AI-verordening in werking getreden: een nieuw tijdperk voor kunstmatige intelligentie

Op 1 augustus 2024 is de AI-verordening in werking getreden. De verschillende onderdelen van de AI-verordening worden vervolgens gefaseerd van toepassing. De verordening moet de invoering van kunstmatige intelligentie/artificial intelligence (‘AI’) in de EU bevorderen en daarbij zorgen voor een sterke bescherming van gezondheid, veiligheid, grondrechten, democratie, rechtsstaat en milieu. Ook richt de AI-verordening zich op het tegengaan van schadelijke effecten van AI-systemen en het ondersteunen van innovatie. De verordening pakt risico’s aan van zeer krachtige en invloedrijke AI-systemen en geeft duidelijke regels voor AI-ontwikkelaars en -gebruikers.

Aanvullende regelgeving voor AI

Hoewel de meeste AI-systemen weinig tot geen risico’s met zich meebrengen en kunnen bijdragen aan het oplossen van maatschappelijke problemen, creëren sommige AI-systemen juist aanzienlijke risico’s. Wetgeving zoals de Algemene Verordening Gegevensbescherming (‘AVG’) biedt al enige bescherming, maar is niet altijd goed toepasbaar op de specifieke risico’s van AI. De AI-verordening moet ervoor zorgen dat EU-burgers kunnen vertrouwen op AI door dergelijke specifieke risico’s aan te pakken en onaanvaardbare AI-systemen te verbieden.

De risiconiveaus in de AI-verordening

De AI-verordening bevat kort gezegd regels voor drie risiconiveaus van AI-systemen:

1. Verboden AI-praktijken: Het is niet toegestaan om AI-systemen te ontwikkelen, op de markt te brengen en/of te gebruiken die een onaanvaardbaar risico met zich meebrengen, zoals AI-systemen die een bedreiging vormen voor de veiligheid, levensonderhoud en rechten van mensen. Denk daarbij onder meer aan AI-systemen die mensen oneerlijk beoordelen op basis van hun sociale gedrag (de zogeheten ‘sociale score’) of aan bepaalde AI-systemen die biometrische gegevens gebruiken voor real time identificatie op afstand (waarop uitzonderingen mogelijk zijn) of voor profilering op grond van bijzondere persoonsgegevens.
2. AI-systemen met een hoog risico: AI-systemen met een hoog risico mogen slechts worden gebruikt, als zij voldoen aan strikte eisen zoals:

• het instellen en in stand houden van risicobeheer;
• het borgen van de kwaliteit van datasets;
• het op orde hebben van de technische documentatie van het AI-systeem;
• een goede loggingfunctie;
• voldoende transparantie;
• verplicht menselijk toezicht;
• een passend niveau van nauwkeurigheid, robuustheid en cyberveiligheid en consistente prestaties.

Daarnaast moeten overheden en bepaalde uitvoerders van publieke taken een beoordeling uitvoeren van de gevolgen van dergelijke AI-systemen voor de grondrechten.

AI-systemen worden als ‘hoog risico’ gekwalificeerd als het AI-systeem als veiligheidscomponent wordt gebruikt en een conformiteitsbeoordeling moet worden uitgevoerd of als het AI-systeem in bijlage III van de AI-verordening is genoemd. Daarin staan bijvoorbeeld AI-systemen die worden gebruikt in kritieke infrastructuren of bij de levering van water, gas en elektriciteit, in het onderwijs, in het kader van werkgelegenheid, bij essentiële private en publieke diensten, wetshandhaving, migratie, asiel- en grenscontrolebeheer, en/of bij het bestuur van rechtspraak en democratische processen.

3. AI-systemen met een beperkt risico: Indien AI-systemen zijn bedoeld voor directe interactie met mensen, moeten specifieke transparantieverplichtingen in acht worden genomen om ervoor te zorgen dat die personen weten dat zij te maken hebben met AI. Bijvoorbeeld, bij het gebruik van chatbots moeten mensen weten dat ze met een machine communiceren. AI-gegenereerde inhoud (waaronder ook deepfakes) moeten duidelijk als zodanig worden gelabeld.

Toezicht en handhaving

In februari 2024 heeft de Europese Commissie de ‘European AI Office’ opgericht. Dit bureau houdt samen met de lidstaten toezicht op de handhaving en implementatie van de AI-verordening, bevordert internationale samenwerking, innovatie en onderzoek op het gebied van AI, en neemt deel aan internationale dialoog en samenwerking over AI-kwesties. In Nederland wordt nog gewerkt aan een voorstel voor toezicht op de AI-verordening, waarbij meerdere toezichthouders verschillende onderdelen van de verordening zullen controleren. De rol van de Autoriteit Persoonsgegevens is hierbij nog onduidelijk.

In de AI-verordening is de mogelijkheid opgenomen om overtredingen met hoge boetes te bestraffen. Organisaties die verboden AI-systemen gebruiken of ontwikkelen kunnen – in lijn met de boetebevoegdheid in de AVG – een boete krijgen tot 35 miljoen euro of (als dat hoger is) tot 7% van hun totale wereldwijde jaarlijkse omzet. Bij andere overtredingen kan de boete oplopen tot 15 miljoen euro of (als dat hoger is) tot 3% van hun wereldwijde jaarlijkse omzet.

Voorbereiding en invoering

Ondanks dat de AI-verordening gefaseerd van toepassing wordt (hoofdstukken I en II van de verordening worden als eerste van toepassing, op 2 februari 2025), adviseert de Autoriteit Persoonsgegevens ontwikkelaars en gebruikers van AI om direct te starten met voorbereidingen op deze nieuwe wetgeving. Het is daarbij belangrijk dat zij inventariseren welke AI-systemen zij aanbieden of gebruiken en in welke risicogroepen de systemen vallen, zodat ze daar vervolgens actie op kunnen ondernemen. Daarnaast adviseert de Autoriteit Persoonsgegevens – mede gezien de opleidingsverplichting in artikel 4 van de AI-verordening – dat organisaties hun kennis over AI verbeteren.

Zoals gezegd gaat de AI-verordening stapsgewijs in en op 2 augustus 2027 zal de verordening volledig van toepassing zijn. Verboden AI-praktijken zijn al vanaf 2 februari 2025 verboden en vanaf 2 augustus 2026 gaan een groot deel van de vereisten voor hoog risico AI-systemen en andere AI-systemen gelden.

Tot slot

De AI-verordening is de eerste wetgeving die de risico’s van AI aanpakt en Europa positioneert zich daarmee om wereldwijd een leidende rol te spelen binnen AI. Daarvoor moet onder meer op nationaal niveau nog wel het nodige gebeuren, voornamelijk op het gebied van toezicht en handhaving. Ook moet worden bezien hoe werkbaar de AI-verordening is en hoe de verordening zich verhoudt tot andere regelgeving (zoals de AVG en regelgeving op het gebied van cybersecurity en intellectuele eigendom).

Meer informatie of vragen?

Voor meer informatie of vragen over de Wet turboliquidatie, kunt u contact opnemen met Levi Stoffels (levi.stoffels@pellicaan.nl) of Xander Alders (xander.alders@pellicaan.nl). Zij helpen u graag verder! 

Bronvermelding

Levi Stoffels is auteur voor Sdu. Dit artikel is gepubliceerd in Sdu OpMaat algemeen, OpMaat privacyrecht basis en OpMaat Privacyrecht Plus.