Spring naar content

Over de AI Act

Ondanks dat AI inmiddels een bekende term is, zijn er veel verschillende definities in omloop. We vroegen ChatGPT naar de betekenis van AI:

Artificial Intelligence is het vermogen van computersystemen om mensachtige taken uit te voeren, zoals het herkennen van spraak, het begrijpen van natuurlijke taal, het herkennen van beelden, het nemen van beslissingen en het leren van ervaringen.

Aldus ChatGPT

Om ervoor te zorgen dat AI op een veilige, verantwoorde en betrouwbare manier wordt ontwikkeld én ingezet, heeft de Europese Commissie (Commissie) in 2021 de AI Act voorgesteld. Want AI is niet nieuw, maar juist al jaren een onderdeel van alledaagse toepassingen in onze samenleving, waaronder slimme auto’s. Maar wél bleef AI tot voorkort een verborgen onderdeel van de vele (digitale) producten die het toepassen. De bekendheid van AI onder het grote publiek nam eigenlijk pas in 2022 een vlucht met de komst van ChatGPT. Toch moeten we niet vergeten dat AI in het marketing-landschap al op allerlei manieren wordt ingezet. Denk aan de persoonlijke feeds op social media, systemen achter online advertising (zoals real time bidding) of CRM-systemen die met jouw organisatie meedenken.

Ondanks dat AI veel voordelen kan bieden, schuilt er ook een gevaar in de inzet ervan. Zo kan een verkeerde interpretatie ván of een onterecht vertrouwen ín de technologie impactvolle gevolgen hebben voor gebruikers of burgers. Daarbij kun je denken aan oplichtingspraktijken met deep fakes, de informatiefuik op social media platformen, maar ook de toeslagenaffaire.

Met de komst van de AI Act moet worden gewaarborgd dat eventuele ‘nieuwe risico’s of negatieve gevolgen voor het individu of de samenleving’ zo veel mogelijk worden beperkt. Daarbij moet je naast gebruik door burgers ook denken aan kritieke infrastructuren (zoals ziekenhuizen en energiecentrales) waarbij AI wordt ingezet.

De Commissie streeft naar een evenwicht, omdat het ook innovatie en ontwikkeling wil stimuleren. Zoals de Commissie het zelf verwoordt:

Het is in het belang van de EU om haar technologische leiderspositie te behouden en ervoor te zorgen dat Europeanen kunnen genieten van nieuwe technologieën, ontwikkeld en functionerend volgens de waarden, grondrechten en beginselen van de Unie. – Europese Commissie

Europese Commissie

Hieronder lees je onder meer over de AI Act én wat dit mogelijk voor jou in de praktijk betekent.

Wat regelt de AI Act?

De AI Act wordt in heel Europa van toepassing en stelt regels voor het op de markt brengen, en ingebruiknemen van AI. Er wordt hiermee ingespeeld op het voorkomen van de maatschappelijk risico’s die autonome AI systemen met zich meebrengen. De AI Act richt zich ook op het bevorderen van innovatie, maar wel op vooruitgang van AI die óók mensgericht en betrouwbaar is.

Als we het hebben over de essentie van de AI Act (voor met name data gedreven marketeers), dan is die wat ons betreft als volgt:

1. Op welke AI is de AI Act van toepassing?

Bij AI wordt tegenwoordig al snel gedacht aan generatieve AI, maar de regels gaan over meer dan alleen ChatGPT, Github/Microsoft Copilot of Bard (nu: Gemini). De verordening gaat in de kern over technieken die op een ogenschijnlijk menselijk autonome wijze ouput afleiden van input (bijvoorbeeld de uitkomst van een prompt in ChatGPT), waaronder dus niet een ‘eenvoudig regel gebaseerd’ algoritme (‘als conditie a, doe dan b’) of statistiek. De AI Act benoemt onder meer machine learning, maar er kan ook worden gedacht aan deep learning, computer vision en natural language processing. Ook rekent de AI Act bepaalde minder voor de hand liggende technieken tot het domein van AI, wanneer deze verder gaan dan het simpelweg volgen van vooraf gedefinieerde regels. Het gaat dan om ‘logic- and knowledge-based approaches that infer from encoded knowledge or symbolic representation of the task to be solved’. Als het gaat om de definitie van AI, dan zijn er drie relevant:

De meeste aandacht gaat uit naar zogenaamde AI-Systemen die als volgt worden gedefinieerd:

“…a machine-based system designed to operate with varying levels of autonomy and that may exhibit adaptiveness after deployment and that, for explicit or implicit objectives, infers, from the input it receives, how to generate outputs such as predictions, content, recommendations, or decisions that can influence physical or virtual environments”

Er zijn een aantal relevante elementen om je systeem of software op te toetsen, namelijk:

  1. Machine gebaseerd met expliciete of impliciete doeleinden: Een AI-Systeem draait op een machine die opereert aan de hand van een expliciet of impliciet vastgesteld doeleinde. Een voorbeeld van een impliciet doeleinde is een zelfrijdende auto die bekend is met de verkeersregels, maar niet ‘weet’ dat het doeleinde de bescherming van levens betreft.
  2. Generatie van output door inferentie: Volgens de Europese wetgever maakt de mogelijkheid tot inferentie (het kunnen afleiden) AI echt anders dan een eenvoudig algoritme of een statistische methode. Het komt neer op de (vereenvoudigde) hamvraag: wordt er door het systeem op een procesmatige manier afgeleid welke output (voorspellingen, content, aanbevelingen of besluiten) het moet genereren?
  3. Beïnvloeden van omgevingen: Een AI-Systeem interacteert met een omgeving. Dit hoeft niet per se een echte omgeving in de wereld te zijn, maar het kan ook gaan om interactie met een virtuele (digitale) omgeving.
  4. Autonomie en aanpassingsvermogen: AI-Systemen opereren met enige autonomie. Dit betekent dat AI met een vorm van onafhankelijkheid – zonder tussenkomst van de mens – kan opereren. Er zijn ook AI-Systemen die zelflerend zijn. Dit betekent dat het AI-Systeem na verloop van tijd en gebruik zich kan aanpassen, en ‘slimmer’ wordt.

Met de term ‘General Purpose AI’ speelt de Europese wetgever in op het feit dat bepaalde AI-toepassingen niet een enkele specifieke functie hebben, zoals bijvoorbeeld het toekennen van sentiment aan een ingevuld vrijetekstveld van een contactformulier. Maar dat er ook systemen zijn die juist voor meer use-cases geschikt zijn, waarvan ChatGPT een goed voorbeeld is.

De term ‘General Purpose AI Model’ betekent:

“…an AI model, including when trained with a large amount of data using self-supervision at scale, that displays significant generality and is capable to competently perform a wide range of distinct tasks regardless of the way the model is placed on the market and that can be integrated into a variety of downstream systems or applications. This does not cover AI models that are used before release on the market for research, development and prototyping activities.”

In de kern zijn dit de belangrijkste eigenschappen van zo’n AI-model:

  • Getraind op veel data met behulp van geavanceerde technieken, zoals ‘self-supervised’, ‘unsupervised’ en ‘reinforcement learning’.
  • Generiek en geschikt voor een veelheid aan toepassingen
  • Geschikt om te worden geïntegreerd in een verscheidenheid aan downstream AI Systemen.

Er zijn veel verschillende AI-modellen, waaronder GPT-4, DALLL-E (OpenAI), Gemini (Google), LLaMa (Meta), Stable LM (Stabillity AI), Mixtral (Mistral AI) en Midjourney. Dit zijn toevallig allemaal modellen die gebruikt worden voor generatieve AI, zoals ChatGPT (tekst en afbeeldingen) en Midjourney (alleen afbeeldingen). Wat al deze AI-modellen ook gemeen hebben is dat ze kunnen worden geïntegreerd in andere toepassingen, waaronder een (downstream) AI-Systeem in bijvoorbeeld jouw organisatie.

In het verlengde van de voorgaande definitie ligt die van een ‘General Purpose AI Systeem’, want dit is een:

“… an AI system which is based on a general-purpose AI model, that has the capability to serve a variety of purposes, both for direct use as well as for integration in other AI systems;

Simpel gezegd: hetzelfde AI-model kan in een veelheid aan toepassingen worden geïntegreerd die AI General Purpose Systemen heten. Voorbeelden hiervan zijn ChatGPT, Bard en Midjourney. Maar het kan ook gaan om de toepassingen die organisaties zelf bouwen met GPT-4 (of elk ander General Purpose AI Model), zoals een interne tool om een afbeelding en tekst te generen voor een onlineadvertentie.

2. Rollen in de AI productketen

In praktijk gaat de AI Act gelden voor de gehele ‘productketen’ die betrokken is bij het op de markt brengen van AI. De regels hebben daarmee impact op de makers en aanbieders van AI, maar ook op alle gebruikers, integrerende, distribuerende en importerende marktpartijen. Het gaat onder meer om de volgende rollen:

  • Aanbieder
    De aanbieder van AI is het individu of de organisatie die het AI Systeem of Model heeft ontwikkeld, en dit eventueel (tegen betaling of open-source) op de markt brengt.
  • Gemachtigde Vertegenwoordiger (van een Aanbieder buiten de Europese Unie)
    De Aanbieder kan óók een Gemachtigde Vertegenwoordiger aanwijzen om namens hem AI op de markt de brengen en te voldoen aan de AI Act. Het aanwijzen van een vertegenwoordiger is verplicht wanneer de Aanbieder buiten de Europese Unie is gevestigd.
  • Importeur
    De Importeur brengt een AI-Systeem op de Europese markt. Het betreft dan AI van een individu of organisatie die buiten de Europese Unie is gevestigd.
  • Distributeur
    De Distributeur is iedere ander individu of een organisatie in de ‘productketen’ die een AI-Systeem op de Europese markt brengt.
  • Deployer (voorheen in het Nederlands “Gebruiker”)
    De Deployer van AI is het individu of de organisatie die het AI Systeem in gebruik neemt.

Let op: het kan zijn dat jouw organisatie meerdere rollen in de keten vertegenwoordigd. Dat betekent ook dat je aan de verplichtingen van beide rollen dient te voldoen. De AI Act neemt bovendien als uitgangspunt dat je als Aanbieder wordt aangemerkt wanneer je:

  • Het originele doel waarvoor het AI-systeem op de markt is gebracht, aanpast
  • Het AI-systeem substantieel aanpast
  • AI-systemen op de markt brengt onder jouw merk- of handelsnaam

We gaan hierna in op de verplichtingen die verschillen per rol en óók afhankelijk zijn van het ‘risiconiveau’ (zie: ‘3. Risico-gebaseerde aanpak en verplichtingen’).

3. Risico-gebaseerde aanpak en verplichtingen

Er is voor een risico-gebaseerde aanpak gekozen. Dit betekent dat per AI-systeem moet worden bekeken wat het risico is, en op basis daarvan worden er bepaalde vereisten gesteld. De volgende risico’s worden onderscheiden:

A. Verboden AI

AI-systemen die zijn verboden omdat ze een té grote impact hebben. Hierbij moet je denken aan systemen die manipuleren, sociale scoring mogelijk maken of biometrisch kunnen categoriseren. In sommige gevallen bestaan er uitzonderingen op dit verbod (bijvoorbeeld bij terroristische aanslagen). Verboden zijn AI-systemen die:

  • Subliminale technieken inzetten of opzettelijk manipulatieve/deceptieve technieken gebruiken om het gedrag van een persoon te verstoren, waardoor hun vermogen om geïnformeerde beslissingen te nemen wordt aangetast.
  • Kwetsbaarheden van individuen of specifieke groepen uitbuiten vanwege leeftijd, handicap of sociale/economische situatie, waardoor aanzienlijke schade wordt veroorzaakt.
  • Biometrische categorisatiesystemen gebruiken om persoonlijke kenmerken zoals ras, politieke opvattingen of seksuele geaardheid af te leiden (behalve voor handhavingsdoeleinden).
  • Individuen of groepen evalueren of classificeren op basis van sociaal gedrag of persoonlijke kenmerken, wat leidt tot schadelijke behandeling die niet gerelateerd is aan de oorspronkelijke context.
  • ‘Real-time’ op afstand biometrische identificatiesystemen gebruiken in openbare ruimtes voor handhavingsdoeleinden, tenzij strikt noodzakelijk voor specifieke doelstellingen zoals het voorkomen van dreigingen of het lokaliseren van criminele verdachten.
  • Risicobeoordelingen van individuen maken om criminele overtredingen te voorspellen op basis van profilering of persoonlijkheidstrekken.
  • Gezichtsherkenningssystemen creëren of uitbreiden door ongerichte scraping van gezichtsafbeeldingen.
  • Emoties van individuen afleiden in werk- en onderwijsinstellingen, behalve voor medische of veiligheidsredenen

B. Hoog-risico AI-Systemen:

AI-systemen die een mogelijk risico vormen voor iemands gezondheid, veiligheid of fundamentele rechten worden aangemerkt als ‘hoog risico’ en zijn enkel toegestaan onder strikte voorwaarden. Hierbij moet je denken aan toepassing bij kritieke infrastructuren in een maatschappij of scoring van examens in het onderwijs. Deze systemen moeten worden opgenomen in een Europees register.

‘Hoog risico’ klinkt erg spannend maar voordat een AI-systeem als zodanig wordt aangemerkt, moet er sprake zijn van verregaande omstandigheden. Zo moet er ofwel sprake zijn van een AI-systeem dat reeds moet voldoen aan Europese productveiligheidseisen (zoals speelgoed of medische apparatuur) óf het gaat om een AI-systeem met een grote kans op mogelijke ernstige schade aan individuen. Bijvoorbeeld door een inbreuk op hun veiligheid, grondrechten of vrijheid. Voorbeelden van systemen die hieronder vallen, zijn:

  • Biometrische systemen (zoals gezichtsherkenningssystemen)
  • Kritieke infrastructuur (zoals energiecentrales)
  • Onderwijssystemen (zoals automatische scoring van examens)
  • HR-systemen (zoals het automatisch aannemen óf afwijzen van kandidaten)
  • Toegang tot essentiële particuliere of openbare diensten (zoals systemen voor het beoordelen van zorgverzekeringen)
  • Handhavingssystemen (zoals het opsporen van mogelijke daders d.m.v. profilering)
  • Migratie, asiel en grensbeheer (zoals het goed- of afkeuren van een asielaanvraag)
  • Rechtspraak en democratische processen (zoals systemen die kiezersgedrag kunnen beïnvloeden)

Ook kent de AI Act nog uitzonderingen voor AI-systemen die in eerste instantie als hoog risico aangemerkt kunnen worden. Zo is een systeem geen hoog risico als er aan één van de volgende voorwaarden wordt voldaan:

  1. het is een AI-systeem met één specifieke procedurele taak
  2. het is een AI-systeem om eerdere menselijke beoordeling te verbeteren
  3. het is een AI-systeem om besluitvormingspatronen te detecteren, zonder de eerdere menselijke beoordeling te vervangen
  4. het is een AI-systeem voor een voorbereidende taak relevant voor de bovengenoemde categorieën van hoog risico

Valt jouw AI-systeem in één van de benoemde categorieën, maar wordt het ingezet voor profilering van natuurlijk personen? Dan kun je geen beroep doen de genoemde uitzonderingen.

Mocht je systeem nu toch als ‘hoog-risico’ kwalificeren, dan zijn er een hele reeks verplichtingen om aan te voldoen. We vatten ze gelet op de beperkte relevantie voor onze industrie kort samen per rol:

Aanbieder
De Aanbieder van Hoog-Risico AI moet aan de volgende verplichtingen voldoen:

  • Optuigen en bijhouden van een risico-managementsysteem, data governance en technische documentatie.
  • Verder moet de Aanbieder als ontwikkelaar van het AI Systeem zorgen voor:
    1. een vorm van menselijk toezicht;
    2. een transparante werking van het systeem die het voor Deployers mogelijk maakt om de output van de AI voldoende te interpreteren. Dus geen black-box.
    3. een accurate, robuuste en veilige werking, waaronder het bijhouden van logbestanden.
  • De conformiteit van het AI-Systeem met de AI Act moeten worden beoordeeld.
  • Tot slot moet het hoog-risico AI-Systeem in de (EU) Databaseworden geregistreerd.

Importeur
De Importeur van een hoog-risico AI-Systeem moet tot op zekere hoogte nagaan of de Aanbieder heeft voldaan aan zijn verplichtingen. Dit betekent dat de Importeur onder meer moet controleren of het verplichte conformiteitsassessment is uitgevoerd, de technische documentatie aanwezig is en er eventueel een Gemachtigde Vertegenwoordiger is aangewezen.

Distributeur
Net als de Importeur moet de Distributeur tot op zeker hoogte ook nagaan dat de Aanbieder heeft voldaan aan zijn verplichtingen. De belangrijkste controle is de aanwezigheid van de vereiste CE-markering.

Deployer
De Deployer moet in essentie het AI-Systeem gebruiken, zoals de Aanbieder dat heeft bedoeld. Dit betekent dat zij het AI-Systeem in overeenstemming met de instructies moeten gebruiken, maar er ook voor moeten zorgen dat het eigen personeel voldoende is opgeleid.

C. AI-modellen met of zonder systeemrisico voor onze samenleving

Deze categorie stond niet in het originele voorstel van de Commissie uit 2021. Dit heeft alles te maken met de opkomst van ChatGPT en de onderliggende LLM’s die pas eind 2022 bekendheid kregen.

Elke Aanbieder van een General Purpose AI Model moet voldoen aan de volgende twee verplichtingen.

  1. De Aanbieder moet bij de ontwikkeling van een General Purpose AI Model zorgen voor operationeel beleid waarmee de auteursrechten van derden wordt gerespecteerd. De Aanbieder mag wel auteursrechtelijke beschermede werken (artikelen, afbeeldingen etc.) gebruiken voor het trainen van het model, want hij kan zich beroepen op de tekst-data-mining (‘TDM’) exceptie in het auteursrecht. De Aanbieder moet echter wel rekening houden met eventuele voorbehouden die een website-eigenaar of andere auteursrechthebbende maakt op het gebruik van de content voor het trainen van een AI-model.
  2. Ook moet een Aanbieder van zo’n model een gedetailleerde samenvatting van de gebruikte content voor het trainen beschikbaar stellen. Het recentelijk opgerichte AI Office zal hiervoor een template opstellen.

Daarnaast moet een Aanbieder van een model met een zogenaamd ‘systeemrisico voor de samenleving ‘nog een aantal aanvullende verplichtingen naleven. De AI Act kent een systeemrisico toe aan modellen die met zeer veel rekenkracht (10^25 floating point operations) zijn getraind. In de praktijk is dat voor zover bekend nu alleen nog GPT-4 van OpenAI. Ook kan de Commissie los van de rekenkracht vaststellen dat een model een systeemrisico inhoudt. De Aanbieder van zo’n model zal ook moeten voldoen aan de volgende verplichtingen:

  1. Het opstellen en up-to-date houden van technische documentatie over het model.
  2. Het opstellen en up-to-date houden van documentatie voor elke Aanbieder die het model wil integreren in een AI-Systeem. De documentatie moet de Aanbieder in staat stellen om capaciteiten en beperkingen van het model te begrijpen. Daarnaast moet de informatie de Aanbieder helpen bij het voldoen aan de AI Act.
  3. Het uitvoeren van model evaluatie en gedocumenteerde security tests in overeenstemming met de state-of-the-art standaard in de markt. Het doel van deze activiteiten is het identificeren en mitigeren van risico’s. Ook denkt de Aanbieder mee op Europees niveau over mogelijke bronnen van nieuwe systeemrisico’s, en rapporteert zij incidenten aan het AI Office.

De bovenstaande verplichtingen voor AI-Modellen bevatten veel open normen. De insteek is dat het AI Office in samenwerking met de Aanbieders de normen verder uitwerkt en in één of meerdere code of conducts vastlegt.

D. Beperkt risico (enkel transparantie)

Er geldt een extra informatieplicht voor AI-systemen die zijn ontwikkeld voor de interactie met natuurlijke personen of content genereren. Meer transparantie is vereist, want bij deze systemen bestaat de kans op verpersoonlijking van technologie. Denk hierbij aan generatieve AI en een slimme chatbot op een website. Hiervoor gelden met name transparantieregels richting de natuurlijk personen die interacteren met AI. Het moet duidelijk zijn voor hen dat ze interacteren met een AI-systeem. Het gaat om de volgende toepassingen:

De Aanbieder van AI chatbots en andere AI-Systemen die bedoeld zijn voor interactie moet zorgdragen voor extra transparantie. Het moet voor het individu dat gebruikmaakt van zo’n systeem duidelijk zijn dat ze met een AI aan het chatten zijn. Dit betekent dat je bijvoorbeeld een bericht toont vergelijkbaar met “je chat niet met een mens, maar met een AI”

De Aanbieder van een (General Purpose) AI Systeem die bedoeld is om content te genereren moet de content labelen als ‘gegenereerd’ of ‘gemanipuleerd’. De manier waarop het labelen uiteindelijk zal gebeuren is nog onbepaald, maar er wordt bijvoorbeeld gewerkt aan technologie waarbij er een ‘watermerk in de metadata’ van een gegenereerd bestand wordt verwerkt. Hiermee is elk plaatje uit ChatGPT als zodanig herkenbaar. De standaard “C2PA” is een voorbeeld van zo’n watermerk.

De Deployer van AI die emotieherkenning of biometrische categorisatie toepast moet mensen informeren wanneer zij hieraan worden blootgesteld. Dit vereiste geldt in aanvulling op die van de AVG, waaronder regels in relatie tot de verwerking van bijzondere persoonsgegevens, en het uitvoeren van een diepgaand assessment (ook wel een DPA).

Deep fakes vormen een bijzonder risico, omdat de consument misleidt kan raken over de authenticiteit van content. De AI Act definieert een ‘deep fake’ als het met AI genereren of manipuleren van een afbeelding, audio- of video-opname van een natuurlijk persoon, plaats of een event op een waarheidsgetrouwe manier. De Deployer van een AI-Systeem waarmee deep fakes (kunnen) worden gemaakt moet er transparant over zijn dat de content met AI is aangepast. Er bestaat wel een artistieke exceptie, want bij content met een creatief doeleinde hoeft er ‘slechts’ een passende te worden geinformeerd. En wel op zo’n manier dat de extra informatie niet het genot van het creatieve werk teniet doet.

De AI Act vereist van Deployers ook transparantie wanneer het AI Systeem tekst genereert en/of manipuleert, én wordt ingezet voor het informeren van de samenleving over zaken van publiek belang. Denk bijvoorbeeld aan het gebruik van een GPT-4 of een andere LLM om nieuws artikelen te schrijven, én vervolgens te publiceren. De Deployer moet bij in zo’n geval transparant zijn over het feit dat ze AI toepassen voor het maken van de artikelen.

Net als bij de rollen kunnen de ‘risiconiveaus’ ook overlappen. Zo kan een AI chatbot ook iets doen dat ook valt in een ‘hoog-risico’ categorie. Dit betekent dat dit AI-Systeem naast de hoog-risico verplichtingen ook extra transparant moet zijn over het feit dat iemand contact heeft met een AI chatbot.

Tot slot geldt dat elke Aanbieder en Deployer maatregelen moet nemen om de capaciteiten en het kennisniveau van hun personeel op niveau te brengen. De Commissie noemt dit “AI-geletterdheid’, welke bedraagt aan de verantwoorde inzet van AI. Deze verplichting betekent niet dat elke medewerker een machine learning expert hoeft te worden, maar wel dat deze passende kennis hebben over de werking van de AI. Dit kan dus per rol verschillen, maar het is ook afhankelijk van de AI gerelateerde risico’s (voor consumenten bijvoorbeeld) in het bedrijfsproces.

Toezicht
Leuk natuurlijk al die regels vanuit Europa, maar hoe zit het met het toezicht daarop? Zoals we gewend zijn bij andere Europese verordeningen, kent ook de AI Act een nationale toezichthouder die wordt aangewezen. In Nederland zal hoogstwaarschijnlijk de Autoriteit Persoonsgegevens (AP) worden aangewezen. Op dit moment is de AP enkel de toezichthouder voor de Algemene Verordening Gegevensbescherming (AVG), maar ook vanuit die rol komt het op dit moment in aanraking met AI-systemen op het moment dat deze persoonsgegevens verwerken. Daarmee zien we ook gelijk de overlap tussen de AI Act en de AVG.

Wanneer is de AI Act van toepassing

Wanneer de AI Act eenmaal is aangenomen en gepubliceerd in het Europese Publicatieblad, gaan de regels nog niet direct gelden. De verordening kent namelijk een overgangsperiode, met verschillende termijnen voor het daadwerkelijk toepassen van de specifieke regels. Dit ziet er als volgt uit:

  • 6 maanden na publicatie: de verboden AI-systemen mogen niet meer worden ingezet
  • 12 maanden na publicatie: regels voor General Purpose AI, zowel op Europees als lidstatelijk niveau moet er governance zijn (zoals een nationale toezichthouder en een Europees AI Board) en er kunnen boetes worden opgelegd.
  • 24 maanden na publicatie: de gehele verordening is in werking getreden, dus ook voor hoog risico systemen die gecategoriseerd zijn.
  • 36 maanden na publicatie: regels voor hoog risico systemen die moeten voldoen aan Europese productveiligheidseisen gaan als laatste gelden.

Kortom: ook als de AI Act is aangenomen, gaat het nog even duren voordat we daadwerkelijk de regels moeten naleven. Wel is het van belang om hierop te anticiperen, mocht jouw organisatie aan verplichtingen van de AI moeten voldoen.

Wat regelt de AI Act niet

Het is ook goed om te benoemen waar de AI Act geen regels voor kent. De wet gaat niet over de verdere toepassing van de output van AI-systemen door gebruikers. Het is namelijk mogelijk om ondanks ingebouwde waarborgen een AI-systeem om de tuin te leiden en schadelijke output te verspreiden of in te zetten. Wanneer een gebruiker bijvoorbeeld generatieve AI inzet om een aanstootgevende tekst of afbeelding te produceren en deze de wereld in te slingeren, dan staat daarover niks geregeld in de AI Act. Hiervoor zal moeten worden gekeken naar andere wet- en regelgeving (bijvoorbeeld in het strafrecht). Een ander voorbeeld is het verwerken van persoonsgegevens met een AI-systeem. Hierover wordt niks geregeld in de AI Act, maar moet worden voldaan aan de regels uit de AVG. Daarin zie je ook gelijk het samenspel tussen deze (en andere) Europese regels.

Tijdlijn

Alhoewel de AI Act de eerste Europese regulering is, is het niet zo dat er nooit richtlijnen/regels zijn geweest voor AI-technologieën. Hieronder vind je een overzicht van belangrijke ontwikkelingen op het gebied van AI-regulering sinds 2018.

DataUitspraken / besluiten
2018High-Level expert group & European AI Alliance​ opgericht op initiatief van de Europese Commissie
Plan van de Europese Commissie voor AI in Europa​
2019High-Level expert group publiceert:​
Ethics guidelines trustworthy AI​
– Policy and investment reccomendations
Assessment list of trustworthy AI
2020Whitepaper van de Europese Commissie over AI​
2021Voorstel Europese Commissie voor een AI Act​
Impact assessment AI Act​
Voorstel Europese Commissie verordening voor productveiligheid​
Opinie​ EDPS & EDPB op AI Act
2022Voorstel Europese Commissie voor een AI-aansprakelijkheidsrichtlijn​
Algemene oriëntatie Europese Raad​
2023Europees Parlement stelt versie van AI Act vast​
Begin triloog (onderhandeling Europese Commissie, Europese Raad en Europees Parlement)​
2024Europese Raad van Ministers stemt voor aanname van de AI Act. Het is nu alleen nog wachten op het besluit van het Europees Parlement.

onze legal specialisten

Heb je het antwoord op jouw vraag hier niet kunnen vinden én ben je lid van DDMA? Bel dan één van onze Legal Counsels (020- 4528 413) of mail je vraag naar legal@ddma.nl. De juristen proberen je vraag zo snel mogelijk te beantwoorden. Nog geen lid? Bekijk hier alle voordelen van het DDMA-lidmaatschap.

Frank de Vries

Team lead legal | Senior legal counsel

Romar van der Leij

Legal counsel

Naomi van der Louw

Legal counsel

Sara Mosch

Legal counsel