Alles wat u tot nu toe moet weten over de EU AI Act

Kunstmatige intelligentie (AI) is de afgelopen 12 maanden geëvolueerd van een futuristisch concept naar een transformatieve technologie die in vrijwel elke sector is geïntegreerd. Van gezondheidszorg en financiën tot detailhandel en productie, AI verandert nu al de manier waarop bedrijven opereren, beslissingen nemen en klanten bedienen. Deze snelle groei brengt echter aanzienlijke uitdagingen met zich mee op het gebied van transparantie, ethisch gebruik en risicobeheer, met name op gebieden als privacy, informatiebeveiliging en gegevensbescherming.

Enter de EU AI-wet, 's werelds eerste uitgebreide wetgevingskader dat specifiek is ontworpen om AI-technologieën te reguleren.

Het begrijpen en naleven van deze regelgeving is nu belangrijker dan ooit voor bedrijven die binnen de EU-markt opereren of ermee interacteren. Het niet naleven hiervan kan leiden tot zware straffen en schade aan de reputatie van het merk en het vertrouwen van de consument. Deze blog legt alles uit wat u moet weten over de EU AI Act en wat bedrijven moeten doen om zich voor te bereiden.

Wat is de EU AI-wet?

De EU AI Act is wetgeving die door de Europese Unie is geïntroduceerd om een ​​uitgebreid kader te creëren voor het reguleren van kunstmatige intelligentie. Het doel is om wereldwijde standaarden vast te stellen voor hoe AI-systemen worden ontwikkeld, ingezet en gemonitord, met de focus op het beheren van de risico's van AI-technologie voor individuen en de maatschappij.

Doelstellingen van de EU AI Act:

• Risicomanagement: Een van de belangrijkste doelstellingen van de EU AI Act is het creëren van een regelgevingskader dat richt zich op de risico's die samenhangen met AI-systemen, waaronder het beschermen van de privacy, het voorkomen van discriminatie en het vermijden van risico's voor het fysieke of mentale welzijn.
• Balanceren tussen innovatie en veiligheid: Met de wet wordt beoogd een evenwicht te vinden tussen het stimuleren van voortdurende innovatie van AI-technologieën en het beschermen van de openbare veiligheid. Daarbij wordt ervoor gezorgd dat AI-ontwikkelingen niet ten koste gaan van transparantie, eerlijkheid of ethische normen.
• Transparantie en verantwoording: Een ander belangrijk doel is het bevorderen van transparantie in het gebruik van AI. Bedrijven moeten daarom essentiële informatie over hun AI-systemen openbaar maken wanneer deze van invloed zijn op sectoren met een hoog risico, zoals de gezondheidszorg, wetshandhaving of werkgelegenheid.

Door een duidelijke en afdwingbare regelgevingsstructuur te creëren, wil de EU AI Act het voortouw nemen in het wereldwijde gesprek over AI-governance en een voorbeeld bieden dat andere landen kunnen volgen.

Belangrijkste onderdelen van de EU AI Act

Risicogebaseerde aanpak

De EU AI-wet hanteert een op risico's gebaseerde benadering, waarbij AI-systemen in vier categorieën worden ingedeeld op basis van hun potentiële schade:

• Onacceptabel risico: AI-toepassingen die de rechten en veiligheid van mensen ernstig bedreigen, zoals op AI gebaseerde sociale scores van overheden of systemen die kwetsbare bevolkingsgroepen uitbuiten, zijn ronduit verboden.
• Hoog risico: AI-systemen die worden gebruikt in kritieke gebieden zoals biometrische identificatie, gezondheidszorg en essentiële infrastructuur, staan ​​onder streng toezicht. Compliancevereisten voor systemen met een hoog risico omvatten data governance, archivering en gedetailleerde risicobeoordelingen.
• Beperkt risico: Voor deze systemen gelden minder verplichtingen, maar ze moeten wel voldoen aan elementaire transparantievereisten, zoals het informeren van gebruikers wanneer ze met een AI-systeem communiceren.
• Minimaal of geen risico: AI-systemen in deze categorie, zoals AI-gestuurde chatbots of aanbevelingssystemen, vallen grotendeels buiten het regelgevingskader.

Hoe u kunt bepalen of uw AI-oplossingen onder de categorieën ‘hoog risico’ of ‘beperkt risico’ vallen

Een van de eerste stappen bij het navigeren door de EU AI Act is het bepalen waar uw AI-oplossingen binnen dit risicogebaseerde kader vallen. Hier is een snelle gids op topniveau:

AI-systemen met een hoog risico

AI-systemen die onder de categorie met een hoog risico vallen, zijn onderworpen aan strenge nalevingsverplichtingen vanwege tot hun potentieel om aanzienlijke schade te veroorzaken als ze niet goed functioneren of verkeerd worden gebruikt. Systemen met een hoog risico omvatten:

1. Biometrische identificatiesystemen (zoals gezichtsherkenning) die in de openbare ruimte worden gebruikt.
2. AI-tools gebruikt in cruciale sectoren Denk aan de gezondheidszorg, het onderwijs en de werkgelegenheid. Hier kunnen beslissingen op basis van AI een grote impact hebben op het leven van mensen.
3. Beheer van kritieke infrastructuur, waaronder AI-systemen die energienetwerken, watervoorzieningen en transportsystemen regelen.

Voor deze systemen met een hoog risico moeten bedrijven grondige risicobeoordelingen uitvoeren, mechanismen voor menselijk toezicht implementeren en Zorg ervoor dat de AI-systemen veilig, betrouwbaar en transparant zijn.

AI-systemen met beperkt risico

Deze systemen brengen minder potentiële risico's met zich mee en hebben dus minder verplichtingen. Voorbeelden hiervan zijn:

• AI-systemen die met gebruikers communiceren, maar geen beslissingen nemen die gevolgen hebben voor rechten of veiligheid (bijvoorbeeld chatbots of virtuele assistenten).
• AI wordt gebruikt voor geautomatiseerde besluitvorming in klantenservice of aanbevelingssystemen.

Transparantieverplichtingen

De wet introduceert een aantal transparantieverplichtingen, met name voor AI-systemen met een hoog en beperkt risico:

• Bedrijven moeten duidelijke documentatie verstrekken over hoe hun AI-systemen functioneren en hoe ze zijn getraind.
• Gebruikers die met AI-systemen interacteren, moeten ervan op de hoogte zijn dat ze met AI te maken hebben, vooral wanneer die systemen beslissingen nemen die gevolgen hebben voor de rechten of het welzijn van mensen.
• Specifieke openbaarmakingen zijn vereist voor AI-systemen die betrokken zijn bij gegevensverwerking om ervoor te zorgen dat gebruikers zich bewust zijn van de mogelijke gevolgen voor de privacy.

Deze transparantievereisten zijn bedoeld om het vertrouwen van het publiek in AI-technologieën te vergroten door de systemen gemakkelijker te begrijpen en te onderzoeken.

Verboden AI-praktijken

Specifieke AI-toepassingen zijn verboden onder de EU AI Act vanwege hun potentieel om schade aan de maatschappij te veroorzaken. Deze omvatten:

• Op AI gebaseerde sociale scoresystemen, die individuen profileren op basis van hun gedrag, sociaaleconomische status of andere persoonlijke gegevens, met name wanneer deze door overheden worden gebruikt.
• Biometrische identificatiesystemen in realtime gebruikt in de openbare ruimte voor massasurveillance, met uitzondering van rechtshandhaving onder specifieke, zeer noodzakelijke omstandigheden.
• AI-systemen die menselijk gedrag manipuleren op manieren die misbruik maken van kwetsbaarheden, zoals bij kinderen of mensen met een beperking.

Deze verboden weerspiegelen de inzet van de EU om misbruik van AI op manieren die de mensenrechten, de menselijke waardigheid en de privacy kunnen ondermijnen, te voorkomen.

Welke invloed heeft de EU AI-wet op mijn bedrijf?

De EU AI Act heeft verstrekkende gevolgen voor bedrijven die AI-systemen ontwikkelen of implementeren binnen de Europese Unie. Bedrijven moeten de nalevingsvereisten van de verordening begrijpen en naleven, ongeacht of ze rechtstreeks in de EU opereren of AI-producten en -diensten aanbieden aan EU-burgers.

Algemene nalevingsvereisten voor alle AI-providers

Ongeacht de risicocategorie van hun systemen, moeten alle AI-providers zich houden aan specifieke basisvereisten om veiligheid, transparantie en verantwoording te garanderen. Deze algemene verplichtingen omvatten:

Transparantieverplichtingen:

• Gebruikers informeren: AI-providers moeten ervoor zorgen dat personen op de hoogte worden gebracht wanneer ze interacteren met een AI-systeem. Als gebruikers bijvoorbeeld interacteren met een chatbot of een ander systeem dat mogelijk hun gedrag kan manipuleren, moeten ze duidelijk op de hoogte worden gebracht van de AI-aard ervan.
• Labelen van door AI gegenereerde content: Alle inhoud (bijvoorbeeld tekst, audio of afbeeldingen) die door AI wordt gegenereerd, moet worden gelabeld om ervoor te zorgen dat deze gemakkelijk kan worden geïdentificeerd als door AI geproduceerd.

Risicobeheersystemen:

• Risico-identificatie: Alle AI-providers moeten risicomanagementprocedures implementeren om risico's te beoordelen en te beperken die samenhangen met de implementatie van hun AI-systemen. Hoewel dit minder streng is dan systemen met een hoog risico, moet elke provider een vorm van risicobeperking hebben.

Gegevensbeheer:

• Gegevenskwaliteit en -integriteit: Providers moeten maatregelen nemen om de kwaliteit en integriteit van de data te waarborgen waarop hun AI-systemen vertrouwen. Hoewel systemen met een hoog risico specifiekere vereisten hebben (hieronder besproken), moeten alle AI-systemen een bepaald niveau van nauwkeurigheid en bias management handhaven.

Continue bewaking en testen:

• Providers moeten hun AI-systemen regelmatig controleren om ervoor te zorgen dat ze betrouwbaar, nauwkeurig en veilig blijven gedurende hun levenscyclus. Dit is vooral belangrijk voor AI-systemen die evolueren via machine learning.

Aanvullende nalevingsvereisten voor AI-aanbieders met een hoog risico

Leveranciers van AI-systemen met een hoog risico, zoals die welke betrokken zijn bij biometrische identificatie, kritieke infrastructuur, gezondheidszorg, rechtshandhaving en andere gevoelige sectoren die in bijlage III van de wet worden genoemd, zijn onderworpen aan veel strengere regelgeving, waaronder:

Effectbeoordelingen van de grondrechten (FRIA):

• Beoordeling van de impact op fundamentele rechten: Voor de implementatie moeten AI-systemen met een hoog risico hun potentiële impact op fundamentele rechten (bijvoorbeeld privacy en non-discriminatie) beoordelen. Als een Data Protection Impact Assessment (DPIA) vereist is, moet deze worden uitgevoerd in combinatie met de FRIA.

Conformiteitsbeoordelingen (CA):

• Pre-Market Compliance Controles: AI-systemen met een hoog risico moeten conformiteitsbeoordelingen ondergaan voordat ze op de markt worden gebracht. Deze beoordelingen verifiëren of het systeem voldoet aan de veiligheids- en transparantievereisten van de EU AI Act. Als het AI-systeem aanzienlijk wordt gewijzigd, moet de CA worden bijgewerkt.
• Audits door derden: Bepaalde AI-systemen met een hoog risico, zoals systemen die worden gebruikt bij biometrische identificatie, vereisen mogelijk externe audits en certificeringen van onafhankelijke instanties om naleving te garanderen.

Menselijk toezicht:

• Zorgen voor menselijke controle: AI-systemen met een hoog risico moeten mechanismen voor menselijk toezicht hebben, zodat operators indien nodig kunnen ingrijpen of de beslissingen van de AI kunnen negeren. Deze beveiliging zorgt ervoor dat AI-beslissingen die van invloed zijn op de rechten of veiligheid van individuen, door mensen kunnen worden beoordeeld en gecorrigeerd.

Gegevenskwaliteit en -beheer:

• Hogere normen voor gegevens: AI-systemen met een hoog risico moeten voldoen aan strengere normen voor data governance, om de nauwkeurigheid, betrouwbaarheid en eerlijkheid van de gebruikte data te waarborgen. Dit omvat het minimaliseren van potentiële vooroordelen en het waarborgen van de integriteit van trainingsdatasets.

Documentatie en traceerbaarheid:

• Uitgebreide administratie: AI-providers met een hoog risico moeten gedetailleerde gegevens bijhouden over hoe het AI-systeem is ontwikkeld, getest en getraind. Deze documentatie moet transparant en toegankelijk zijn voor toezichthouders voor audits, om de traceerbaarheid van de besluitvormingsprocessen van de AI te waarborgen.

Registratie in openbare database (voor overheidsinstanties):

Overheidsinstanties die AI-systemen met een hoog risico inzetten, moeten deze registreren in een openbare EU-databank, met uitzondering van bepaalde gevoelige gevallen, zoals rechtshandhaving of migratie, om transparantie te bevorderen.

Deze extra nalevingslagen weerspiegelen het toegenomen potentieel voor schade in gevoelige sectoren en zijn van cruciaal belang om te garanderen dat AI-systemen veilig, ethisch en verantwoord opereren.

Potentiële boetes voor niet-naleving

Niet-naleving van de EU AI Act kan leiden tot aanzienlijke boetes, vergelijkbaar met de boetes die worden opgelegd onder de Algemene Verordening Gegevensbescherming (AVG). Boetes voor het overtreden van de EU AI Act kunnen oplopen tot:

• € 30 miljoen of 6% van de wereldwijde jaarlijkse omzet van een bedrijfr, afhankelijk van welk bedrag het hoogst is, voor ernstige inbreuken (zoals het gebruik van AI voor verboden praktijken).
• Bij minder ernstige overtredingen kunnen de boetes oplopen tot € 20 miljoen of 4% van de wereldwijde omzet van het bedrijf.

Deze straffen zijn vergelijkbaar met GDPR-boetes en benadrukken de toewijding van de EU om haar AI-regelgeving met strikte verantwoording af te dwingen. Bedrijven moeten ervoor zorgen dat ze voldoen aan de regels om financiële en reputatieschade te voorkomen die kan voortvloeien uit niet-naleving.

Balans tussen regelgeving en groei: zal de wet de ontwikkeling van AI belemmeren of stimuleren?

Eén zorg rondom de EU AI Act is of de regelgeving innovatie zal onderdrukken door te veel beperkingen op te leggen. Hoewel de vereisten streng zijn, streeft de Act ernaar een evenwicht te vinden tussen regelgeving en groei:

• De nalevingseisen voor AI-systemen met een hoog risico zijn inderdaad streng, maar dit wordt gecompenseerd door het feit dat bedrijven een duidelijk pad wordt geboden naar de implementatie van veilige, betrouwbare AI.
• De regelgeving is minder streng voor AI-systemen met een laag of minimaal risico, waardoor kleinere bedrijven en startups kunnen innoveren zonder al te veel beperkingen.
• De wet moedigt bedrijven aan om al vroeg in de ontwikkeling te investeren in AI-governance. Daarmee kunnen later kostbare regelgevingsproblemen worden voorkomen, wat uiteindelijk leidt tot duurzame groei.

Bovendien De EU investeert in AI-onderzoek en -ontwikkeling via initiatieven zoals Horizon Europe, die financiering biedt voor ethische AI-projecten. Deze steun is bedoeld om groei te stimuleren en tegelijkertijd te garanderen dat nieuwe AI-technologieën voldoen aan de hoogste normen van veiligheid en verantwoording.

Wat bedrijven nu moeten doen om zich voor te bereiden

Om te zorgen dat ze voldoen aan de EU AI-wet, moeten bedrijven onmiddellijk maatregelen nemen om zich voor te bereiden op:

• Juridische en ethische beoordeling: Voer een grondige juridische beoordeling van AI-systemen uit om ervoor te zorgen dat ze voldoen aan de ethische normen en wettelijke verplichtingen van de wet. Dit kan betekenen dat u speciale complianceteams opzet of samenwerkt met externe experts.
• Technische aanpassingen: Implementeer technische veiligheidsmaatregelen, zoals mechanismen voor menselijk toezicht, transparantiefuncties en protocollen voor gegevensbescherming, om aan de vereisten van de wet te voldoen.
• Training en bewustzijn: Informeer teams in de hele organisatie over de ethische implicaties van AI en zorg ervoor dat ze bekend zijn met de nalevingsvereisten. Bewustwordingscampagnes en trainingsprogramma's kunnen waardevol zijn bij het inbedden van naleving in de bedrijfscultuur.
• Regelmatige audits en risicomanagement: Bedrijven moeten een proactieve aanpak hanteren door regelmatig audits uit te voeren van hun AI-systemen. Hierbij moeten ze gebruikmaken van hulpmiddelen en kaders voor risicobeheer, zoals een Information Security Management System (ISMS) dat is gestructureerd rond ISO 27001 voor informatiebeveiliging en ISO 42001 voor AI, om voortdurende naleving te garanderen.

Gebruikmaken van ISO 27001 en ISO 42001 om naleving van de EU AI-wet te stroomlijnen

Door hun processen te integreren met ISO 27001 en ISO 42001 kunnen bedrijven voldoen aan de huidige vereisten van de EU AI-wet en zich toekomstbestendig maken tegen nieuwe AI-regelgeving die waarschijnlijk in andere rechtsgebieden wordt ingevoerd.

Deze normen bieden een uitgebreid kader dat algemene informatiebeveiliging en AI-specifieke risico's aanpakt en een efficiënte manier biedt om te voldoen aan de regelgeving voor meerdere regelgevingsomgevingen.

• Beveiliging en gegevensprivacy: ISO 27001 zorgt voor robuuste beveiligings- en gegevensbeschermingspraktijken, terwijl ISO 42001 ingaat op de ethische en operationele uitdagingen die specifiek zijn voor AI. Samen helpen ze bedrijven te voldoen aan de strenge eisen van de EU AI Act op het gebied van data governance, privacy en AI-transparantie.
• Risicomanagement: Door zowel ISO 27001 als ISO 42001 te implementeren, kunnen bedrijven hun risicomanagementinspanningen stroomlijnen, zodat ze zowel informatiebeveiligingsrisico's als de specifieke risico's die AI-systemen vormen, effectief kunnen beheren. Deze afstemming maakt het eenvoudiger om AI-specifieke controles te integreren en naleving van wereldwijde AI-regelgeving te handhaven.
• Audit en naleving: Het volgen van beide normen vereenvoudigt het auditproces dat vereist is onder de EU AI Act en andere opkomende regelgeving. ISO 27001 biedt goed ingeburgerde richtlijnen voor informatiebeveiligingsaudits, terwijl ISO 42001 een laag van op AI gerichte auditcriteria toevoegt. Deze dubbele nalevingsaanpak vermindert duplicatie van inspanningen, verlaagt kosten en positioneert bedrijven efficiënt om te voldoen aan wettelijke eisen.

Efficiëntie ontsluiten met ISO 27001 en ISO 42001

Door zowel ISO 27001 als ISO 42001 te implementeren, wordt niet alleen voldaan aan de EU AI-wet, maar worden bedrijven ook voorbereid op de komende AI-regelgeving in andere regio's.

Veel landen ontwikkelen AI-specifieke wetten en bedrijven die zich al hebben afgestemd op deze internationale standaarden, zullen beter gepositioneerd zijn om aan deze toekomstige vereisten te voldoen, aangezien het grootste deel van de benodigde infrastructuur, risicomanagement- en auditprocedures al aanwezig zal zijn. Door hun AI-governance toekomstbestendig te maken via deze standaarden, kunnen bedrijven vooroplopen op veranderingen in de regelgeving, de complexiteit van naleving verminderen en zich vol vertrouwen richten op innovatie.

Belangrijke deadlines en mijlpalen voor de implementatie van de EU AI Act

De EU AI-wet is op 2 augustus 2024 in werking getreden. Er zijn echter nog een paar belangrijke deadlines en mijlpalen voor de implementatie ervan:

• Feb 2025: Verbod op AI-systemen met onaanvaardbare risico’s treedt in werking
• Mei 2025: Vanaf 2 mei 2025 zijn de gedragscodes van toepassing
• 2026 aug. Vanaf 2 augustus 2025 worden de governanceregels en -verplichtingen voor General Purpose AI (GPAI) van toepassing
• 2026 aug. Het grootste deel van de verplichtingen uit de EU AI Act zal van toepassing worden, inclusief essentiële vereisten voor AI-systemen met een hoog risico (zoals AI in biometrie, kritieke infrastructuur, werkgelegenheid en wetshandhaving) die na deze datum op de markt worden gebracht of worden gewijzigd.
• 2027 aug. Er gelden aanvullende verplichtingen voor AI-systemen met een hoog risico die ook als veiligheidscomponenten worden gereguleerd in andere EU-productveiligheidswetgeving (bijvoorbeeld medische hulpmiddelen, luchtvaartsystemen). Dit geeft bedrijven die met deze specifieke AI-systemen werken meer tijd om hieraan te voldoen.

Voorbereiden op de toekomst van AI-bestuur

De EU AI Act markeert een cruciaal moment in de regulering van kunstmatige intelligentie, met verstrekkende gevolgen voor bedrijven in alle sectoren. Het begrijpen van deze wetgeving en het voorbereiden op de nalevingsvereisten ervan, zal bedrijven helpen boetes te vermijden en vertrouwen op te bouwen bij consumenten en belanghebbenden door ervoor te zorgen dat AI-systemen ethisch, transparant en veilig zijn.

Laatste tips voor bedrijven om ervoor te zorgen dat AI-praktijken ethisch, conform en duurzaam zijn:

• Kies voor een proactieve aanpak: Wachten tot de EU AI Act volledig is geïmplementeerd, kan leiden tot overhaaste, reactieve inspanningen. Begin nu met het afstemmen van uw AI-systemen op de vereisten van de Act, met name door ISO 27001 en ISO 42001 te adopteren om een ​​sterke basis voor naleving te creëren.
• Investeer in compliance-infrastructuur: Stel de benodigde processen in, zoals regelmatige risicobeoordelingen, transparantietools en menselijke toezichtmechanismen. Door ISO 27001 voor informatiebeveiliging en ISO 42001 voor AI-specifiek bestuur zorgt u voor een soepele naleving en bent u tegelijkertijd voorbereid op toekomstige regelgeving.
• Focus op ethische AI-ontwikkeling: Naast het voldoen aan wettelijke vereisten, moet u ook rekening houden met de ethische implicaties van uw AI-oplossingen. Het implementeren van verantwoorde AI-praktijken, ondersteund door ISO 42001, zal helpen bij de naleving en uw reputatie als leider in ethische AI-innovatie verbeteren.

Door proactief te zijn ten aanzien van AI-naleving en zowel ISO 27001 als ISO 42001 te integreren, kunnen bedrijven voldoen aan de wettelijke vereisten, toekomstige nalevingsinspanningen vereenvoudigen en zich positioneren voor succes op de lange termijn.