Wat de EU AI Act voor uw bedrijf betekent ISMS.online

Wat de EU AI Act voor uw bedrijf betekent

Door Nicholas Fearn • 16 april 2024

Vorige maand vond de baanbrekende regelgeving inzake kunstmatige intelligentie van de Europese Unie plaats de wetboeken ingaan. De EU AI Act, die met een overweldigende meerderheid door het Europees Parlement is aangenomen met 523 tegen 46 stemmen, schetst een reeks risiconiveaus, verplichtingen en vereisten voor bedrijven die AI-oplossingen of -modellen ontwikkelen, inzetten en gebruiken.

Hoewel dit een Europese wet is, zullen Britse technologiebedrijven die hun AI-diensten en -modellen op de EU-markt willen aanbieden, zich hieraan moeten houden, anders riskeren ze hoge boetes. Dit vereist een concreet begrip van hoe de definitieve versie van de wet werkt en een volledige herziening van de complianceprogramma’s van bedrijven.

Belangrijkste veranderingen in de EU AI-wet

Een van de belangrijkste veranderingen in de definitieve versie van de EU AI Act is “een meer risicogebaseerde aanpak” voor het reguleren van de technologie, aldus Jake Moore, mondiaal cybersecurityadviseur bij antivirusmaker ESET.

Moore vertelt ISMS.online dat de regels zullen verschillen voor AI-toepassingen met een laag en een hoog risico, waarbij de strengste regels zullen gelden voor “die met een groter potentieel voor schade”. Voorbeelden van dit laatste zijn door AI aangedreven medische apparaten en geautomatiseerde politietechnologieën.

Hij voegt eraan toe dat de wet bedrijven ook zal dwingen transparant te zijn over hun AI-gebruik, gevaarlijke AI-toepassingen zoals voorspellend politiewerk zal verbieden en generatieve AI-modellen zoals ChatGPT 4 en Google Gemini onder de loep zal nemen.

“Dit is het eerste teken van het besef dat één AI-formaat niet voor iedereen geschikt is”, vervolgt Moore.

Leonie Power, een partner en AI-specialist bij advocatenkantoor Fieldfisher, zegt dat de belangrijkste veranderingen een AI-definitie omvatten die vergelijkbaar is met die van de Organisatie voor Economische Samenwerking en Ontwikkeling (OESO), naast specifieke bepalingen voor deepfakes en algemene doeleinden. AI-modellen.

Paolo Sbuttoni, partner bij advocatenkantoor Foot Anstey, wijst erop dat veel van deze veranderingen zijn uiteengezet in een uitgelekt wetsontwerp waarover de EU-wetgevers afgelopen december voorlopig overeenstemming hebben bereikt. Het omvatte een definitieve definitie van het AI-systeem, vereisten voor een effectbeoordeling van de grondrechten, beperkingen op realtime biometrische identificatie en regels voor AI-systemen voor algemene doeleinden, zegt hij.

“De medewetgevers hebben in januari 2024 enkele technische wijzigingen in de wet aangebracht om de tekst van de overwegingen in overeenstemming te brengen met de artikelen zoals overeengekomen tijdens de onderhandelingen in december, maar er zijn geen materiële wijzigingen aangebracht in het ontwerp van december 2023”, vertelt hij aan ISMS. .online.

De impact op Britse organisaties

Groot-Brittannië heeft mogelijk de Europese Unie verlaten en ontwikkelde een eigen aanpak aan het reguleren van AI-technologie, maar dit betekent niet dat de EU AI Act geen gevolgen zal hebben voor Britse bedrijven. Volgens Sbuttoni van Foot Anstey moeten alle Britse bedrijven die AI-diensten in de EU willen verkopen of installeren, de regels volgen.

Op grond van artikel 28 zullen deze verplichtingen echter variëren afhankelijk van de wijzigingen die worden aangebracht door in de EU gevestigde aanbieders, distributeurs of importeurs van AI-diensten die zijn ontwikkeld of aangeboden door Britse bedrijven, verduidelijkt hij. Deze groepen staan beter bekend als ‘downstreamgebruikers’, terwijl AI-dienstverleners ‘upstream’-entiteiten zijn.

Verwijzend naar artikel 3, punt 23, zegt Sbuttoni dat EU-regelgevers deze groepen als dienstverleners zullen beschouwen als ze substantiële wijzigingen aanbrengen in de systemen van Britse bedrijven. In deze inhoud zegt hij dat de Britse entiteit de EU-downstreamgebruiker – nu de dienstverlener – technische documenten, capaciteitsinformatie en technische toegang en assistentie zou moeten geven, zodat de andere partij aan de wet kan voldoen.

Het voldoen aan deze verplichtingen

Als het gaat om het voldoen aan deze nieuwe wettelijke vereisten, zullen Britse AI-bedrijven die op de EU-markt willen opereren een reeks wijzigingen in hun nalevingsprogramma’s moeten aanbrengen. Fieldfisher's Power beveelt organisaties aan dit proces te starten door alle ontwikkelde, ingezette of geplande AI-systemen te beoordelen en te bepalen welke impact de EU AI Act daarop zal hebben.

Vervolgens adviseert ze organisaties AI-modellen en -systemen te classificeren op basis van hun risiconiveau, zoals een hoog of systematisch risico, en inzicht te krijgen in de rol die zij spelen in de AI-toeleveringsketen. De laatste stap is het implementeren van een AI-governanceframework. Power zegt dat organisaties hiervoor gebruik kunnen maken van beproefde risico- en governance-frameworks, zoals die worden gebruikt voor gegevensprivacy.

“Denk vooral aan de overlap met GDPR naleving en de mate waarin de organisatie kan voortbouwen op deze nalevingsmaatregelen om aan de verplichtingen van de EU AI Act te voldoen”, vertelt ze aan ISMS.online. “Bij het volgen van de bovenstaande aanpak moeten organisaties rekening houden met de overgangsperioden voor specifieke vereisten, die variëren tussen zes en 36 maanden.”

Sbuttoni van Foot Anstey zegt dat organisaties complianceprogramma's moeten ontwerpen rond de potentiële risico's van hun AI-systemen. De vier risicocategorieën die de EU AI Act hanteert zijn: minimaal, beperkt, hoog en onaanvaardbaar.

“Voor systemen met een laag/minimaal risico zullen beperkte verplichtingen gelden, terwijl de wet een aantal belangrijke eisen oplegt aan de exploitanten van systemen met een hoog risico. Deze omvatten risicobeheer, conformiteits- en impactbeoordelingen, gegevenskwaliteit, transparantie of menselijk toezicht”, zegt hij.

Het niet naleven van deze regelgeving kan hoge financiële kosten met zich meebrengen. De EU kan bedrijven boetes tot €35 miljoen (£30 miljoen) of 7% van de mondiale omzet van het voorgaande jaar opleggen als zij zich bezighouden met verboden praktijken, €15 miljoen (£13 miljoen) of 3% wegens het niet voldoen aan andere wettelijke vereisten, en €7.5 miljoen (£6.4 miljoen) of 1% voor het verstrekken van valse informatie.

Hoe ISO 42001 kan helpen

Aangezien Britse bedrijven hun nalevingsprogramma’s aanpassen op basis van de vereisten van de EU AI Act, zou het ook een goed idee kunnen zijn om de ISO 42001-norm voor AI-beheersystemen.

Fieldfisher's Power zegt dat het benutten van deze industriestandaard bedrijven in staat zou stellen te voldoen aan de EU AI Act door “een cultuur van transparantie, verantwoordelijkheid en ethisch gebruik van AI te creëren”.

Sbuttoni van Foot Anstey voegt eraan toe dat de technische begeleiding die ISO 42001 biedt bedrijven zal helpen bij het beheersen van AI-risico's en -kansen.

“Hoewel het de naleving van de wet niet garandeert, is het een goede stap om bedrijven die AI gebruiken te helpen voldoen aan de industriële of wettelijke eisen”, stelt hij.

Gezien de omvang van de Europese markt zullen veel Britse bedrijven die de kracht van AI in hun productaanbod willen benutten, de norm in de gaten houden als een manier om hun internationale expansie te stroomlijnen.

Nicholas Fearn

Nicholas Fearn is een freelance journalist uit de Welsh Valleys. Hij heeft geschreven voor grote media als de Financial Times, The Independent, The Telegraph, Evening Standard, iNews, HuffPost en Insider, maar ook voor B2B-publicaties als Computer Weekly, Computing en IT Pro. Als Nic niet over de nieuwste gadgets en technologische trends schrijft, luistert hij waarschijnlijk naar de hele discografie van Mariah Carey.

Lees meer van Nicholas Fearn

Cyber security 8 januari 2026

Het compliance-tijdperk: hoe regelgeving, technologie en risico's de normen in het bedrijfsleven herschrijven (blog)

Het tijdperk van compliance: hoe regelgeving, technologie en risico de normen in het bedrijfsleven herschrijven.

Compliance is voor de meeste bedrijfsleiders niet het meest aantrekkelijke aspect. Ze zien het misschien als een noodzaak om druk van de regelgeving te vermijden, maar toch...

Nicholas Fearn

Cyber security 27 November 2025

Hoe grootschalige cyberincidenten de werkelijke impact van kwetsbaarheden in de toeleveringsketen op het bedrijfsleven aantonen

Cyberinbreuken richten grote schade aan bij bedrijven. Ze kunnen de bedrijfsvoering lamleggen, de schatkist leegtrekken en het vertrouwen van klanten ondermijnen. Vaak...

Nicholas Fearn

Cyber security 4 September 2025

Datalek bij Qantas: waarom leverancierstoezicht een prioriteit moet zijn bij naleving

Een recent datalek bij Qantas, waarbij de persoonlijke gegevens van 5.7 miljoen klanten in gevaar kwamen, heeft de voortdurende cyberbeveiligingsrisico's van hun bedrijf aan het licht gebracht.

Nicholas Fearn