Spring naar content

Over de AI Act

Ondanks dat AI inmiddels een bekende term is, zijn er veel verschillende definities in omloop. We vroegen ChatGPT naar de betekenis van AI:

AI is een tak van de informatica die machines ontwikkelt om taken uit te voeren die normaal menselijke intelligentie vereisen. Dit omvat zaken als leren, redeneren, probleemoplossing, patroonherkenning en besluitvorming. AI-systemen kunnen worden getraind om zelfstandig te leren en zich aan te passen op basis van nieuwe data, zonder expliciete programmering voor elke specifieke taak

Aldus ChatGPT

Om ervoor te zorgen dat AI op een veilige, verantwoorde en betrouwbare manier wordt ontwikkeld én ingezet, heeft de Europese Commissie (Commissie) in 2021 de AI Act voorgesteld. Want AI is niet nieuw, maar juist al jaren een onderdeel van alledaagse toepassingen in onze samenleving, waaronder slimme auto’s. Maar wél bleef AI tot voorkort een verborgen onderdeel van de vele (digitale) producten die het toepassen. De bekendheid van AI onder het grote publiek nam eigenlijk pas in 2022 een vlucht met de komst van ChatGPT. Toch moeten we niet vergeten dat AI in het marketing-landschap al op allerlei manieren wordt ingezet. Denk aan de persoonlijke feeds op social media, systemen achter online advertising (zoals real time bidding) of CRM-systemen die met jouw organisatie meedenken.

Ondanks dat AI veel voordelen kan bieden, schuilt er ook een gevaar in de inzet ervan. Zo kan een verkeerde interpretatie ván of een onterecht vertrouwen ín de technologie impactvolle gevolgen hebben voor gebruikers of burgers. Daarbij kun je denken aan oplichtingspraktijken met deep fakes, de informatiefuik op social media platformen, maar ook de toeslagenaffaire.

Het doel van de AI Act is dan ook om eventuele ‘nieuwe risico’s of negatieve gevolgen voor het individu of de samenleving’ zo veel mogelijk te beperken.. Daarbij moet je naast gebruik door burgers ook denken aan kritieke infrastructuren (zoals ziekenhuizen en energiecentrales) waarbij AI wordt ingezet. De Commissie streeft naar een evenwicht, aangezien het enerzijds innovatie en technologische ontwikkeling wil stimuleren, maar anderzijds het gebruik van technologieën wil laten verlopen in overeenstemming met de waarden en grondrechten van de Europese Unie. 

Hieronder lees je onder meer over de AI Act én wat dit mogelijk voor jou in de praktijk betekent.

Wat regelt de AI Act?

De AI Act wordt in heel Europa van toepassing en stelt regels voor het op de markt brengen en het inzetten van AI. Hiermee worden de maatschappelijk risico’s die autonome AI-systemen met zich meebrengen gereguleerd. De AI Act richt zich ook op de ontwikkeling van AI die mensgericht en betrouwbaar is. 

Als we het hebben over de essentie van de AI Act (voor met name data gedreven marketeers), dan is die wat ons betreft als volgt:

  1. Op welke AI is de AI AI Act van toepassing?
  2. Rollen in de AI-waardeketen
  3. Risico-gebaseerde aanpak en verplichtingen: verboden AI, hoog-risico, laag-risico en zonder systeemrisico. 
  4. Toezicht

1. Op welke AI is de AI Act van toepassing?

Bij AI wordt tegenwoordig al snel gedacht aan generatieve AI, maar de regels gaan over meer dan alleen ChatGPT, GitHub/Microsoft Copilot of Gemini. De verordening gaat in de kern over technieken die op een autonome wijze output afleiden van input en die lijken op menselijke intelligentie. De focus ligt dus niet op de eenvoudige AI technieken zoals een ‘regel gebaseerd’ algoritme (‘als conditie A voorkomt, doe dan B’). 

De AI Act benoemt onder meer machine learning, maar er kan ook worden gedacht aan deep learning, computer vision en natural language processing. Ook rekent de AI Act bepaalde minder voor de hand liggende technieken tot het domein van AI, wanneer deze verder gaan dan het simpelweg volgen van vooraf gedefinieerde regels. Het gaat dan om ‘logic- and knowledge-based approaches that infer from encoded knowledge or symbolic representation of the task to be solved’. Als het gaat om de definitie van AI, dan zijn er een paar relevant: 

De meeste aandacht gaat uit naar zogenaamde AI-Systemen die als volgt worden gedefinieerd:

“…een op een machine gebaseerd systeem dat is ontworpen om met verschillende niveaus van autonomie te werken en dat na het inzetten ervan aanpassingsvermogen kan vertonen, en dat, voor expliciete of impliciete doelstellingen, uit de ontvangen input afleidt hoe output te genereren zoals voorspellingen, inhoud, aanbevelingen of beslissingen die van invloed kunnen zijn op fysieke of virtuele omgevingen.” 

Er zijn een aantal relevante elementen om je systeem of software op te toetsen, namelijk:

  1. Machine gebaseerd met expliciete of impliciete doeleinden: Een AI-Systeem draait op een machine die opereert aan de hand van een expliciet of impliciet vastgesteld doeleinde. Het verschil is dat impliciete doelstellingen niet van tevoren zijn verklaard en mogelijk zelfs niet duidelijk zijn voor de ontwerpers van het systeem. Een marketingvoorbeeld is wanneer algoritmen voor het aanbevelen van content op sociale media zijn doorgaans ontworpen om inhoud te vinden die iemand leuk zou kunnen vinden (expliciete doelstelling), wat vaak resulteert in content die maximale interactie bevordert (een impliciete doelstelling).
  2. Generatie van output door inferentie: Volgens de Europese wetgever maakt de mogelijkheid tot inferentie (het kunnen afleiden) AI echt anders dan een eenvoudig algoritme of een statistische methode. Het komt neer op de (vereenvoudigde) hamvraag: wordt er door het systeem op een procesmatige manier afgeleid welke output (voorspellingen, content, aanbevelingen of besluiten) het moet genereren?
  3. Beïnvloeden van omgevingen: Een AI-Systeem interacteert met een omgeving. Dit hoeft niet per se een echte omgeving in de wereld te zijn, maar het kan ook gaan om interactie met een virtuele (digitale) omgeving.
  4. Autonomie en aanpassingsvermogen: AI-Systemen opereren met enige autonomie. Dit betekent dat AI met een vorm van onafhankelijkheid – zonder tussenkomst van de mens – kan opereren. Er zijn ook AI-Systemen die zelflerend zijn. Dit betekent dat het AI-Systeem na verloop van tijd en gebruik zich kan aanpassen, en ‘slimmer’ wordt.

Met de term ‘General Purpose AI’ speelt de Europese wetgever in op het feit dat bepaalde AI-toepassingen niet een enkele specifieke functie hebben, zoals bijvoorbeeld het toekennen van sentiment aan een ingevuld vrijetekstveld van een contactformulier. Maar dat er ook systemen zijn die juist voor meer use-cases geschikt zijn, waarvan ChatGPT een goed voorbeeld is. In de Nederlandse versie van de AI Act heet dit dan ook een AI-model voor algemene doeleinden. 

De term ‘General Purpose AI Model’ betekent:

“…een AI-model, ook wanneer het is getraind met een grote hoeveelheid data met behulp van self-supervision op grote schaal, dat een aanzienlijk algemeen karakter vertoont en in staat is op competente wijze een breed scala aan verschillende taken uit te voeren, ongeacht de wijze waarop het model in de handel wordt gebracht, en dat kan worden geïntegreerd in een verscheidenheid aan systemen verder in de AI-waardeketen of toepassingen verder in de AI-waardeketen, met uitzondering van AI-modellen die worden gebruikt voor onderzoek, ontwikkeling of prototypingactiviteiten alvorens zij in de handel worden gebracht..”

In de kern zijn dit de belangrijkste eigenschappen van zo’n AI-model:

  • Getraind op veel data met behulp van geavanceerde technieken, zoals ‘self-supervised’, ‘unsupervised’ en ‘reinforcement learning’.
  • Generiek en geschikt voor een veelheid aan toepassingen
  • Geschikt om te worden geïntegreerd in een verscheidenheid aan downstream AI Systemen.

Er zijn veel verschillende AI-modellen, waaronder GPT-4, DALLL-E (OpenAI), Gemini (Google), LLaMa (Meta), Stable LM (Stabillity AI), Mixtral (Mistral AI) en Midjourney. Dit zijn toevallig allemaal modellen die gebruikt worden voor generatieve AI, zoals ChatGPT (tekst en afbeeldingen) en Midjourney (alleen afbeeldingen). Wat al deze AI-modellen ook gemeen hebben is dat ze kunnen worden geïntegreerd in andere toepassingen, waaronder een (downstream) AI-Systeem in bijvoorbeeld jouw organisatie.

In het verlengde van de voorgaande definitie ligt die van een ‘General Purpose AI Systeem’, want dit is een: 

“… een AI-systeem dat is gebaseerd op een AI-model voor algemene doeleinden en dat verschillende doeleinden kan dienen, zowel voor direct gebruik als voor integratie in andere AI-systemen.” 

Simpel gezegd: hetzelfde AI-model kan in een veelheid aan toepassingen worden geïntegreerd die AI General Purpose Systemen heten. Voorbeelden hiervan zijn ChatGPT en Midjourney. Maar het kan ook gaan om de toepassingen die organisaties zelf bouwen met GPT-4 (of elk ander General Purpose AI Model), zoals een interne tool om een afbeelding en tekst te generen voor een onlineadvertentie. 

2. Rollen in de AI-waardeketen

In praktijk gaat de AI Act gelden voor de gehele ‘waardeketen’ die betrokken is bij het op de markt brengen van AI. De regels hebben daarmee impact op de makers en aanbieders van AI, maar ook op alle gebruikers, integrerende, distribuerende en importerende marktpartijen. Het gaat onder meer om de volgende rollen:

  • Aanbieder
    De aanbieder van AI is het individu of de organisatie die het AI Systeem of Model heeft ontwikkeld, en dit eventueel (tegen betaling of open-source) op de markt brengt. Je wordt als Aanbieder aangemerkt wanneer je: 
    1) AI-systemen op de markt brengt onder jouw merk- of handelsnaam 
    2) Het originele doel waarvoor het AI-systeem op de markt is gebracht, aanpast 
    3) Het AI-systeem substantieel aanpast
  • Deployer (in het Nederlands “Gebruiksverantwoordelijke”) 
    De Deployer van AI is het individu of de organisatie die het AI Systeem in gebruik neemt. Let er bij een individu op, dat het gaat om een professionele setting, dus niet een natuurlijke persoon. Voorheen werd de term “User” of “Gebruiker” gehanteerd, maar dit bleek verwarrend te zijn. 
  • Gemachtigde Vertegenwoordiger (van een Aanbieder buiten de Europese Unie)
    De Aanbieder kan óók een Gemachtigde Vertegenwoordiger aanwijzen om namens hem AI op de markt de brengen en te voldoen aan de AI Act. Het aanwijzen van een vertegenwoordiger is verplicht wanneer de Aanbieder buiten de Europese Unie is gevestigd.
  • Importeur
    De Importeur brengt een AI-Systeem op de Europese markt. Het betreft dan AI van een individu of organisatie die buiten de Europese Unie is gevestigd.
  • Distributeur
    De Distributeur is iedere ander individu of een organisatie in de ‘waardeketen’ die een AI-Systeem op de Europese markt brengt.

Let op: het kan zijn dat jouw organisatie meerdere rollen in de keten vertegenwoordigd. Dat betekent ook dat je aan de verplichtingen van beide rollen dient te voldoen.

We gaan hierna in op de verplichtingen die verschillen per rol en óók afhankelijk zijn van het ‘risiconiveau’ (zie: ‘3. Risico-gebaseerde aanpak en verplichtingen’).

3. Risico-gebaseerde aanpak en verplichtingen

Er is voor een risico-gebaseerde aanpak gekozen. Dit betekent dat per AI-systeem moet worden bekeken wat het risico is, en op basis daarvan worden er bepaalde vereisten gesteld. De volgende risico’s worden onderscheiden:

A. Verboden AI

AI-systemen die zijn verboden omdat ze een té grote impact hebben. Hierbij moet je denken aan systemen die manipuleren, sociale scoring mogelijk maken of biometrisch kunnen categoriseren. In sommige gevallen bestaan er uitzonderingen op dit verbod (bijvoorbeeld bij terroristische aanslagen). Verboden zijn AI-systemen die:

  • Subliminale technieken inzetten of opzettelijk manipulatieve/deceptieve technieken gebruiken om het gedrag van een persoon te verstoren, waardoor hun vermogen om geïnformeerde beslissingen te nemen wordt aangetast.
  • Kwetsbaarheden van individuen of specifieke groepen uitbuiten vanwege leeftijd, handicap of sociale/economische situatie, waardoor aanzienlijke schade wordt veroorzaakt.
  • Biometrische categorisatiesystemen gebruiken om persoonlijke kenmerken zoals ras, politieke opvattingen of seksuele geaardheid af te leiden (behalve voor handhavingsdoeleinden).
  • Individuen of groepen evalueren of classificeren op basis van sociaal gedrag of persoonlijke kenmerken, wat leidt tot schadelijke behandeling die niet gerelateerd is aan de oorspronkelijke context.
  • ‘Real-time’ op afstand biometrische identificatiesystemen gebruiken in openbare ruimtes voor handhavingsdoeleinden, tenzij strikt noodzakelijk voor specifieke doelstellingen zoals het voorkomen van dreigingen of het lokaliseren van criminele verdachten.
  • Risicobeoordelingen van individuen maken om criminele overtredingen te voorspellen op basis van profilering of persoonlijkheidstrekken.
  • Gezichtsherkenningssystemen creëren of uitbreiden door ongerichte scraping van gezichtsafbeeldingen.
  • Emoties van individuen afleiden in werk- en onderwijsinstellingen, behalve voor medische of veiligheidsredenen

B. Hoog-risico AI-Systemen:

AI-systemen die een mogelijk risico vormen voor iemands gezondheid, veiligheid of fundamentele rechten worden aangemerkt als ‘hoog risico’ en zijn enkel toegestaan onder strikte voorwaarden. Hierbij moet je denken aan toepassing bij kritieke infrastructuren in een maatschappij of scoring van examens in het onderwijs. Deze systemen moeten worden opgenomen in een Europees register.

‘Hoog risico’ klinkt erg spannend maar voordat een AI-systeem als zodanig wordt aangemerkt, moet er sprake zijn van verregaande omstandigheden. Zo moet er ofwel sprake zijn van een AI-systeem dat reeds moet voldoen aan Europese productveiligheidseisen (zoals speelgoed of medische apparatuur) óf het gaat om een AI-systeem met een grote kans op mogelijke ernstige schade aan individuen. Bijvoorbeeld door een inbreuk op hun veiligheid, grondrechten of vrijheid. Voorbeelden van systemen die hieronder vallen, zijn:

  • Biometrische systemen (zoals gezichtsherkenningssystemen)
  • Kritieke infrastructuur (zoals energiecentrales)
  • Onderwijssystemen (zoals automatische scoring van examens)
  • HR-systemen (zoals het automatisch aannemen óf afwijzen van kandidaten)
  • Toegang tot essentiële particuliere of openbare diensten (zoals systemen voor het beoordelen van zorgverzekeringen)
  • Handhavingssystemen (zoals het opsporen van mogelijke daders d.m.v. profilering)
  • Migratie, asiel en grensbeheer (zoals het goed- of afkeuren van een asielaanvraag)
  • Rechtspraak en democratische processen (zoals systemen die kiezersgedrag kunnen beïnvloeden)

Ook kent de AI Act nog uitzonderingen voor AI-systemen die in eerste instantie als hoog risico aangemerkt kunnen worden. Zo is een systeem geen hoog risico als er aan één van de volgende voorwaarden wordt voldaan:

  1. het is een AI-systeem met één specifieke procedurele taak
  2. het is een AI-systeem om eerdere menselijke beoordeling te verbeteren
  3. het is een AI-systeem om besluitvormingspatronen te detecteren, zonder de eerdere menselijke beoordeling te vervangen
  4. het is een AI-systeem voor een voorbereidende taak relevant voor de bovengenoemde categorieën van hoog risico

Valt jouw AI-systeem in één van de benoemde categorieën, maar wordt het ingezet voor profilering van natuurlijk personen? Dan kun je geen beroep doen de genoemde uitzonderingen.

Mocht je systeem nu toch als ‘hoog-risico’ kwalificeren, dan zijn er een hele reeks verplichtingen om aan te voldoen. We vatten ze gelet op de beperkte relevantie voor onze industrie kort samen per rol:

Aanbieder
De Aanbieder van Hoog-Risico AI moet aan de volgende verplichtingen voldoen:

  • Optuigen en bijhouden van een risico-managementsysteem, data governance en technische documentatie.
  • Verder moet de Aanbieder als ontwikkelaar van het AI Systeem zorgen voor:
    1. een vorm van menselijk toezicht;
    2. een transparante werking van het systeem die het voor Deployers mogelijk maakt om de output van de AI voldoende te interpreteren. Dus geen black-box.
    3. een accurate, robuuste en veilige werking, waaronder het bijhouden van logbestanden.
  • De conformiteit van het AI-Systeem met de AI Act moeten worden beoordeeld.
  • Tot slot moet het hoog-risico AI-Systeem in de (EU) Databaseworden geregistreerd.

Importeur
De Importeur van een hoog-risico AI-Systeem moet tot op zekere hoogte nagaan of de Aanbieder heeft voldaan aan zijn verplichtingen. Dit betekent dat de Importeur onder meer moet controleren of het verplichte conformiteitsassessment is uitgevoerd, de technische documentatie aanwezig is en er eventueel een Gemachtigde Vertegenwoordiger is aangewezen.

Distributeur
Net als de Importeur moet de Distributeur tot op zeker hoogte ook nagaan dat de Aanbieder heeft voldaan aan zijn verplichtingen. De belangrijkste controle is de aanwezigheid van de vereiste CE-markering.

Deployer
De Deployer moet in essentie het AI-Systeem gebruiken, zoals de Aanbieder dat heeft bedoeld. Dit betekent dat zij het AI-Systeem in overeenstemming met de instructies moeten gebruiken, maar er ook voor moeten zorgen dat het eigen personeel voldoende is opgeleid.

C. AI-modellen met of zonder systeemrisico voor onze samenleving

Deze categorie stond niet in het originele voorstel van de Commissie, maar is vanwege de opkomst van ChatGPT en de onderliggende LLM’s. een relevante toevoeging geworden

Elke Aanbieder van een General Purpose AI Model moet voldoen aan de volgende twee verplichtingen.

  1. De Aanbieder moet bij de ontwikkeling van een General Purpose AI Model zorgen voor operationeel beleid waarmee de auteursrechten van derden wordt gerespecteerd. De Aanbieder mag wel auteursrechtelijke beschermede werken (artikelen, afbeeldingen etc.) gebruiken voor het trainen van het model, want hij kan zich beroepen op de tekst-data-mining (‘TDM’) exceptie in het auteursrecht. De Aanbieder moet echter wel rekening houden met eventuele voorbehouden die een website-eigenaar of andere auteursrechthebbende maakt op het gebruik van de content voor het trainen van een AI-model.
  2. Ook moet een Aanbieder van zo’n model een gedetailleerde samenvatting van de gebruikte content voor het trainen beschikbaar stellen. Het recentelijk opgerichte AI-bureau zal hiervoor een template opstellen.

Daarnaast moet een Aanbieder van een model met een zogenaamd ‘systeemrisico voor de samenleving ‘nog een aantal aanvullende verplichtingen naleven. De AI Act kent een systeemrisico toe aan modellen die met zeer veel rekenkracht (10^25 floating point operations) zijn getraind. In de praktijk is dat voor zover bekend nu alleen nog GPT-4 van OpenAI. Ook kan de Commissie los van de rekenkracht vaststellen dat een model een systeemrisico inhoudt. De Aanbieder van zo’n model zal ook moeten voldoen aan de volgende verplichtingen:

  1. Het opstellen en up-to-date houden van technische documentatie over het model.
  2. Het opstellen en up-to-date houden van documentatie voor elke Aanbieder die het model wil integreren in een AI-Systeem. De documentatie moet de Aanbieder in staat stellen om capaciteiten en beperkingen van het model te begrijpen. Daarnaast moet de informatie de Aanbieder helpen bij het voldoen aan de AI Act.
  3. Het uitvoeren van model evaluatie en gedocumenteerde security tests in overeenstemming met de state-of-the-art standaard in de markt. Het doel van deze activiteiten is het identificeren en mitigeren van risico’s. Ook denkt de Aanbieder mee op Europees niveau over mogelijke bronnen van nieuwe systeemrisico’s, en rapporteert zij incidenten aan het AI-bureau.

De bovenstaande verplichtingen voor AI-Modellen bevatten veel open normen. De insteek is dat het AI -bureau in samenwerking met de Aanbieders de normen verder uitwerkt en in één of meerdere code of conducts vastlegt.

D. Beperkt risico (enkel transparantie)

Er geldt een extra informatieplicht voor AI-systemen die zijn ontwikkeld voor de interactie met natuurlijke personen of content genereren. Meer transparantie is vereist, want bij deze systemen bestaat de kans op verpersoonlijking van technologie. Denk hierbij aan generatieve AI en een slimme chatbot op een website. Hiervoor gelden met name transparantieregels richting de natuurlijk personen die interacteren met AI. Het moet duidelijk zijn voor hen dat ze interacteren met een AI-systeem. Het gaat om de volgende toepassingen:

De Aanbieder van AI chatbots en andere AI-Systemen die bedoeld zijn voor interactie moet zorgdragen voor extra transparantie. Het moet voor het individu dat gebruikmaakt van zo’n systeem duidelijk zijn dat ze met een AI aan het chatten zijn. Dit betekent dat je bijvoorbeeld een bericht toont vergelijkbaar met “je chat niet met een mens, maar met een AI”

De Aanbieder van een (General Purpose) AI Systeem die bedoeld is om content te genereren moet de content labelen als ‘gegenereerd’ of ‘gemanipuleerd’. De manier waarop het labelen uiteindelijk zal gebeuren is nog onbepaald, maar er wordt bijvoorbeeld gewerkt aan technologie waarbij er een ‘watermerk in de metadata’ van een gegenereerd bestand wordt verwerkt. Hiermee is elk plaatje uit ChatGPT als zodanig herkenbaar. De standaard “C2PA” is een voorbeeld van zo’n watermerk.

De Deployer van AI die emotieherkenning of biometrische categorisatie toepast moet mensen informeren wanneer zij hieraan worden blootgesteld. Dit vereiste geldt in aanvulling op die van de AVG, waaronder regels in relatie tot de verwerking van bijzondere persoonsgegevens, en het uitvoeren van een diepgaand assessment (ook wel een DPA).

Deep fakes vormen een bijzonder risico, omdat de consument misleidt kan raken over de authenticiteit van content. De AI Act definieert een ‘deep fake’ als het met AI genereren of manipuleren van een afbeelding, audio- of video-opname van een natuurlijk persoon, plaats of een event op een waarheidsgetrouwe manier. De Deployer van een AI-Systeem waarmee deep fakes (kunnen) worden gemaakt moet er transparant over zijn dat de content met AI is aangepast. Er bestaat wel een artistieke exceptie, want bij content met een creatief doeleinde hoeft er ‘slechts’ een passende te worden geïnformeerd. En wel op zo’n manier dat de extra informatie niet het genot van het creatieve werk teniet doet.

De AI Act vereist van Deployers ook transparantie wanneer het AI Systeem tekst genereert en/of manipuleert, én wordt ingezet voor het informeren van de samenleving over zaken van publiek belang. Denk bijvoorbeeld aan het gebruik van een GPT-4 of een andere LLM om nieuws artikelen te schrijven, én vervolgens te publiceren. De Deployer moet bij in zo’n geval transparant zijn over het feit dat ze AI toepassen voor het maken van de artikelen.

Net als bij de rollen kunnen de ‘risiconiveaus’ ook overlappen. Zo kan een AI chatbot ook iets doen dat ook valt in een ‘hoog-risico’ categorie. Dit betekent dat dit AI-Systeem naast de hoog-risico verplichtingen ook extra transparant moet zijn over het feit dat iemand contact heeft met een AI chatbot.

Tot slot geldt dat elke Aanbieder en Deployer maatregelen moet nemen om de capaciteiten en het kennisniveau van hun personeel en andere betrokken op niveau te brengen. De Commissie noemt dit “AI-geletterdheid’, welke bedraagt aan de verantwoorde inzet van AI. Deze verplichting betekent niet dat elke medewerker een machine learning expert hoeft te worden, maar wel dat deze passende kennis hebben over de werking van de AI en zich bewuster is van de kansen en risico’s. Dit kan dus per rol verschillen, maar het is ook afhankelijk van de AI gerelateerde risico’s (voor consumenten bijvoorbeeld) in het bedrijfsproces.

4. Toezicht

Leuk natuurlijk al die regels vanuit Europa, maar hoe zit het met het toezicht daarop? De organen op Europees niveau zijn de AI-bureau (AI Office), maar ook een wetenschappelijk panel en adviesforum. Op 16 juni 2024 is het AI-bureau in werking getreden met als doel om de naleving van de AI Act te coördineren en de ontwikkeling en het gebruik van betrouwbare AI te bevorderen. Begin 2025 zal het bureau ook richtsnoeren opstellen over de definities en verbodsbepalingen. 

Zoals we gewend zijn bij andere Europese verordeningen, kent ook de AI Act een nationale toezichthouder die wordt aangewezen. De Europese Toezichthouder voor Gegevensbescherming (EDPB) heeft in een verklaring aangegeven veel waarde te hechten aan de expertise en ervaring van de bestaande, nationale gegevensbeschermingsautoriteiten en is er daarom van overtuigd dat deze het meest geschikt zijn om als toezichthouder onder de AI Act op te treden. In Nederland zal hoogstwaarschijnlijk de Autoriteit Persoonsgegevens (AP) worden aangewezen. Op dit moment is de AP enkel de toezichthouder voor de Algemene Verordening Gegevensbescherming (AVG), maar ook vanuit die rol komt het op dit moment in aanraking met AI-systemen op het moment dat deze persoonsgegevens verwerken. Daarmee zien we ook gelijk de overlap tussen de AI Act en de AVG. 

Wanneer is de AI Act van toepassing

Wanneer de AI Act eenmaal is aangenomen en gepubliceerd in het Europese Publicatieblad, gaan de regels nog niet direct gelden. De verordening kent namelijk een overgangsperiode, met verschillende termijnen voor het daadwerkelijk toepassen van de specifieke regels. Dit ziet er als volgt uit:

PeriodeWelke verplichtingen gaan gelden?
12 juli 2024Officiële publicatie laatste versie in Europees Publicatieblad
1 augustus 2024
(20 dagen na publicatie)
AI Act officieel van kracht
Februari 2025– Verboden AI-systemen  
– AI-geletterdheid maatregelen*
Augustus 2025– AI-modellen voor algemene doeleinden of General Purpose AI**

Hieronder valt dus ook generatieve AI. Voor mei 2025 staat gepland dat het “AI Office” gedragscodes en best practices publiceert voor ontwikkelaars en aanbieders van General Purpose AI.

– Deadline voor het inrichten van de nationale toezichthouding (toezichthouder *** en richtsnoeren).
Augustus 2026Gehele AI Act is van toepassing, met uitzondering van de hoogrisico-systemen uit Bijlage I. Dit is een lijst van bepaalde producten en systemen die een hoger risico vormen, zoals AI-systemen die dienen als veiligheidscomponenten van producten.
Augustus 2027Ook de regels voor de producten uit Bijlage I zijn van toepassing. In 2026 zullen er nog richtsnoeren gedeeld worden door de Europese Commissie.

Het gaat dus nog even duren voordat we daadwerkelijk de AI Act moeten naleven. Wel is het van belang om hierop te anticiperen, mocht jouw organisatie aan verplichtingen van de AI moeten voldoen.

Wat regelt de AI Act niet

Het is ook goed om te benoemen waar de AI Act geen regels voor kent. De wet gaat niet over de verdere toepassing van de output van AI-systemen door gebruikers. Het is namelijk mogelijk om ondanks ingebouwde waarborgen een AI-systeem om de tuin te leiden en schadelijke output te verspreiden of in te zetten. Wanneer een gebruiker bijvoorbeeld generatieve AI inzet om een aanstootgevende tekst of afbeelding te produceren en deze de wereld in te slingeren, dan staat daarover niks geregeld in de AI Act. Hiervoor zal moeten worden gekeken naar andere wet- en regelgeving (bijvoorbeeld in het strafrecht). Een ander voorbeeld is het verwerken van persoonsgegevens met een AI-systeem. Hierover wordt niks geregeld in de AI Act, maar moet worden voldaan aan de regels uit de AVG. Daarin zie je ook gelijk het samenspel tussen deze (en andere) Europese regels.

Tijdlijn

Alhoewel de AI Act de eerste Europese regulering is, is het niet zo dat er nooit richtlijnen/regels zijn geweest voor AI-technologieën. Hieronder vind je een overzicht van belangrijke ontwikkelingen op het gebied van AI-regulering sinds 2018.

DataUitspraken / besluiten
2018High-Level expert group & European AI Alliance​ opgericht op initiatief van de Europese Commissie
Plan van de Europese Commissie voor AI in Europa​
2019High-Level expert group publiceert:​
Ethics guidelines trustworthy AI​
– Policy and investment reccomendations
Assessment list of trustworthy AI
2020Whitepaper van de Europese Commissie over AI​
2021Voorstel Europese Commissie voor een AI Act​
Impact assessment AI Act​
Voorstel Europese Commissie verordening voor productveiligheid​
Opinie​ EDPS & EDPB op AI Act
2022Voorstel Europese Commissie voor een AI-aansprakelijkheidsrichtlijn​
Algemene oriëntatie Europese Raad​
2023Europees Parlement stelt versie van AI Act vast​
Begin triloog (onderhandeling Europese Commissie, Europese Raad en Europees Parlement)​
Politiek akkoord over aanname van de AI Act.
2024Europese Raad van Ministers en het Europees Parlement stemmen afzonderlijk van elkaar voor aanname van de AI Act.
De AI Act is op 1 augustus 2024 van kracht geworden. Hiervoor (‘Wanneer is de AI Act van toepassing’) leggen we uit wanneer de regels gefaseerd van toepassing zullen zijn.

onze legal specialisten

Heb je het antwoord op jouw vraag hier niet kunnen vinden én ben je lid van DDMA? Bel dan één van onze Legal Counsels (020- 4528 413) of mail je vraag naar legal@ddma.nl. De juristen proberen je vraag zo snel mogelijk te beantwoorden. Nog geen lid? Bekijk hier alle voordelen van het DDMA-lidmaatschap.

Kim Moolenaar

Assistent Legal Counsel

Isa Nieuwstad

Junior Legal Counsel

Allisha Hosli

Junior Legal Counsel

Sara Mosch

Legal counsel