Een belangrijke deadline voor de EU-wetgeving inzake kunstmatige intelligentie nadert: dit is wat bedrijven moeten weten.

De AI-wet van de EU nadert de laatste fase van zijn moeizaam lange traject van wetsvoorstel tot uitvoerbare wet. Het heeft lang geduurd. De wet trad op 1 augustus 2024 in werking, met een gefaseerde implementatie die leidde tot talloze deadlines in de daaropvolgende maanden en jaren. Tenzij een veelbesproken Digitaal Omnibus-voorstel Als het voorstel binnenkort door het Europees Parlement wordt goedgekeurd, verstrijkt een belangrijke deadline op 2 augustus 2026.

Britse bedrijven die in de regio systemen met een hoog risico ontwikkelen of gebruiken, hebben tot die tijd de tijd om hun AI-governance op orde te brengen. Toezichthouders willen bewijs zien van controle, niet alleen beweringen van naleving. Voor sommige organisaties kan dit een aanzienlijke cultuurverandering vereisen. Maar pragmatische best practices zoals ISO 42001 kunnen hen daarbij helpen.

Het verhaal tot nu toe

Sinds de wet is aangenomen, zijn verschillende aspecten ervan van kracht geworden. Met name in februari 2025 zijn nieuwe eisen ten aanzien van de geletterdheid van personeel van kracht geworden, zijn bestuursstructuren zoals het AI Office en de AI Board opgericht en is AI-systemen die "onaanvaardbare risico's" met zich meebrengen, verboden. Onder de risicogebaseerde aanpak van de wet is dit echter het makkelijke gedeelte. Omdat systemen die onaanvaardbare risico's met zich meebrengen verboden zijn en er geen nieuwe regels gelden voor systemen die als minimaal of geen risico worden beschouwd (bijvoorbeeld spamfilters), verschuift de aandacht naar systemen met een "beperkt" en "hoog risico".

Volgens de experts moeten toepassingen die als beperkt risico worden beschouwd (zoals chatbots en sommige deepfake-generatoren) ervoor zorgen dat "mensen indien nodig worden geïnformeerd om het vertrouwen te behouden". Europese CommissieMaar juist bij systemen met een hoog risico liggen de grootste uitdagingen op het gebied van compliance.

Onder de compliantiemicroscoop

Zoals we hebben eerder uitgelegdSystemen met een hoog risico zijn systemen die worden gebruikt op gebieden zoals biometrische identificatie, kritieke sectoren zoals de gezondheidszorg, het onderwijs en de arbeidsmarkt (waar AI-beslissingen een impact kunnen hebben op het leven van mensen) en essentiële infrastructuur (bijvoorbeeld energienetten en transportsystemen). Enkele voorbeelden van toepassingen die de commissie noemt, zijn het nakijken van examens, robotondersteunde chirurgie, het sorteren van cv's, kredietbeoordeling en software die wordt gebruikt voor het nemen van visumbeslissingen en het opstellen van rechterlijke uitspraken.

Deze producten zijn onderworpen aan strenge voorwaarden voordat ze op de markt gebracht mogen worden, namelijk:

• Continue risicobeoordeling en -beperking
• Hoogwaardige datasets voor het trainen en testen van de AI.
• Gedetailleerde registratie van activiteiten en documentatie.
• Duidelijke informatie moet worden verstrekt aan de implementeerder (organisaties die de modellen gebruiken).
• Passend menselijk toezicht
• Hoge niveaus van "robuustheid, veiligheid en nauwkeurigheid"

Deze verplichtingen worden enigszins gecompliceerd door de verschillende eisen die worden gesteld aan aanbieders (modelontwikkelaars), implementeerders (gebruikers), importeurs en distributeurs. Op papier lijken deze duidelijk. Maar een implementeerder wordt als aanbieder beschouwd als deze het beoogde doel van een systeem wezenlijk wijzigt of verandert. Wat de zaken nog ingewikkelder maakt, is dat organisaties mogelijk meerdere rollen tegelijk vervullen. Denk bijvoorbeeld aan een SaaS-bedrijf dat een basismodel van een derde partij overneemt, dit verfijnt en vervolgens implementeert bij klanten in meerdere rechtsgebieden.

Beginnen met zichtbaarheid

Dit alles maakt AI-governance onmisbaar. Maar wat moet een goede strategie in deze snel veranderende markt precies inhouden? Volgens Chris Jones, managing director van PSE Consulting, zou transparantie de hoogste prioriteit moeten hebben.

"Veel bedrijven gebruiken AI al op kleine schaal en verspreid over verschillende afdelingen, maar slechts weinig bedrijven hebben een duidelijk overzicht van waar AI precies wordt ingezet, welke beslissingen erdoor worden beïnvloed en of het in een risicocategorie valt", vertelt hij aan IO (voorheen ISMS.online). "Het uitgangspunt zou een gestructureerde evaluatie moeten zijn van AI-toepassingen, de verantwoordelijkheid voor de bijbehorende risico's en hoe die risico's aansluiten op bestaande verplichtingen onder kaders zoals de AVG en NIS2."

Volgens Nick Reed, Chief Strategy Officer van Bizzdesign, kan naleving hier ingewikkeld worden, vanwege de overlappende verplichtingen van elk onderdeel.

"Een AI-systeem dat bijvoorbeeld persoonsgegevens verwerkt in een kritieke infrastructuurcontext, kan tegelijkertijd verplichtingen opleggen onder de AVG, NIS2 en de AI Act. Wanneer organisaties deze als afzonderlijke nalevingstrajecten beschouwen, dupliceren ze inspanningen en missen ze mogelijk de overeenkomsten die een veel efficiëntere nalevingsbeheer mogelijk maken", vertelt hij aan IO.

“Om dit aan te pakken is structurele transparantie binnen de hele organisatie nodig. Organisaties hebben een samenhangend beeld nodig van hoe AI, bedrijfsactiviteiten, data en kritieke systemen elkaar kruisen; niet alleen binnen individuele regelgevingscontexten, maar in alle contexten. Enterprise-architectuur biedt dat gedeelde, bedrijfsbrede semantische model, dat AI-systemen verbindt met de mogelijkheden, processen, data, externe partijen en verplichtingen waarmee ze in aanraking komen. Dit maakt gecoördineerd bestuur mogelijk, in plaats van gefragmenteerde initiatieven die tot dubbel werk leiden.”

De volgende stap voor organisaties die aan de regelgeving voldoen, is inzicht te krijgen in hun positie in de AI-toeleveringsketen.

"Veel organisaties gaan ervan uit dat ze alleen maar gebruikers van AI zijn, maar in de praktijk fungeren ze mogelijk als integratoren of distributeurs zodra ze modellen aanpassen of in hun eigen diensten integreren", aldus Jones van PSE Consulting. "Dat verandert hun verplichtingen en hun risico's, dus het is essentieel om die rollen vroegtijdig in kaart te brengen."

Reed van Bizzdesign is het daarmee eens en stelt dat zichtbaarheid opnieuw van cruciaal belang is.

"Om de rol te bepalen en de risico's in te schatten, moeten organisaties inzicht krijgen in hoe AI-systemen aansluiten op de bredere onderneming: welke bedrijfsfunctionaliteiten ze ondersteunen, welke processen ze mogelijk maken, tot welke gegevens ze toegang hebben en welke leveranciers ze leveren", zegt hij.

“Zonder dat samenhangende beeld dreigt rolclassificatie gebaseerd te zijn op meningen in plaats van feiten. De echte test komt wanneer er iets verandert. Als een tool van een leverancier opnieuw wordt geclassificeerd als risicovol of van de markt wordt gehaald, kunt u dan direct antwoorden welke processen ervan afhankelijk zijn, welke gegevens ermee worden verwerkt, of er alternatieven bestaan ​​en hoe snel u kunt overstappen?”

Een volwassen aanpak met ISO 42001

Om de nodige flexibiliteit te ontwikkelen om te blijven voldoen aan de regelgeving te midden van veranderingen in de wetgeving, herclassificatie van leveranciers en strategische koerswijzigingen, moeten organisaties een gestructureerde en consistente aanpak van governance hanteren, vervolgt Reed. ISO 42001 kan hierbij helpen.

"Het formaliseert de verwachtingen rond risicomanagement, documentatie, toezicht en continue verbetering gedurende de gehele AI-levenscyclus", zegt hij. "Voor organisaties die te maken hebben met de EU AI-wetgeving, de AVG en NIS2, helpen raamwerken zoals ISO 42001 om wettelijke vereisten te vertalen naar herhaalbare processen die compliance- en risicoteams met vertrouwen kunnen implementeren."

Nik Kairinos, CEO en medeoprichter van RAIDS AI, deelt meer pragmatische redenen waarom ISO 42001 kan helpen.

“De EU heeft een ontwerp-Europese norm ontwikkeld die specifiek ingaat op de eisen van artikel 17 van de wet, waarin kwaliteitsmanagementsystemen (QMS) verplicht worden gesteld voor AI-aanbieders met een hoog risico: prEN 18286 "(Kunstmatige intelligentie – Kwaliteitsmanagementsysteem voor de regelgeving van de EU-wetgeving inzake kunstmatige intelligentie)," vertelt hij aan IO.

Organisaties met een bestaande ISO 42001-certificering hebben een aanzienlijke voorsprong bij de naleving van de EU AI-wetgeving, omdat deze de operationele basis vormt voor prEN 18286. Dankzij het vermoeden van conformiteit kunnen organisaties die prEN 18286 implementeren ervan uitgaan dat ze voldoen aan de verplichtingen van artikel 17 – en daar moeten bedrijven zich dus op richten.

Het doel zou niet moeten zijn om helemaal opnieuw te beginnen, maar om bestaande relevante controles en kwaliteitsborgingsmodellen uit te breiden naar de AI-ruimte, aldus Jones van PSE Consulting.

"De organisaties die zich het meest succesvol zullen aanpassen, zijn de organisaties die betrouwbare AI beschouwen als een operationele discipline in plaats van een verplichtingsoefening", concludeert hij. "Als je weet waar je AI zich bevindt, wie de eigenaar is en hoe deze zich gedraagt ​​als er iets misgaat, ben je al een heel eind op weg om aan de intentie van de regelgeving te voldoen."

Met mogelijke boetes voor niet-naleving die kunnen oplopen tot €15 miljoen (£13 miljoen) of 3% van de wereldwijde jaaromzet, is er geen tijd te verliezen.