de verordening volledig van toepassing zijn. Wat zijn de belangrijkste aspecten van de AI Act en wat betekent dit voor jou?
Achtergrond van de AI-verordening
De AI Act is ontworpen om een veilige en verantwoorde toepassing van AI-systemen te bevorderen en past in de trend van eerdere Europese regelgeving zoals de GDPR (in Nederland ook wel bekend als: AVG), de Digital Services Act, en de Cyber Resilience Act.
De AI Act richt zich op alle AI-systemen die invloed hebben op mensen in de EU, ongeacht waar deze systemen zijn ontwikkeld of ingezet. Dit betekent je als ondernemer wereldwijd aan deze regels moet voldoen als jouw AI-systemen gebruikt worden door, of impact hebben op, EU-burgers.
Belangrijkste bepalingen AI Act
Allereerst geeft de AI Act een juridische definitie aan verschillende AI-systemen. Voorheen was het vaak moeilijk om een juiste definitie te geven aan het AI-component of systeem. Daarnaast hanteert de AI Act een risicogebaseerde benadering.
Jouw verplichtingen hangen af van het risico dat jouw AI-systeem met zich meebrengt voor de:
- veiligheid,
- beveiliging,
- fundamentele rechten van mensen.
Drie risiconiveaus AI ACT
Verboden AI-systemen
Dit zijn toepassingen die als onaanvaardbaar risicovol worden beschouwd, aangezien ze fundamentele rechten en vrijheden van individuen kunnen schenden. Voorbeelden hiervan zijn AI-systemen die gebruikt worden voor sociale scoring door overheden of commerciële partijen, waarbij personen beoordeeld worden op basis van hun gedrag of andere persoonlijke factoren om toegang tot diensten of rechten te beperken. Ook AI-systemen die mensen op een onrechtvaardige of discriminerende manier beoordelen, zoals op basis van ras, geslacht of sociale status, vallen hieronder.
Dergelijke toepassingen worden beschouwd als in strijd met de waarden van de Europese Unie en zijn daarom volledig verboden onder de AI-verordening (Artificial Intelligence Act). Het verbod is gericht op het waarborgen van fundamentele mensenrechten en het beschermen van individuen tegen onrechtmatige behandeling en onderdrukking door middel van technologie.
Hoog-risico AI-systemen
Dit zijn AI-toepassingen die een significante impact kunnen hebben op essentiële sectoren en daarmee ook op het welzijn en de veiligheid van mensen. Voorbeelden van deze sectoren zijn de gezondheidszorg, waar AI gebruikt kan worden voor diagnose en behandeling; de infrastructuur, zoals verkeers- of energienetwerken; en de arbeidsmarkt, waar AI beslissingen kan nemen over bijvoorbeeld werving, promoties of ontslag. Omdat deze systemen een grote invloed hebben op het leven van burgers, worden er strenge regels opgelegd om risico’s te beheersen en de veiligheid te waarborgen.
Deze nalevingsregels omvatten onder andere:
- een verplicht risicobeheer om potentiële gevaren in kaart te brengen en te minimaliseren;
- transparantie-eisen zodat duidelijk is hoe het systeem tot bepaalde beslissingen komt;
- zorgvuldig beheer van de gebruikte data om ervoor te zorgen dat deze accuraat en betrouwbaar is;
- en sterke cyberbeveiliging om de systemen te beschermen tegen aanvallen en manipulatie.
Het naleven van deze strikte regels is cruciaal om de integriteit en betrouwbaarheid van hoog-risico AI-systemen te waarborgen en ervoor te zorgen dat ze in dienst staan van het publiek belang.
Laag-risico AI-systemen
Dit zijn toepassingen waarbij de impact op de gebruiker en de samenleving als gering wordt beschouwd en waarbij de risico’s voor veiligheid, fundamentele rechten of maatschappelijke schade minimaal zijn.
Voor deze systemen gelden minder strenge regels omdat ze geen direct gevaar opleveren voor de gezondheid of de rechten van mensen. Een belangrijke vereiste voor laag-risico AI-systemen is transparantie: gebruikers moeten op de hoogte worden gesteld dat ze interactie hebben met een AI-systeem. Verder zijn er geen uitgebreide nalevingsverplichtingen zoals bij hoog-risico AI-systemen, waardoor de regels rond gegevensbeheer, risicobeheer en beveiliging veel soepeler zijn. Dit betekent dat deze AI-toepassingen relatief vrij kunnen worden gebruikt, zolang er aan de basisvereiste van transparantie wordt voldaan.
Overige bepalingen AI Act
De AI-systemen met algemene doeleinden, zoals generatieve AI, worden apart behandeld. Deze systemen kunnen een breed scala aan toepassingen hebben en vereisen daarom een aparte benadering.
De AI Act maakt onderscheid tussen commercieel en wetenschappelijk gebruik van AI. Als jouw bedrijf zich richt op wetenschappelijk onderzoek en ontwikkeling, dan ben je grotendeels vrijgesteld van de wetgeving, zolang deze activiteiten niet gericht zijn op commerciële exploitatie.
Open source AI-software valt buiten de AI Act, tenzij deze een hoog-risico vormt of direct interacteert met eindgebruikers.
Wordt jouw AI-systeem buiten een gecontroleerde 'sandbox' omgeving getest, bijvoorbeeld in een (cloud)omgeving? Dan moet je ook aan bepaalde regels voldoen. Dit is vooral van belang wanneer de beoogde toepassing een hoog-risico AI-systeem betreft. In dat geval is een uitgebreid testplan en goedkeuring van de toezichthouder vereist.
Naast AI Act ook nieuwe Richtlijn AI-aansprakelijkheid
De Richtlijn AI-aansprakelijkheid maakt het eenvoudiger om schadevergoeding te claimen voor schade veroorzaakt door het gebruik van AI-systemen. De richtlijn moedigt je als ondernemer dus aan om robuuste veiligheids- en beveiligingsmaatregelen te implementeren om aansprakelijkheid te voorkomen. De combinatie van de AI Act en de Richtlijn AI-aansprakelijkheid zorgt ervoor dat er een uitgebreide regulering is die zowel preventieve als reactieve maatregelen omvat.
Inwerkingtreding AI Act 1 augustus 2024
Op 1 augustus 2024 is de AI Act officieel in werking getreden in de Europese Unie. De verordening stelt duidelijke regels vast om de ontwikkeling en het gebruik van kunstmatige intelligentie binnen de EU te reguleren.
Strenge regels voor risicovolle AI-toepassingen
De AI Act zorgt ervoor dat toepassingen van AI die aanzienlijke risico’s met zich meebrengen, zoals AI-systemen in de financiële dienstverlening of gezondheidszorg, strikte nalevingsregels krijgen. Ook wordt het gebruik van toepassingen met onaanvaardbare risico’s, zoals sociale scoring, verboden. Voor AI-systemen die met burgers communiceren (zoals chatbots) of content genereren (zoals deepfakes) moeten gebruikers duidelijk geïnformeerd worden dat ze te maken hebben met AI.
De implicaties van nieuwe EU-wetgeving, waaronder de AI Act, wordt snel duidelijk. Zo heeft Apple aangekondigd dat haar nieuwe AI-software ‘Apple Intellegence’, een van de belangrijkste ontwikkelingen van het bedrijf, nog niet in de EU zal worden uitgerold. Apple wijst naar de onzekerheden die gepaard gaan met de Europese wetgeving voor digitale diensten. Ook rolt Meta (Facebook) haar nieuwe AI-model ‘Llama’ niet uit in de EU vanwege de ontwikkelingen in Europese regelgeving.
Gelijk speelveld en innovatie stimuleren
De AI Act zorgt voor een gelijk speelveld in de EU, omdat niet alleen Europese bedrijven, maar ook internationale bedrijven die AI-oplossingen aanbieden in Europa, aan deze regels moeten voldoen. Dit maakt de Europese markt aantrekkelijker voor betrouwbare en veilige AI-producten.
Vanuit de overheid wordt positief gereageerd op de komst van de AI Act. Zo zegt de minister van Economische Zaken dat hij tevreden is met de balans tussen strenge regels voor risicovolle systemen en de vrijheid voor ondernemers met laag-risico systemen om te blijven innoveren. De staatssecretaris van Digitalisering benadrukt daarnaast dat de wetgeving ervoor zorgt dat burgers vertrouwen kunnen hebben in AI-systemen, ook wanneer deze een directe impact hebben op hun leven.
Stapsgewijze invoering van de AI Act
De AI-verordening wordt stapsgewijs ingevoerd om ontwikkelaars tijd te geven hun systemen aan de nieuwe eisen te laten voldoen.
- Februari 2025: Verplichte naleving voor verboden AI-systemen.
- Augustus 2025: Eisen voor algemene AI-toepassingen (zoals generatieve AI).
- Augustus 2026: Volledige naleving voor hoog-risico toepassingen en transparantieverplichtingen.
- Augustus 2027: Hoog-risico AI-producten moeten volledig voldoen aan de wet.
- Augustus 2030: Eisen voor AI-systemen bij overheidsorganisaties die voor 2026 op de markt zijn gebracht.
De nationale toezichthouders, samen met de Europese Commissie, houden toezicht op de naleving van deze regels, vooral voor de meer risicovolle systemen.
Meer weten over de eisen van de AI Act en de kansen die het jou als ondernemer biedt?
De inwerkingtreding van de AI Act markeert een belangrijke stap in de regulering van AI in Europa. Ontwikkel of gebruik je als ondernemer AI-technologieën, dan brengt de AI Act kansen om AI op verantwoorde wijze te ontwikkelen, met aandacht voor veiligheid en betrouwbaarheid. Hoewel grote Amerikaanse bedrijven deze wetgeving zien als een obstakel van de ontwikkeling van AI, biedt het kansen voor Europese bedrijven. Door de risicogebaseerde benadering kunnen ondernemers met laag-risico toepassingen blijven innoveren, terwijl strikte regels gelden voor risicovolle AI-systemen. Het is voor jou als ondernemer essentieel dat je nu al voorbereidingen treft zodat je tijdig voldoet aan de nieuwe eisen en je blijft profiteren van de mogelijkheden die AI biedt.
Wil je meer weten over de AI Act of hoe je op kunt voldoen aan de nieuwe regels? Neem gerust contact met mij op of een van de overige ondernemingsrecht advocaten. We adviseren je graag.