De deadline van 2 augustus 2026 voor verplichte naleving van de EU-wetgeving inzake kunstmatige intelligentie met een hoog risico, die van kracht zou zijn, is uitgesteld. De maatregelen in de onlangs aangenomen wetgeving zijn uitgesteld. EU Digitale Omnibus Op het gebied van AI worden bepaalde vereisten uitgesteld tot 2 december 2027 en andere tot 2 augustus 2028.
De Europese Commissie heeft aangekondigd dat het nieuwe implementatietijdstip voor de regels betreffende systemen met een hoog risico de implementatie van de AI-wetgeving voor Europese bedrijven zal vergemakkelijken, terwijl tegelijkertijd voordelen voor de Europese samenleving, veiligheid en fundamentele rechten worden gewaarborgd.
Welke verplichtingen zijn veranderd onder de Digitale Omnibus, welke zijn hetzelfde gebleven en hoe kunnen organisaties ervoor zorgen dat ze aan de nieuwe eisen voldoen vóór de nieuwe deadlines?
Wat verandert de digitale omnibus?
Het digitale omnibusverdrag omvat gerichte vereenvoudigingsmaatregelen van de EU-wetgeving inzake kunstmatige intelligentie, waaronder:
- De versoepeling van de regelgeving voor het mkb wordt uitgebreid naar het mkb, inclusief vereenvoudigde technische documentatie en speciale aandacht bij de toepassing van sancties.
- Het schrappen van de verplichting tot een geharmoniseerd plan voor post-market monitoring.
- Het verlagen van de registratielast voor aanbieders van AI-systemen die worden gebruikt in risicovolle omgevingen, maar waarvan de aanbieder heeft geconcludeerd dat ze geen hoog risico vormen omdat ze alleen worden gebruikt voor specifieke of procedurele taken.
- Het toestaan van AI-aanbieders en -implementeerders om bijzondere categorieën persoonsgegevens te verwerken om algoritmische vooringenomenheid op te sporen en te corrigeren.
- Een breder gebruik van AI-reguleringssandboxes en praktijktesten, en het faciliteren van een AI-reguleringssandbox op EU-niveau die het AI-bureau vanaf 2028 zal opzetten.
- Gerichte wijzigingen ter verduidelijking van de wisselwerking tussen de EU-AI-wet en andere EU-wetgeving, en ter aanpassing van de procedures van de wet om de algehele implementatie en werking ervan te verbeteren.
De Commissie bereidt ook verdere richtlijnen voor om de naleving van de EU-AI-wet te vergemakkelijken. Deze richtlijnen zijn gericht op het bieden van duidelijke en praktische instructies voor de toepassing van de AI-wet in combinatie met andere EU-wetgeving. De nieuwe ingangsdata zullen de termijnen voor de inwerkingtreding van de verplichtingen koppelen aan de beschikbaarheid van deze richtlijnen.
Voldoen aan de transparantieverplichtingen van de EU AI-wetgeving
Een onlangs uitgebracht Gedragscode inzake transparantie van door AI gegenereerde content Deze code behandelt belangrijke aandachtspunten voor aanbieders en gebruikers van AI-systemen die content genereren die valt onder artikel 50 van de wet, 'Transparantieverplichtingen voor aanbieders en gebruikers van bepaalde AI-systemen'. De code is bedoeld om organisaties te ondersteunen bij het aantonen van naleving, maar is op zichzelf geen doorslaggevend bewijs van naleving van de verplichtingen.
Volgens de aanstaande eisen moeten aanbieders van AI-systemen die bedoeld zijn om rechtstreeks met individuen te interageren, deze systemen zo ontwerpen dat gebruikers worden geïnformeerd dat ze met een AI-systeem communiceren. Een chatbot voor klantenservice moet bijvoorbeeld zo ontworpen zijn dat gebruikers weten dat het een chatbot is.
Daarnaast beschrijft de Gedragscode inzake transparantie van door AI gegenereerde content specifieke eisen voor AI-systemen die synthetische tekst, afbeeldingen, video, audio of een combinatie hiervan genereren. Aanbieders en gebruikers van deze systemen moeten machineleesbare formaten gebruiken om de output te markeren als door AI gegenereerd of gemanipuleerd. Er zijn specifieke regels voor het labelen van door AI gegenereerde of gemanipuleerde deepfakes en gepubliceerde teksten over onderwerpen van publiek belang.
Bestaande eisen voor AI-systemen met een hoog risico
AI-systemen worden volgens de EU-verordening inzake kunstmatige intelligentie als hoog risico beschouwd als ze een aanzienlijke bedreiging vormen voor de gezondheid, veiligheid of fundamentele rechten, of als ze worden gebruikt op gebieden zoals biometrie, onderwijs, werkgelegenheid of kritieke infrastructuur.
Systemen die als hoog risico worden aangemerkt, moeten aan specifieke eisen voldoen:
Risicomanagement: Er moet een continu risicobeheersysteem worden geïmplementeerd om de AI gedurende de gehele levenscyclus te monitoren.
Gegevensbeheer: Er moeten procedures voor gegevensbeheer worden ingevoerd om ervoor te zorgen dat trainings-, validatie- en testgegevens aan specifieke kwaliteitscriteria voldoen.
Technische documentatie: Aanbieders van risicovolle AI-systemen moeten uitgebreide technische documentatie over het systeem bijhouden, inclusief ontwerpspecificaties, mogelijkheden, beperkingen en inspanningen op het gebied van naleving van regelgeving.
Record houden: AI-systemen met een hoog risico moeten automatisch gebeurtenissen registreren om verantwoording en traceerbaarheid te garanderen.
Menselijk toezicht: Hoogrisicovolle AI-systemen moeten zodanig worden ontworpen dat ze door mensen kunnen worden gecontroleerd, waardoor de risico's voor de gezondheid, veiligheid en fundamentele rechten tot een minimum worden beperkt. Maatregelen voor menselijk toezicht kunnen door de leverancier in het systeem worden ingebouwd of door de gebruiker worden geïmplementeerd.
Nauwkeurigheid, robuustheid en cyberbeveiliging: Hoogrisico AI-systemen moeten zodanig worden ontworpen en ontwikkeld dat ze een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging bereiken.
Conformiteitsbeoordelingen: AI-systemen met een hoog risico moeten conformiteitsbeoordelingen ondergaan om te garanderen dat ze voldoen aan wettelijke, technische en ethische normen voordat ze op de markt worden gebracht of in gebruik worden genomen.
registratie: Aanbieders van AI-systemen met een hoog risico moeten zichzelf en hun systemen registreren in een gecentraliseerde EU-database voordat zij hun systemen op de markt brengen of in gebruik nemen.
CE-markering: AI-systemen met een hoog risico moeten voorzien zijn van een CE-markering om aan te geven dat het product voldoet aan de EU-veiligheidsnormen. Deze markering moet duidelijk zichtbaar zijn. Indien de CE-markering niet fysiek op het systeem kan worden aangebracht, moet deze worden opgenomen in de verpakking of documentatie.
Voldoen aan de EU AI-wetgeving met ISO 42001
Voor aanbieders of implementeerders van risicovolle AI-systemen die nog maar net beginnen met het nakomen van hun verplichtingen onder de wet, biedt de nieuwe termijn een langere overgangsperiode om een slimme, gestructureerde aanpak voor AI-governance te implementeren.
Hier ISO 42001 Het biedt een raamwerk voor best practices. Veel van de eisen van de norm komen overeen met die van de EU AI-wetgeving: risicoclassificatie, transparantiemaatregelen, verantwoordingsstructuren en menselijk toezicht. Naleving van ISO 42001 garandeert echter niet dat ook aan de EU AI-wetgeving wordt voldaan, en omgekeerd.
Wat de ISO 42001-norm wél biedt, is een logische aanpak voor AI-governance, waardoor organisaties een ethisch en duurzaam AI-managementsysteem (AIMS) kunnen opbouwen. Door ISO 42001 te implementeren, kunnen organisaties ervoor zorgen dat AI-systemen worden ontwikkeld, geïmplementeerd en gebruikt op een manier die prioriteit geeft aan veiligheid, transparantie en verantwoording – allemaal belangrijke pijlers van de wet.
Door het ISO 42001-raamwerk te gebruiken en dit te koppelen aan de eisen van de EU-wetgeving inzake kunstmatige intelligentie, kunnen aanbieders en implementeerders van risicovolle AI-systemen robuuste governance inbouwen en proactief inspelen op de eisen van de wetgeving die buiten het toepassingsgebied van ISO 42001 vallen, waardoor naleving vóór de deadline van 2027 wordt gewaarborgd.
Breid je kennis uit
webinar: ISO 42001 in de praktijk: lessen uit een van de eerste ISO 42001-certificeringen ter wereld
