Kunstmatige intelligentie verovert de markten met storm. Het gebruik van AI is exponentieel toegenomen en er zijn geen tekenen van een daling. Maar net als elke andere nieuwe technologie, is het belangrijk dat AI wordt gereguleerd. Dat is de reden waarom de Europese Unie op 8 december 2023 de EU AI-wet (ook wel AI Act) heeft aangenomen.
In dit blog vind je een heldere beschrijving van de EU AI-wet en wat het voor effect heeft op jouw organisatie.
Introductie tot de EU AI-wet
De EU neemt graag het voortouw bij het formuleren van nieuwe wetgeving. Na het pionierswerk met de AVG, heeft de EU nu de Europese AI-wet aangenomen. Landen buiten de EU volgen nauwlettend hoe deze nieuwe wetgeving voor AI zich zal ontwikkelen. Het streven van de EU is helder: koploper zijn in de regulering van kunstmatige intelligentie door duidelijke kaders te scheppen.
Deze nieuwe wetgeving heeft als doel om te zorgen dat AI-technologieën worden ontwikkeld met positieve maatschappelijke impact. Het zoekt een evenwicht tussen het beschermen van privacy en het bevorderen van AI-innovaties, met als hoofddoel het waarborgen van zowel publieke veiligheid als mensenrechten.
Het evenwicht vinden tussen privacy en innovatie vergt een zorgvuldige en weloverwogen aanpak. Daarom heeft de Europese Unie een risico-gebaseerde benadering ingevoerd om AI-systemen te classificeren. Deze strategie is zorgvuldig ontwikkeld om de risico’s te identificeren, te beheren en evenwichtig te reguleren.
De risico categorieën van de AI-wet
Om kunstmatige intelligentie te reguleren, volgt de Europese AI-wet een benadering gebaseerd op risico. Met deze strategie worden AI-systemen ingedeeld in vier verschillende categorieën, op basis van het risico dat ze vormen voor individuen of de samenleving. De categorieën zijn:
- Onaanvaardbaar risico
- Hoog risico
- Beperkt risico
- Minimaal risico
Systemen die een onaanvaardbaar risico vormen, zijn verboden en mogen niet worden gebruikt. Een voorbeeld van een onaanvaardbaar AI-model zou gezichtsherkenningsoftware zijn die wordt gebruikt om mensen te monitoren zonder hun toestemming of zonder geldige reden. Wel kan een overheidsorganisatie een geldige reden hebben om mensen met behulp van gezichtsherkenning te monitoren, in dat geval kan het betekenen dat dit als acceptabel wordt beschouwd.
Systemen met een hoog risico mogen worden gebruikt, maar moeten aan enkele aanvullende vereisten voldoen. Om te bepalen of de systemen met een hoog risico aan de extra criteria hebben voldaan, moeten ze een conformiteitsbeoordeling ondergaan. Er zijn zeven vereisten, namelijk:
- Risicobeheersysteem
- Gegevensbeheer
- Technische documentatie
- Registratie
- Transparantie en verstrekking van informatie
- Menselijk toezicht
- Nauwkeurigheid, robuustheid en cybersecurity
Systemen met een beperkt of minimaal risico kunnen worden gebruikt zonder aanvullende veiligheidsmaatregelen. Alle systemen moeten transparant zijn en vermelden dat mensen te maken hebben met een AI-systeem.
Naleving voor Internationale Organisaties Wereldwijd
Hoewel de EU AI-wet door de Europese Unie is uitgevaardigd, zou je kunnen denken dat deze alleen Europese bedrijven treft, maar dat is niet helemaal waar. Organisaties van over de hele wereld zullen worden beïnvloed door de nieuwe AI-wetgeving. Vooral organisaties die AI-systemen in de Europese markt willen inzetten, moeten voldoen aan de nieuwe regels en voorschriften.
Als niet-Europese organisaties zich niet houden aan de nieuwe AI-wet, dan wordt het voor hen onmogelijk om hun zaken in Europa voort te zetten. Het is dus in het belang van iedereen om zich aan de regels te houden.
Verwacht wordt dat de EU AI-wet net zoals de AVG een domino-effect zal veroorzaken. De wet zal het toneel bepalen en andere landen zullen volgen met hun eigen versies. Met andere woorden, de EU AI-wet zal de wereldwijde standaard worden voor nieuwe AI-regelgeving.
Gevolgen voor Niet-Nalevende Organisaties
Bij elke regel zijn er personen of organisaties die deze overtreden. En bij elke overtreding hoort een sanctie om de overtreding te voorkomen. Dit geldt ook voor de Europese AI-wet. Er zijn meerdere boetes voor organisaties die de regels van de EU AI-wet niet naleven, afhankelijk van het niveau van de inbreuk.
- Systemen met een onaanvaardbaar risico: Voor het inzetten van een AI-systeem met een onaanvaardbaar risico kunnen organisaties een boete krijgen van 6% van hun wereldwijde jaaromzet met een maximum van €30 miljoen.
- Niet-naleving van vereisten voor hoog risico: Voor het inzetten van een AI-systeem met een hoog risico, zonder te voldoen aan de aanvullende eisen, kunnen organisaties een boete krijgen van 4% van hun wereldwijde jaaromzet met een maximum van €20 miljoen.
- Minder ernstige overtredingen: Voor minder ernstige inbreuken, zoals het verstrekken van misleidende informatie, krijgen organisaties kleinere boetes. Dit kan afhangen van de mate van de overtredingen.
In aanvulling op de financiële sancties, is naleving van de regelgeving cruciaal. Zowel voor organisaties als voor kunstmatige intelligentie (AI) is het belangrijk een positief imago te houden. Als grote AI-organisaties de regels niet naleven, kan leiden tot een slechte reputatie voor AI.
Bereid je voor op de toekomst: Stappen die je organisatie kan ondernemen
Nu de Europese AI-wet steeds dichterbij uitvoering komt, moeten organisaties die AI-technologieën gebruiken of van plan zijn te gebruiken, beginnen met de voorbereidingen om te zorgen dat ze de regels naleven. Om je voor te bereiden is het belangrijk een grondig begrip te hebben van AI-toepassingen, het ontwikkelen van interne AI-bestuursstructuren en het waarborgen van gegevenstransparantie en -verantwoordelijkheid.
Hier zijn enkele stappen die je organisatie kan ondernemen ter voorbereiding op de EU AI-wet:
Begrijp je AI-toepassingen
- Risicobeoordeling: Begin met het categoriseren van je AI-systemen op basis van de risico-gebaseerde benadering van de AI-wet. Bepaal of je AI-toepassingen vallen in de categorieën onaanvaardbaar, hoog, beperkt of minimaal risico.
- AI-inventaris: Maak een inventaris van alle AI-toepassingen die momenteel in gebruik zijn of in ontwikkeling. Dit moet details bevatten over het doel, de reikwijdte en de verwerkte gegevens.
- Impactanalyse: Onderzoek hoe je AI-systemen individuen of de samenleving beïnvloeden, vooral wanneer je systeem in de categorie hoog risico valt.
Ontwikkel een intern AI-bestuur
- AI-ethiekbeleid: Creëer of update je AI-ethiekbeleid, dat in lijn moet zijn met de principes van de EU AI-wet. Dit gaat over respect voor menselijke autonomie, het voorkomen van schade, eerlijkheid en transparantie.
- Multifunctionele teams: Voor het toezicht op AI moet je een multifunctioneel team vormen met daarin mensen met juridische, compliance, technologie en bedrijfsachtergrond. Dit team is verantwoordelijk voor het waarborgen dat AI-toepassingen worden ontwikkeld en gebruikt in overeenstemming met de EU AI-wet.
- Training en bewustwording: Je medewerkers moeten op de hoogte zijn van en opgeleid zijn over de implicaties van de wet. Regelmatige trainingssessies kunnen helpen bij het opbouwen van een cultuur waarin AI op wettige en etische manier wordt ingezet.
Zorg voor Gegevenstransparantie en -verantwoordelijkheid
- Gegevensbeheer: Voor AI-systemen is het essentieel om gegevensbronnen, kwaliteit en verwerkingsactiviteiten te documenteren. Vooral voor systemen met een hoog risico.
- Transparantiemaatregelen: Om transparantie en vertrouwen te behouden, moeten er mechanismen ontwikkelt worden om AI-besluitvormingsprocessen uit te leggen aan zowel interne belanghebbenden als externe gebruikers.
- Audits voor naleving: Je moet je AI-systemen regelmatig controleren op naleving. Dit omvat het beoordelen van AI-toepassingen tegen de risicocategorieën en ervoor zorgen dat eventuele wijzigingen in toepassing of functionaliteit in overeenstemming zijn met de wet.
- Incident response plan: Je moet een response plan opstellen voor potentiële incidenten, vooral voor systemen met een hoog risico. Dit plan moet stappen omvatten voor het aanpakken van eventuele inbreuken op de naleving, inclusief het melden bij relevante autoriteiten.
Voorbereiden op de EU AI-wet vereist een proactieve benadering, gericht op het begrijpen wat de regels betekenen voor je organisatie en de systemen. Door bovenstaande stappen te nemen, zorg je in de organisatie voor naleving van de nieuwe regelgeving en sta je voorop bij het ethisch verantwoord toepassen van AI.
Het voldoen aan de Europese AI-wet is niet een proces dat je als organisatie alleen wilt doorgaan. DataNorth kan helpen met AI-beoordeling of consultancy. Dus wil je weten hoe je AI kunt toepassen op een manier waarbij voldaan wordt aan de EU AI-wetgeving? Neem dan contact met ons op!
