“Historisch!” Zo noemt Eurocommissaris Thierry Breton het voorlopige akkoord over de Artificial Intelligence (AI) Act op X. De AI Act moet ervoor zorgen dat AI-systemen die op de Europese markt worden gebracht en in de EU worden gebruikt, veilig zijn en de grondrechten en waarden van de EU respecteren. Een overzicht van de nieuwe regels en hun consequenties.
Wat is de AI Act?
De Artificial Intelligence Act (AI Act) moet in Europa voor meer vertrouwen in AI-systemen zorgen door de veiligheid van gebruikers te waarborgen. Het idee achter de AI Act is om kunstmatige intelligentie te reguleren via een op risico gebaseerde aanpak.
Simpelweg: hoe groter het risico, hoe strenger de regels.
Tegelijkertijd wil Europa innovatie niet tegengaan, maar juist stimuleren. Let wel, dit geldt met name voor innovatie binnen Europa en geïnitieerd door Europese spelers.
Europa is de eerste die regels oplegt aan AI-systemen en -toepassingen. Ze hoopt hiermee – net als bij de AVG – wereldwijd een standaard neer te zetten voor de regulering van AI.
De basis van de AI Act: risicoclassificatie
In de laatste versie van de AI Act worden AI-systemen ingedeeld in 3 risiconiveaus, namelijk:
onacceptabel risico;
hoog risico; of
een beperkt of minimaal risico.
Onacceptabel risico volgens de AI Act
AI-systemen die in de categorie ‘onacceptabel risico’ vallen, worden verboden. Bestaande systemen uit die categorie moeten binnen 6 maanden na de publicatie van de definitieve versie van de AI Act van de markt worden gehaald.
In deze categorie vallen onder meer:
emotieherkenningssystemen op het werk en in het onderwijs;
AI-systemen of -toepassingen die menselijk gedrag manipuleren om zo de vrije wil van gebruikers te omzeilen;
willekeurig scrapen van biometrische gegevens van sociale media of CCTV-beelden om databases voor gezichtsherkenning te creëren (in strijd met onder meer het recht op privacy);
biometrische categoriseringssystemen die gebruikmaken van gevoelige kenmerken (bijv. geslacht, ras, etniciteit, staatsburgerschap, religie, politieke oriëntatie); en
social scoring op basis van gedrag of persoonlijke kenmerken.
Er gelden wel bepaalde uitzonderingen hierop voor AI-systemen die gebruikt worden voor wetshandhaving.
Hoog risico volgens de AI Act
AI-systemen die het stempel ‘hoog risico’ krijgen, moeten aan strenge eisen voldoen om op de Europese markt toegelaten te worden. Zo moeten deze systemen onder meer zorgen dat:
hun risicobeheersing op orde is;
de datasets van hoge kwaliteit zijn;
activiteiten gelogd worden;
er sprake is van een hoog niveau van robuustheid;
gebruikersinformatie duidelijk is;
er menselijk toezicht is; en
de cybersecurity goed ingericht is.
Europa stelt daarnaast een fundamental rights impact assessment (FRIA) verplicht bij het gebruik van AI-systemen met een hoog risico.
In de categorie hoog risico vallen onder andere:
bepaalde kritieke infrastructuren, bijvoorbeeld op het gebied van water, gas en elektriciteit;
medische apparaten;
systemen om de toegang tot onderwijsinstellingen te bepalen of mensen te werven;
bepaalde systemen die worden gebruikt op het gebied van rechtshandhaving, grenscontrole, rechtsbedeling en democratische processen; en
biometrische identificatie-, categoriserings- en emotieherkenningssystemen.
Beperkt of minimaal risico volgens de AI Act
De overgrote meerderheid van AI-systemen valt in deze laatste categorie. Denk aan op AI gebaseerde aanbevelingssystemen of spamfilters. Voor deze systemen gelden enkel (lichte) transparantieverplichtingen. Denk aan een duidelijke vermelding dat de gepubliceerde content door AI is gegenereerd, zodat gebruikers weloverwogen beslissingen kunnen nemen over het verdere gebruik van het systeem.
Op vrijwillige basis kunnen bedrijven achter dit type systemen er wel voor kiezen om zich aan te sluiten bij gedragscodes.
AI Act & ChatGPT
Afgelopen voorjaar is de AI Act nog aangepast, zodat zogenaamde ‘foundation models’ als ChatGPT ook onder de regelgeving vallen. Deze algemene AI-modellen worden verdeeld in twee categorieën.
De gewone foundation models moeten voldoen aan specifieke transparantieverplichtingen. Voor ‘high impact’ foundation models komen strengere regels. Deze modellen worden namelijk getraind met een grote hoeveelheid gegevens en met geavanceerde complexiteit, waardoor ze meer risico’s met zich meebrengen.
De ‘high impact’ foundation models krijgen niet alleen te maken met transparantieverplichtingen, maar ook met aanvullende verplichtingen. Zoals het beheersen van risico's, het monitoren van ernstige incidenten en het uitvoeren van evaluaties van het model.
Lees ook onze blog ‘Eerste artificial intelligence wetgeving in zicht: ook ChatGPT ontkomt er niet aan’.
Toezicht en handhaving AI Act
Iedere EU-lidstaat moet op nationaal niveau een toezichthouder aanstellen voor de handhaving van de AI Act. Daarnaast wordt er binnen de EU een instantie opgericht voor kunstmatige intelligentie, die de uitvoering van de regels faciliteert en de ontwikkeling van normen voor AI stimuleert.
De AI Act kent ook een helder boetebeleid. De boetes voor overtredingen van de AI Act worden vastgesteld als een percentage van de wereldwijde jaaromzet van het overtredende bedrijf in het voorgaande boekjaar of een vooraf bepaald bedrag, afhankelijk van welk bedrag hoger is.
Het gaat om € 35 miljoen of 7% van de jaaromzet voor overtredingen in de categorie verboden AI-toepassingen. Het overtreden van verplichtingen uit de AI Act kan leiden tot boetes van € 15 miljoen of 3% en op het verstrekken van onjuiste informatie staan boetes van € 7,5 miljoen of 1,5% van de jaaromzet.
Uiteraard wordt er rekening gehouden met de omvang van het overtredende bedrijf als het aankomt op de proportionaliteit van de boetes. Zo gelden voor startende ondernemingen minder hoge boetebedragen.
Wat is de status van de AI Act?
De overeengekomen tekst zal nu formeel moeten worden aangenomen door zowel het Europese parlement als de raad om officieel EU-wetgeving te worden. Naar verwachting zal dit begin 2024 gebeuren.
Na publicatie van de definitieve wetgevingstekst hebben organisaties 2 jaar de tijd aan de regels te voldoen. Uitzonderingen daargelaten, want systemen die in de categorie ‘onacceptabel risico’ vallen moeten bijvoorbeeld al binnen 6 maanden na publicatie van de markt verdwenen zijn.
Aan de slag met de AI Act?!
Brengt u zelf AI-systemen of -toepassingen op de markt? Dan is het zaak u zo snel mogelijk te verdiepen in de AI Act en de consequenties voor uw systemen te achterhalen.
Maakt uw organisatie gebruik van AI-systemen of –toepassingen? Achterhaal dan in welke risicocategorie deze vallen en of u acties moet ondernemen om de systemen te mogen blijven gebruiken.
Kunt u ondersteuning gebruiken bij de voorbereidingen op de AI Act? Of wilt u weten wat de consequenties van deze wetgeving voor uw organisatie zijn? Neem vrijblijvend contact met ons op via 010 2290 646 of contact@legalz.nl.
Op de hoogte blijven van deze en andere ontwikkelingen?
Abonneert u zich dan op onze maandelijkse nieuwsbrief en ontvang onze blogs automatisch in uw mailbox.