Waarom het tijd is om plannen te maken voor de AI Act van de EU

Waarom het tijd is om plannen te maken voor de EU AI Act

Door Phil Muncaster • 26 September 2023

Weinig technologieën hebben het potentieel om toezichthouders ongerust te maken en bedrijven zo te verrassen als kunstmatige intelligentie (AI). Het bestaat al jaren in verschillende vormen. Maar de Europese wetgevers hebben zich genoodzaakt gevoeld om in te grijpen nu intelligente algoritmen steeds meer ingebed raken in bedrijfsprocessen en op de burger gerichte technologieën.

De uitdaging voor bedrijven die dergelijke systemen ontwikkelen zal zijn om te beoordelen of ze voldoen aan de strikte criteria die nodig zijn om binnen het blok op de markt te komen. Vooral voor Britse bedrijven zal een besluit moeten worden genomen over de wijze waarop zij met de uiteenlopende regelgevingsregimes moeten omgaan.

Wat staat er in de AI-wet?

Overheden over de hele wereld kijken steeds meer naar AI in een poging misbruik of onbedoeld misbruik tot een minimum te beperken. De G7 bespreekt het. Het Witte Huis probeert basisregels vast te stellen individuele rechten beschermen en ervoor te zorgen verantwoorde ontwikkeling en implementatie. Maar het is de EU die het verst is gevorderd in de richting van volledig gevormde wetgeving. Zijn voorstellen voor een nieuwe “AI-wet” zijn onlangs goedgekeurd door het Europees Parlement.

De AI-wet streeft naar een op risico gebaseerde aanpak, waarbij AI-modellen worden geclassificeerd op basis van ‘onaanvaardbaar’, ‘hoog’, ‘beperkt’ en ‘minimaal’ risico.

Onaanvaardbaar risico betekent systemen die de “veiligheid, het levensonderhoud en de rechten” van mensen bedreigen. Deze omvatten gezichtsherkenningstechnologie, sociale scores van de overheid en voorspellend politiewerk, en zullen volledig worden verboden.

Hoog risico Tot de systemen zou AI kunnen behoren die wordt gebruikt in kritieke infrastructuur, wat de gezondheid van burgers in gevaar zou kunnen brengen, of in onderwijsinstellingen, waar het zou kunnen worden gebruikt om examens te scoren. Andere voorbeelden zijn:

Gebruik van AI op de werkplek, zoals het sorteren van cv's.
Kredietscore.
Documenten verifiëren bij grenscontrole.
Politie beoordeelt bewijsmateriaal.

EP-leden plaatsten ook aanbevelingssystemen op sociale media en AI beïnvloedde kiezers tijdens verkiezingen in de categorie met een hoog risico.

Beperkt risico verwijst naar AI-systemen waarbij gebruikers moeten worden geïnformeerd dat ze communiceren met een machine, zoals een chatbot.

Minimaal/geen risico systemen zoals AI-spamfilters of videogames kunnen vrijelijk en zonder beperkingen worden gebruikt. De EU beweert dat deze categorie het merendeel van de AI-producten omvat die momenteel in gebruik zijn.

Wat zijn de verplichtingen voor bedrijven die hieraan voldoen?

Die ontwikkelaars (aanbieders) van potentieel risicovolle AI moeten door meerdere hoepels springen voordat hun producten op de markt worden toegelaten. Deze omvatten:

Risicobeoordelingen en mitigatiesystemen
Het onderhouden van datasets van hoge kwaliteit om risico's en discriminatie te minimaliseren
Registratie van activiteiten om transparantie aan de resultaten toe te voegen
Gedetailleerde documentatie van het systeem en het doel ervan om te delen met de autoriteiten
Duidelijke en “adequate” informatie voor gebruikers
“Passend” menselijk toezicht om risico’s te minimaliseren
Hoge niveaus van “robuustheid, veiligheid en nauwkeurigheid.”

Zodra een systeem is ontwikkeld en een conformiteitsbeoordeling heeft doorstaan, wordt het geregistreerd in een EU-database en krijgt het een CE-markering. Zakelijke gebruikers van AI-modellen moeten echter zorgen voor voortdurend menselijk toezicht en monitoring, terwijl aanbieders de plicht hebben om systemen te monitoren zodra ze op de markt komen. Beide belanghebbenden moeten ernstige incidenten en het niet goed functioneren van AI-modellen melden.

Welke impact zal de wet hebben op Britse bedrijven?

Het verschil tussen dit toekomstige regime en dat van Groot-Brittannië is groot. Volgens Volgens Edward Machin, een senior jurist in het data-, privacy- en cybersecurity-team van Ropes & Gray, wordt beweerd dat laatstgenoemde meer innovatiegedreven en pro-business is.

“In tegenstelling tot de EU is de Britse regering niet van plan om AI-wetgeving in te voeren, noch zal zij een nieuwe AI-regulator creëren. In plaats daarvan zullen bestaande instanties (bijvoorbeeld ICO, FCA) het raamwerk ondersteunen en sectorspecifieke richtlijnen uitvaardigen”, vertelt hij aan ISMS.online.

“Hoewel Groot-Brittannië enigszins een uitschieter is in zijn luchtige benadering, is het raamwerk gebaseerd op principes – veiligheid, transparantie, eerlijkheid, verantwoordelijkheid en verhaal – die gebruikelijk zijn in de manier waarop de meeste wetgevers momenteel over AI-regulering denken.”

Het is echter onwaarschijnlijk dat Britse bedrijven met activiteiten in de EU van deze lichtere aanpak kunnen profiteren, tenzij ze ervoor kiezen de uiteenlopende nalevingsregimes te steunen, wat extra overheadkosten met zich mee zal brengen.

“Als Groot-Brittannië een lichtere benadering van regelgeving blijft hanteren dan de EU, zullen Britse organisaties die onder de AI Act vallen, moeten beslissen of ze al dan niet één enkele, Europa-brede benadering van naleving zullen hanteren”, vervolgt Machin.

“Het alternatief is om aparte processen te hebben voor Groot-Brittannië en de EU, wat voor veel bedrijven duur zal zijn, moeilijk te implementeren en waarschijnlijk van beperkt commercieel voordeel zal zijn. Als bedrijven bepaalde nalevingsverplichtingen duidelijk en gemakkelijk per regio kunnen scheiden, moeten ze deze uiteraard overwegen, terwijl ze erkennen dat ze in de praktijk ook in andere gevallen aan de hogere EU-normen zullen moeten voldoen.”

Waar u op moet letten

Uiteraard zijn de regels nog steeds in beweging totdat ze definitief zijn. De Europese Commissie, de lidstaten en parlementariërs zullen elkaar ontmoeten in een reeks ‘trialoogvergaderingen’ om de details uit te werken. Het valt bijvoorbeeld nog te bezien hoe generatieve AI-modellen zullen worden behandeld. Alles wat de commissie tot nu toe heeft gezegd is dat ze de transparantievereisten moeten volgen en voorkomen moeten worden dat ze ‘illegale inhoud’ genereren en inbreuk maken op het auteursrecht. Stanford-onderzoekers hebben dit al beweerd dat veel AI-modellen, waaronder GPT-4, momenteel niet voldoen aan de AI-wet.

Machin voegt eraan toe dat bedrijven die risicovolle modellen ontwikkelen of gebruiken ook nauwlettend in de gaten moeten houden wat er daarna gebeurt.

“Er zullen waarschijnlijk meningsverschillen zijn over de manier waarop ‘risicovolle’ AI-systemen worden gedefinieerd, en bedrijven zullen nauwlettend in de gaten houden hoe dit uitpakt, gezien het feit dat fundamentele modellen en technologieën die steeds meer invloed hebben op het leven van mensen (zoals op het gebied van de werkgelegenheid en de financiële dienstverlening) Laat je vangen door deze definitie”, betoogt hij.

Jonathan Armstrong, partner bij Cordery, schat dat het zeker vier maanden zal duren voordat bedrijven de duidelijkheid krijgen waarnaar ze op zoek zijn.

“Het advies dat we onze klanten momenteel geven is om een formele beoordeling te doen, maar dit hoeft niet al te belastend te zijn. We hebben klanten bijvoorbeeld geholpen bij het aanpassen van hun proces voor de beoordeling van de impact op gegevensbescherming. Dit is een goede basis omdat er wordt gekeken naar enkele zaken die de AI Act zal aanpakken, zoals eerlijkheid, transparantie, veiligheid en het reageren op verzoeken”, vertelt hij aan ISMS.online.

“Dat zal hen ook helpen om met de vijf AI-principes in het Verenigd Koninkrijk [beleidsdocument] om te gaan. Ik denk dat het voor de meeste organisaties niet al te veel extra last is als ze dat wel doen GDPR Juist, maar voor sommigen is dat een grote vraag.”

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 20 januari 2026

Het dichten van de kloof in AI-governance met ISO 42001

Het Verenigd Koninkrijk kampt met een probleem op het gebied van AI-governance. Dit was wellicht geen probleem een paar jaar geleden, toen projecten in de meeste organisaties nog in kleine stappen werden uitgevoerd. Maar vandaag de dag...

Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster