De AI Act is aangenomen

Op 13 maart 2024 is de Artificial Intelligence Act aangenomen door het Europees Parlement. Dit is het allereerste wettelijke kader voor AI dat AI-ontwikkelaars en gebruikers eisen en verplichtingen oplegt met betrekking tot specifieke toepassingen van AI. Het is een EU Verordening en zodoende van toepassing in alle EU-lidstaten (rechtsgevolgen zijn automatisch en uniform bindend in alle nationale wetgevingen). De regulering heeft een grote impact op hoe je als organisatie omgaat met AI.

Download de infographic voor een weergave van de gevolgen van de AI Act voor uw organisatie:

Wat betekent de AI Act voor organisaties?

De AI Act heeft een flink aantal vereisten waaraan organisaties moeten voldoen. Echter, welke eisen specifiek gelden veschilt per systeem. Er wordt een risico-gebaseerde aanpak gehanteerd, waarbij wordt gekeken naar het risico-niveau van een systeem, in combinatie met de rol die de organisatie inneemt. Daarnaast zijn er een aantal AI systemen verboden, en is er een lijst opgesteld met systemen uit sectoren die automatisch als hoog-risico beschouwd worden. Ook zijn er specifieke regels voor AI-categorieën met een hoog risico en specifieke regels voor GenAI en General Purpose AI models (GPAI). In latere blogs zullen wij dieper ingaan op de verschillende aspecten van de AI Act. Voor nu wordt hieronder kort toegelicht wat de belangrijkste componten betekenen voor uw organisatie.

Aanbieders van AI-systemen moeten aan de meeste regels voldoen

De AI Act maakt onderscheid tussen onder andere aanbieders, uitvoerders, importeurs en distributeurs bij de inzet van AI-systemen. Aanbieders van AI-systemen, ofwel degene die het AI-systeem ontwikkelt om zelf te gebruiken of om aan te bieden aan andere organisaties, zullen aan de meeste regels moeten voldoen, terwijl voor de andere rollen minder strenge eisen gelden. Maar: uitvoerders, distribiteurs, importeurs of andere derde partijen worden automatisch aanbieders van AI-systemen voor de wet als zij het AI-systeem substantieel aanpassen of het systeem onder hun eigen (handels)naam op de markt brengen.

Hoog-risico AI-systemen worden streng gereguleerd

De strengste verplichtingen van de AI Act gelden voor aanbieders van hoog-risico AI-systemen, maar wanneer zijn AI-systemen eigenlijk hoog-risico? AI-systemen zijn hoog risico als:

1. De AI-systemen als veiligheidscomponent dienen in specifieke eerdere Europese wetgeving (Annex II van de AI Act) waarbij een conformity assessment door een derde partij verplicht is (denk bijvoorbeeld aan kinderspeelgoed, boten, liften etc.). Of:
2. als de AI-systemen gebruikt worden binnen een bepaald gebied (Annex III). Voorbeelden zijn kritieke infrastructuur, biometrische identificatie, en toegang tot essentiële publieke en private diensten, zoals uitkeringen en hypotheken. Hierbij geldt dat AI-systemen geen hoog-risico zijn als het AI-systeem een beperkte procedurele taak heeft, enkel menselijke activiteit beoordeelt of verbetert, beslissingspatronen opspoort of voorbereidende taken uitvoert.

Daarnaast worden AI-systemen altijd als hoog-risico beschouwd als ze profielen van personen opstellen om verschillende aspecten van iemands leven te beoordelen, zoals werkprestaties, economische situatie, gezondheid, voorkeuren, interesses, betrouwbaarheid, gedrag of locatie.

Voor deze hoog-risico systemen moet voldaan worden aan een lange lijst van voorwaarden, zoals een uitgebreid risicomanagement systeem, data governance om de representativiteit van de data te waarborgen, voldoende menselijk toezicht en strenge eisen betreffende de robuustheid, nauwkeurigheid en veiligheid van het AI-systeem.

GenAI, the new kid on the block, wordt ook gereguleerd door de nieuwe wet

Het oorspronkelijk voorstel voor de AI Act werd in mei 2021 gepubliceerd door de Europese Commissie en repte met geen woord over Generative AI (GenAI).  Nu, drie jaar later, is GenAI niet meer weg te slaan uit het nieuws en worden deze systemen veelvuldig gebruikt voor het samenvatten en schrijven van teksten (ChatGPT), creëren van visualisaties (MidJourney) en sinds kort zelfs het maken van films (Sora). De gepubliceerde AI Act gaat daarom ook GPAI modellen reguleren. Aanbieders van deze modellen moeten:

1. Technische documentatie voor het model opstellen, inclusief informatie over en de resultaten van het trainings- en testproces.
2. Informatie en documentatie opstellen voor downstreamaanbieders die het GPAI-model in hun eigen AI-systeem willen integreren, zodat zij de mogelijkheden en beperkingen begrijpen en in staat worden gesteld om aan de richtlijn te voldoen.
3. Een beleid opstellen om verantwoord om te gaan met auteursrecht.
4. Een voldoende gedetailleerde samenvatting publiceren over de data die is gebruikt voor het trainen van het GPAI-model.

Binnen de categorie GPAI wordt nog onderscheid gemaakt tussen GPAI en GPAI met systeemrisico (bijvoorbeeld in het geval van modellen met zeer grote rekenkracht). Voor GPAI-modellen met systeemrisico gelden aanvullende eisen met betrekking tot onder anderen modelevaluaties en cybersecurity.

Ons advies aan alle organisaties

De AI Act treedt in werking 20 dagen na de publicatie in het Publicatieblad. Het zal 24 maanden na de inwerkingtreding volledig van toepassing zijn, met een geleidelijke aanpak, waarbij de eerste maatregelen na 6 maanden toepasbaar zijn. Daarom is ons advies om nu actie te ondernemen en inzichtelijk te maken wat voor veranderingen / aanpassingen op organisatie-niveau moeten worden gedaan. Hiervoor hebben wij een AI Act Readiness assessment ontwikkeld. Op basis van ons AI Act Control Framework helpen wij organisaties bij het maken van een inschatting van de huidige situatie. Daarnaast geeft deze methodologie een overzicht van AI Act-gerelateerde risico’s voor uw organisatie en ondersteunt deze het bij het opstellen van een plan om binnen de beperkte tijd compliant te worden met de AI Act.

In latere blogs / artikelen zullen wij dieper ingaan op de consequenties van de AI Act en mogelijke praktische oplossingen voor organisaties uit verschillende sectoren. Voor meer informatie of vragen neem gerust contact op met Jochem Dogger of Robert Kreuger uit ons Data Ethics & Regulations team.