Europa is koploper inzake AI-regelgeving. Waar staat uw organisatie?

De Europese Unie (EU) hoopt met dit nieuwe wetgevende kader een balans te vinden tussen enerzijds het beschermen van de Europese grondrechten, en anderzijds het bevorderen van innovatie, investeringen en concurrentiekracht in de hele EU. De verordening zal vermoedelijk een grote impact hebben op iedere onderneming die gebruik wenst te maken van AI.

Krijtlijnen

Het toepassingsgebied van de verordening, ook wel bekend als de ‘AI Act’, is erg ruim. De regels hebben betrekking op de aanbieder (meestal de ontwikkelaar), maar even goed op de gebruiker van het AI-systeem. Er zijn ook specifieke regels voor importeurs, distributeurs, fabrikanten en exploitanten. Daarnaast heeft de AI Act een zeker extraterritoriaal karakter, aangezien de regels reeds van toepassing zijn zodra men de bedoeling heeft om de ‘output’ van een AI-systeem te gebruiken in de EU, ook al gebeurde de verwerking van de gegevens buiten de EU door een niet-Europese onderneming.

De AI Act voorziet in verschillende verplichtingen, zoals transparantieverplichtingen, kwaliteitsborging, leveranciersmanagement, logging, menselijk toezicht en zelfs het uitvoeren van een Fundamental Rights Impact Assessment (FRIA). Niet alle verplichtingen zijn automatisch van toepassing op ieder AI-systeem. De AI Act bepaalt de aard van de verplichtingen op basis van de risicocategorie waartoe het specifieke AI-systeem behoort.

Risicogebaseerde aanpak

De Europese wetgever koos voor een classificatiesysteem gebaseerd op de mate waarin het AI-systeem een risico inhoudt voor de waarden en grondrechten van de EU. De AI Act omschrijft vier verschillende risicocategorieën: onaanvaardbaar risico, hoog risico, beperkt risico en minimaal risico.

1. Onaanvaardbaar risico

Denk hierbij aan manipulatieve systemen die menselijk gedrag verstoren (bv. een AI-systeem dat de vermoeidheid van vrachtwagenchauffeurs meet en een geluid afspeelt dat hen moet aanzetten om langer door te rijden), sociale puntensystemen op basis waarvan mensen anders behandeld worden of grootschalige biometrische systemen (bv. automatische herkenningssystemen in de openbare ruimte) Deze categorie van AI-systemen wordt door de AI Act volledig verboden.

2. Hoog risico

In deze categorie vinden we voornamelijk AI-systemen die een impact hebben op een aantal gevoelige domeinen. Dit omvat onder andere kritieke infrastructuur, beheer van migratie, rechtshandhaving, onderwijs en werkgelegenheid (bv. een AI-systeem dat automatisch CV’s screent). AI-systemen met een hoog risico worden niet verboden, maar zullen wel onderhevig zijn aan de meest verregaande verplichtingen uit de AI Act.

3. Beperkt risico

AI-systemen met een beperkt risico zijn hoofdzakelijk systemen die interactie aangaan met natuurlijke personen. Dit kan bijvoorbeeld een chatbot zijn, maar het kan ook gaan om een systeem voor foto- of videobewerking (zgn. deep fakes). Op deze categorie rusten er enkel transparantieverplichtingen.

4. Minimaal risico

De laagste risicocategorie is bedoeld voor AI-systemen die geen significant risico inhouden. Voorbeelden hiervan zijn spam filters en het gebruik van AI in videogames. Voor deze systemen zijn er geen bijzondere verplichtingen in de AI Act. Er wordt wel gewerkt aan gedragscodes die men vrijwillig kan naleven.

Inwerkingtreding & Handhaving

Het politiek akkoord dat nu voorligt, wordt normaliter begin 2024 definitief goedgekeurd door het Europees Parlement en de Raad van Ministers. De meeste bepalingen van de AI Act treden twee jaar na deze goedkeuring in werking. De bepalingen over AI-systemen met een onaanvaardbaar risico worden echter al na zes maanden van kracht.

De handhaving van de AI Act gebeurt op het niveau van de lidstaten, die voor deze taak beroep doen op een nationale toezichthouder. Deze toezichthouder kan corrigerende maatregelen nemen (bv. uit de handel nemen van het AI-systeem), maar ook administratieve boetes opleggen tot maximaal 40 miljoen euro of (indien dit hoger is) 7% van de wereldwijde omzet. Voor KMO’s en start-ups gelden verhoudingsgewijs lagere boetes.

Bereid u voor!

De impact van deze nieuwe verordening mag niet worden onderschat. Zelfs als uw onderneming op dit moment nog maar weinig gebruik maakt van AI, is de kans zeer groot dat dit in de (nabije) toekomst sterk zal toenemen. Het is dan ook van groot belang dat u zich de komende twee jaar grondig voorbereidt op de relevante verplichtingen uit de AI Act. Dit kan u doen door een inventarisatie te maken van alle AI-systemen die u gebruikt of van plan bent te gebruiken en hier vervolgens een risico-evaluatie op uit te voeren. Merk op dat deze oefening regelmatig moet worden hernomen, aangezien risico’s kunnen veranderen doorheen de tijd. Het is dan ook belangrijk dat er duidelijke afspraken worden gemaakt over wie binnen de organisatie deze nieuwe verantwoordelijkheden op zich zal nemen.

Verlies ten slotte niet uit het oog dat er nog heel wat andere regelgeving bestaat waar u rekening moet mee houden wanneer u gebruikt maakt van AI, denk bijvoorbeeld aan alle regels omtrent GDPR.

Heeft u nog vragen over deze nieuwe AI Act of twijfelt u in hoeverre de verschillende verplichtingen relevant zijn voor uw onderneming? Contacteer gerust Halsten BE.legal voor een advies op maat.