Iedereen die zich bezig houdt met AI moet per februari 2025 voldoen aan Europese regelgeving. Dat is de AI Act, of AI Verordening. In dit artikel leg ik uit wat de AI Act is, wat de regels zijn per risiconiveau en hoe de AI Act wordt ingevoerd. Ook krijg je een stappenplan om je organisatie te laten voldoen aan de Europese verordening en kom je te weten wat de boetes zijn bij iedere overtreding.
Heb je weinig tijd om te lezen? Bekijk dan de video AI en de Wet
De AI Act is de allereerste verordening over kunstmatige intelligentie ter wereld. De AI Act is een complex onderwerp en het is heel belangrijk om te weten wat het betekent voor jouw organisatie. Eigenlijk heeft het grote invloed op iedere organisatie die AI nu of straks gebruikt. En dat zullen er veel zijn, zo niet iedereen.
AI heeft veel invloed op de wereld van vandaag en morgen. Bedrijven kunnen efficiënter werken. Er zijn voordelen voor de gezondheidszorg, vervoer, onderwijs en andere sectoren. Ook weten particulieren de weg naar ChatGPT, Copilot of andere AI-diensten te vinden.
Er zijn ook risico’s. Misinterpretatie, nepnieuws en bias zijn er maar een paar. Die mogen niet onderschat worden. Het wordt tijd voor betere regulering om burgerrechten te beschermen. Daarom heeft Europa de AI Act aangenomen.
Wat is de AI Act?
Deze AI Act is de allereerste uitgebreide wet over kunstmatige intelligentie ter wereld. Een unicum dus! Al in april 2021 maakte de Europese Commissie haar eerste voorstel bekend met EU-regels voor AI.
De EU wil dat AI-systemen veilig, transparant, traceerbaar, milieuvriendelijk en niet-discriminerend zijn. En dat ze staan onder menselijk toezicht.
Daarom staan in de verordening eisen en regels voor het ontwikkelen en gebruiken van AI door iedereen: van overheden tot particuliere organisaties.
Het heeft een dubbel doel. Het stimuleren van innovatie en economische ontwikkeling. En het beschermen van publieke waarden.
Niveaus
Afhankelijk van het risiconiveau wil Europa regels stellen aan het gebruik. Sommige AI-systemen zullen zelfs worden verboden als ze de rechten van burgers in gevaar brengen. Er zijn 4 niveaus.
Het hoogste niveau is dat van een onacceptabel risico
Deze AI-systemen worden verboden omdat ze een bedreiging voor mensen zijn. Hieronder vallen gezichtsherkenning en social scoring.
Bij social scoring krijg je als individu een score voor goed of slecht gedrag. Met die score kun je een baan krijgen (of niet), een lening afsluiten (of niet) of reizen (of niet). Dit gebeurt al in China. In de EU wordt het verboden.
Er is 1 uitzondering: biometrie mag in een beperkt aantal ernstige misbruiken worden gebruikt bij de rechtbank.
Dan is er Hoog risico
Hiervoor gelden strenge voorwaarden. AI-systemen die een negatief effect hebben op de veiligheid of de grondrechten worden als zeer riskant beschouwd.
Dit zijn AI die worden gebruikt in speelgoed, liften, medische apparatuur, luchtvaart en in auto’s. Deze AI moet geregistreerd worden. Ook worden ze beoordeeld voordat ze op de markt worden gebracht. Dit zal vooral gaan om AI rond onderwijs, werkgelegenheid, migratie, asiel en de rechtshandhaving.
Het derde niveau is dat van ‘beperkt risico’
Hiervoor zijn er transparantie-vereisten. Dit zijn AI waar misleiding op de loer ligt. Voor de gebruiker moet altijd duidelijk worden gemaakt dat de systemen geen illegale inhoud genereren. Het moet duidelijk zijn dat de inhoud is gemaakt met AI. Dus foto’s, audio of video moeten gemarkeerd worden. Deepfakes bijvoorbeeld moeten dan worden voorzien van een watermerk.
Chatbots zoals ChatGPT mogen wel omdat ze een beperkt risico hebben. Maar ze moeten wel voldoen aan de transparantie-eisen.
Je mag ze als organisatie gebruiken om een nieuwsbrief, artikel of mail te laten redigeren of controleren op schrijffouten. Gebruik je dezelfde chatbot om cv’s af te wijzen, dan zit je ineens in de categorie hoog risico. Opletten dus!
Tot slot is er de categorie Minimaal of geen risico.
Deze AI mogen zonder beperkingen worden ontwikkeld of gebruikt. Een spamfilter is er een voorbeeld van.
Overtredingen
De Europese Commissie gaat toezicht houden op de grote AI-modellen. Ieder land in de Unie ziet erop toe dat de eisen voor een hoog risico worden nageleefd. Dat wordt in nationale regelgeving vastgelegd. In Nederland worden de Autoriteit Persoonsgegevens en het College voor mensenrechten toezichthouder. Daarnaast zijn
– de procureur-generaal van de Hoge Raad
– de voorzitter bestuursrechtspraak van de Raad van State
– het gerechtsbestuur van de Centrale Raad van Beroep
– en het gerechtsbestuur van het College van Beroep voor het bedrijfsleven zogenaamde ‘grondautoriteiten’.
Dat er zoveel instanties bij betrokken zijn, geeft maar aan hoe complex dit allemaal is.
Wat als een organisatie de fout in gaat?
Als een organisatie de regels niet naleeft, kunnen ze de jackpot krijgen: boetes lopen op tot 35 miljoen euro per overtreding of 7% van de wereldwijde omzet. Voor kleine administratieve overtredingen is de boete maximaal 7,5 miljoen euro of 1,5% van de omzet.
Planning
Dan de planning. Zoals gezegd: De verordening wordt in stappen ingevoerd.
De verordening is op 2 augustus 2024 aangenomen. Op 2 augustus 2027 is de AI Act volledig van kracht.
In
• februari 2025: bepalingen op verboden AI
• augustus 2025: eisen voor AI voor algemeen gebruik (general purpose AI)
• augustus 2026: eisen voor hoog-risico AI-toepassingen en transparantieverplichtingen.
• augustus 2027: eisen voor hoog-risico AI-producten: volledige AI-verordening is dan van toepassing
• augustus 2030: eisen voor hoog-risico AI-systemen bij overheidsorganisaties die vóór augustus 2026 op de markt zijn gebracht
Stappenplan
De AI Act geldt voor iedereen. Van ZZP’er tot multinational, van vrijwilligersorganisatie tot rijksoverheid. Bedrijven en organisaties moeten compliant worden. Wat moet je doen?
Stap 1 is in kaart brengen welke AI je gebruikt. Denk eraan dat sommige AI onderdeel is van software. Zoals Copilot in Microsoft-producten zit. Of Gemini in Google Workspace. Vraag je leverancier welke AI ze in de software heeft gestopt en hoe zij het risico inschatten.
Stap 2 is om risico’s te bepalen. Dat doe je pér AI. Dat kan in een speciale Europese database. Controleer of je AI hebt die in de hoogste twee risicocategorieen zitten
Stap 3 is om vast te leggen hoe je met de AI Act omgaat. Bijvoorbeeld door paragrafen in je Algemene Voorwaarden. Check je jurist!
Stap 4 is dat je cursussen voor je eigen mensen aanbiedt over AI, zowel algemeen als toegespitst op specifieke toepassingen. Ook dat is een verplichte regel.
In Nederland bestaat er een AI-scan die wordt aangeboden door ICT Recht. De checklist kun je invullen via ictrecht.nl. Dat is alvast een handig hulpmiddel.
Tot slot
De AI Act is een complex onderwerp, maar het is heel belangrijk om te weten wat het betekent voor jouw organisatie. Eigenlijk heeft het grote invloed op iedere organisatie die AI nu of straks gebruikt. En dat zullen er veel zijn, zo niet iedereen.
