Op 1 augustus 2024 is de AI Act (AIA) van kracht, 20 dagen na de opname in het Publicatieblad van de Europese Unie op 12 juli. De AIA biedt een uniform rechtskader voor de ontwikkeling, het op de markt brengen, het in gebruik stellen en het gebruik van AI-toepassingen in Europa.
Met deze baanbrekende verordening neemt Europa internationaal de voortrekkersrol voor de duurzame ontwikkeling van betrouwbare en mensgerichte AI, waarbij veiligheid, gezondheid en fundamentele rechten centraal staan. Europa wil dat haar burgers de vruchten kan plukken van AI, maar wil hen tegelijk beschermen tegen de belangrijkste gevaren.
De bestaande wetgeving blijft van kracht; het doel van de AIA is om specifieke regels voor te schrijven en zo een verhelderende aanvulling te zijn. De AIA en de Algemene Verordening Gegevensbescherming (AVG) moeten dus samen gelezen en toegepast worden.
Transparantie, vertrouwen en draagvlak
Een kernbegrip binnen de AIA is transparantie. De bijna universele transparantieverplichtingen moeten ervoor zorgen dat burgers zich ervan bewust zijn wanneer ze AI gebruiken of ermee te maken hebben. Dit moet het vertrouwen in AI versterken en het draagvlak voor de technologie groter maken, zodat innovatie, investeringen en effectief gebruik in de EU gestimuleerd kunnen worden. Werkgevers krijgen de verplichting om hun medewerkers verantwoord op te leiden over AI en hun AI-geletterdheid te versterken.
Burgers worden ook beschermd door bijkomende rechten, namelijk het recht:
- om klacht neer te leggen bij een markttoezichthouder;
- op toegang tot informatie;
- op een uitleg wanneer beslissingen worden gebaseerd op een hoog risico AI-systeem.
Een risicogebaseerde aanpak
De AIA vertrekt vanuit een risicogebaseerde aanpak. Op basis van de ernst en de omvang van de risico’s zijn er andere voorwaarden en verplichtingen van toepassing. Zo wil Europa de administratieve en financiële lasten beperken voor bedrijven en meer specifiek de KMO’s.
Onaanvaardbaar risico
AI-systemen die een onaanvaardbaar risico met zich meebrengen, worden verboden.
Voorbeelden zijn sociale kredietscoring (zoals bv. in China), de ongerichte aanleg van gezichtsherkenningsdatabanken, emotieherkenning op het werk of op school, gedragsmanipulatie en systemen die kwetsbaarheden van bepaalde groepen misbruiken (bv. minderjarigen of mensen met een beperking). Ook predictive policing (voorspellen dat iemand een misdrijf zal begaan) en publieke ordehandhaving op basis van real-time biometrische identificatie wordt, op uitzonderingen na, verboden. Al deze systemen moeten binnen de zes maanden van de markt worden gehaald.
Hoog risico
Systemen die een aanzienlijk gevaar inhouden voor veiligheid, welzijn, milieu, maatschappij of grondrechten, worden strikt gereguleerd.
Het gaat hier zowel om de integratie van AI in producten zoals medische toestellen, voertuigen en speelgoed, als om het gebruik van AI in het beheer van kritieke infrastructuur, bank- en verzekeringsdiensten, ordehandhaving, justitie, opleiding en personeelsbeheer.
Voor deze systemen geldt er een hele lijst aan eisen: conformiteitsbeoordelingen, risicobeheer, kwaliteitsgaranties, data governance, registratie en transparantie in de vorm van technische documentatie en gebruiksinstructies. Ook menselijk toezicht wordt verplicht: een expert moet de goede werking van het systeem opvolgen, ontwikkelingen kunnen herroepen of stopzetten en beslissingen kunnen uitleggen.
Een concreet voorbeeld is het gebruik van AI voor het gericht analyseren en filteren van vacatures en het beoordelen van kandidaten. Als je AI wil inzetten om op een gelijkaardige manier aan personeelsbeheer te doen, dan moet het nodige sociale overleg plaatsvinden en moet je als werkgever de betrokken werknemers duidelijk informeren.
Beperkt risico
Voor systemen met een beperkt risico gelden er enkel transparantieverplichtingen. Het gebruik van een AI-chatbot, AI-gegenereerd geluid en deepfakes moeten duidelijk herkenbaar zijn voor de eindgebruiker.
Minimaal of geen risico
Als er weinig of geen risico’s zijn, dan gelden er ook geen verplichtingen. Denk hierbij aan AI die wordt gebruikt in spamfilters of in de context van videogames. De meeste bestaande AI valt onder deze categorie.
General purpose AI
Tot slot is er nog de general purpose AI (GPAI): AI die uiteenlopende taken kan uitvoeren en vaak ook adaptief is. Denk hiermee aan de grote AI-modellen zoals ChatGPT, die in meer en meer systemen worden geïntegreerd. Hiervoor is het moeilijk te voorzien waartoe deze AI allemaal in staat zal zijn. Alle GPAI-model providers moeten voorzien in documentatie en gebruikersinstructies, copyright respecteren en de gebruikte trainingscontent samenvatten. Voor gratis en open source GPAI volstaat de samenvatting en het naleven van copyright. Als er systemische risico’s zouden verbonden zijn aan GPAI, dan gelden bijkomende verplichtingen zoals modelevaluaties, testing, cybersecurity en het opvolgen en rapporteren van incidenten.
Boetes
Verschillende autoriteiten op Europees niveau en nationaal niveau kunnen overtredingen sanctioneren. Dit kan, naargelang de ernst van de overtreding, oplopen tot maximaal 35 miljoen euro of 7% van de jaaromzet.
Rol van de lokale besturen
De AIA legt voorwaarden en verplichtingen op naargelang de rol die je ten opzichte van AI opneemt. Gemeenten zullen over het algemeen het vaakst optreden als gebruiksverantwoordelijke (deployer): een natuurlijke of rechtspersoon die een AI-systeem onder eigen verantwoordelijkheid gebruikt. Je bent dan verantwoordelijk voor het gebruik binnen de organisatie.
Wanneer je een eigen AI-systeem op de Europese markt brengt of een generatief AI-model ontwikkelt, dan treed je op als aanbieder (provider). Dit is ook het geval als je een AI-systeem verder laat ontwikkelen en in gebruik stelt onder eigen naam. Voor deze providers gelden de zwaarste verplichtingen.
Hoe kun je je voorbereiden?
- Maak een overzicht van de AI-toepassingen in de organisatie.
Beoordeel per systeem:
-
- Is de organisatie aanbieder of gebruikersverantwoordelijke?
- In welke risicocategorie valt het systeem?
- Je kunt hiervoor de EU AI Act Compliance checker van het Future of Life Institute gebruiken.
- Neem actie:
- Onaanvaardbaar risico? Zorg ervoor dat deze toepassingen binnen de 6 maanden stopgezet worden.
- Hoog risico?
- Registreer deze toepassingen in de openbare Europese databank.
- Voer een FRIA uit (Fundamental Rights Impact Assessment). Het AI-Bureau van de Europese Commissie voorziet nog een sjabloon hiervoor.
- Hiervoor krijg je als openbaar bestuur 6 jaar de tijd om volledig in orde te zijn.
- Beperkt risico? Zorg ervoor dat je de eindgebruiker duidelijk informeert.
- Leid personeel op en werk aan hun kennis. De bedoeling is hen AI-geletterd te maken. Aan deze verplichting moet je binnen de 6 maanden voldoen.
- Als je teksten publiceert die door AI zijn gemaakt, moet je dit vermelden, tenzij er nog een menselijke of redactionele tussenkomst is.
Timing: graduele toepassing
De AIA zal vanaf nu stapsgewijs in werking treden.
- Binnen 3 maanden (01/11/2024): oprichting van nationale toezichthouders.
- Na 6 maanden (01/02/2025): verboden systemen zijn van de markt, de medewerkers zijn getraind.
- Na 12 maanden (01/08/2025): transparantievereisten rond algemene AI zijn van kracht.
- Na 24 maanden (01/08/2026): de AIA is volledig van toepassing.
Dat wil niet zeggen dat alle onduidelijkheden rond AI al de wereld uit zijn. De OESO-definitie die wordt gehanteerd, maakt namelijk niet glashelder wat AI wel en niet is. In de komende 6 maanden zullen er richtlijnen worden uitgevaardigd die meer klaarheid zullen scheppen, o.a. door het AI-Bureau binnen de Europese Commissie. De bredere formuleringen maken de regels van de AIA adaptief, zodat ze niet verouderd geraken door de razendsnelle AI-ontwikkelingen.
Gaandeweg zal ook de rechtspraak zich ontwikkelen.
Meer lezen: https://artificialintelligenceact.eu/
