AI Act 2024

De AI Act is – eindelijk – een feit

Katleen Mertens

7 Min
29/03/2024

Het Europees Parlement heeft op 8 december 2023 een akkoord bereikt over de AI Act. Er werden nog enkele kleine aanpassingen aan de wettekst aangebracht. Op woensdag 13 maart 2024 werd die na jarenlange onderhandelingen dan toch met overweldigende steun definitief goedgekeurd. Dit betekent dat u nu maximum twee jaar de tijd heeft om de wet toe te passen. Q2 2026 wordt dus D-date.

European Union AI Act 2024

De bedoeling van de wetgeving is om AI-technologie te reguleren. De AI Act zorgt voor een wettelijk kader om een veilig en betrouwbaar AI-klimaat te creëren, die de grondrechten van EU-burgers beschermen. Het kader moet ook innovatie stimuleren, maar op een veilige manier. Dit wil zeggen dat het rekening houdt met mens en milieu. AI kan namelijk schade aanrichten op verschillende manieren: psychisch, lichamelijk, maatschappelijk en economisch.

Definitie

De EU beschrijft een AI-systeem als een machinaal systeem dat zelfstandig kan werken. Na de installatie kan dit systeem zichzelf aanpassen en leren uit de informatie die het krijgt, om voorspellingen te doen, dingen te creëren, advies te geven, of beslissingen te nemen die invloed kunnen hebben op de fysieke of virtuele wereld.

Belangrijk is dat AI-systemen duidelijk onderscheiden worden van bijvoorbeeld softwareprogramma’s, of regels die door natuurlijke personen worden opgesteld om automatische handelingen uit te uitvoeren.

Toepassingsgebied

De wet is van toepassing op:

  • Exploitanten (gebruikers) van AI-systemen in de EU
  • Aanbieders van AI-systemen (in handel brengen of in gebruik stellen) in de EU (ongeacht of de partij gevestigd is in de EU of in een derde land)
  • Aanbieders en exploitanten van AI-systemen uit een derde land, maar waarvan de output bedoeld is om in de EU te gebruiken.
  • Importeurs en distributeurs, die AI-systemen uitbrengen op de EU markt
  • Productfabrikanten die producten met AI-systemen uitbrengen op de EU markt

De wet is dus van toepassing op alle sectoren.

Of de wet correct wordt toegepast, zal gecontroleerd worden door nationale autoriteiten, zoals bijvoorbeeld de gegevensbeschermingsautoriteit. Wie niet voldoet, mag zich aan een boete verwachten, die kan oplopen tot 35 miljoen euro per overtreding of tot 7% van de wereldwijde omzet.

Risicocategorieën

 De AI-wet is gebaseerd op een risk-based model. Sommige AI-systemen zijn daardoor verboden, anderen moeten zich aan regels houden en transparantie voorzien, afhankelijk van het risicoprofiel van het systeem.

Volgende risicocategorieën worden in acht genomen:

Onaanvaardbaar risico

Deze AI-systemen zijn verboden. Hieronder vallen onder andere social scoring modellen. Deze modellen geven letterlijk een sociale score aan natuurlijke personen, afhankelijk van persoonlijke kenmerken of het sociaal gedrag van deze persoon. Door een rood licht rijden, beïnvloedt de score bijvoorbeeld negatief, mensen helpen positief.

Ook biometrische categorisatiesystemen, die gevoelige kenmerken gebruiken zoals politieke, religieuze, filosofische overtuigingen, seksuele geaardheid of ras, zijn uit den boze. Evenals AI-systemen die menselijk gedrag manipuleren om de vrije wil te omzeilen of kwetsbaarheden van mensen uitbuiten.

Deze systemen vormen een gevaar voor de rechten, de veiligheid en/of de gezondheid van natuurlijke personen. Ze moeten binnen de zes maanden uitgefaseerd worden.

Hoog risico

Hieronder vallen bijvoorbeeld AI systemen die ondersteunen bij werving en selectie, zoals het selecteren van kandidaten bij vacatures, of het bepalen van bonussen bij werknemers.

AI-systemen met een hoog risico moeten voor gebruik geregistreerd worden in een EU-database voor ze op de markt komen. Ze moeten gedocumenteerd worden (assessment) en zullen ook opgevolgd moeten worden. Die uitgebreide documentatie om naleving van de regelgeving aan te tonen omvat onder andere records van programmerings- en trainingsmethodologieën, gebruikte datasets en genomen maatregelen voor toezicht en controle.

Laag risico

Deze AI-systemen vormen geen gevaren. Ze zullen dus zonder meer ontwikkeld en gebruikt mogen worden. Transparantie blijft evenwel cruciaal.

Om te classificeren of een AI-systeem al dan niet een hoog risico omvat, is afhankelijk van het effect van het systeem op de grondrechten (recht op privacy, recht op vrijheid, recht op non-discriminatie,...), de veiligheid en de gezondheid van natuurlijke personen. De wet geeft ook heel wat voorbeelden om tot de juiste classificatie te komen.

Wat betekent dit voor u?

  • Als u alle AI-systemen in kaart hebt gebracht, dan dient u de risicocategorie te bepalen. U moet dus de risico’s van het effect van het systeem op de grondrechten (en maatschappij) vastleggen en maatregelen opstellen om die risico’s te beheersen (impact assessment). U moet dit grondig documenteren en op regelmatige wijze herbekijken. En vooral: toepassen. AI-systemen met een hoog risico moeten vooraf geregistreerd worden. In sommige gevallen moet u het AI-systeem laten beoordelen (assessen) door een externe partij.
  • Het is belangrijk dat uw bedrijf beheersmaatregelen treft, alles goed documenteert, opvolgt, dat u transparant bent en dat u dat ook allemaal kan aantonen (accountability). Compliance speelt dan ook een belangrijke rol bij elk AI-systeem in uw organisatie. Het systeem opvolgen en tijdig ingrijpen, voordat het eventueel verkeerd loopt, is dus noodzakelijk.
  • De wet benadrukt het belang van kwalitatief hoogwaardige (en dus betrouwbare) data om de betrouwbaarheid van een AI-systeem te kunnen waarborgen (data governance). Cybersecurity, voor de beveiliging van data, hoort hier ook bij.
  • De wet benadrukt – voor wie het nog niet duidelijk mocht zijn – ook nog eens dat de bescherming van persoonsgegevens cruciaal is. Onder andere door dataminimalisatie toe te passen en data te anonimiseren of te versleutelen.