De toekomst is nu: uw bedrijf voorbereiden op de EU AI Act

De baanbrekende AI-wet van de Europese Unie, dat woensdag door de wetgevers is goedgekeurd, zal het blok tot een wereldleider op het gebied van AI-beheer maken. De wetgeving, die overweldigende steun kreeg van de leden van het Europees Parlement, heeft tot doel de grondrechten, de democratie, de rechtsstaat en de duurzaamheid van het milieu te beschermen en tegelijkertijd innovatie te bevorderen door AI-systemen te reguleren op basis van hun potentiële risico’s en gevolgen.

De gevolgen zijn aanzienlijk voor bedrijven die binnen de EU actief zijn of met in de EU gevestigde klanten en partners samenwerken. Proactieve afstemming op de bepalingen van de AI Act kan leiden tot een concurrentievoordeel op het gebied van vertrouwen, transparantie en verantwoorde innovatie, terwijl niet-naleving boetes, reputatieschade en gemiste kansen met zich meebrengt.

Hoe kunnen bedrijven zich voorbereiden om succesvol door dit nieuwe AI-landschap te navigeren? We verdiepen ons in de cruciale bepalingen van de AI Act, de potentiële impact op verschillende bedrijfsfuncties en praktische stappen die u kunt nemen om naleving te garanderen en de voordelen van dit nieuwe AI-paradigma te benutten.

De EU AI-wet begrijpen

De EU AI Act is een baanbrekend regelgevingskader dat tot doel heeft ervoor te zorgen dat AI-technologieën veilig, transparant en op een manier worden ontwikkeld en gebruikt die de rechten en vrijheden van EU-burgers respecteert. 

• Haar doel is het creëren van een geharmoniseerde reeks regels voor AI in alle EU-lidstaten, gericht op het beschermen van fundamentele rechten en veiligheid. 
• De omvang van de wet is breed en bestrijkt een breed scala aan AI-toepassingen, van chatbots tot complexe machine learning-algoritmen. 
• Haar hoofddoelen omvatten onder meer het bevorderen van AI-innovatie binnen de EU, het waarborgen van de veiligheid van AI-systemen en de bescherming van de grondrechten, en het scheppen van juridische duidelijkheid voor bedrijven en ontwikkelaars.

Classificatie van AI-systemen

De wet introduceert een Risicogebaseerde aanpak tot AI-regulering, waarbij AI-systemen worden gecategoriseerd op basis van het risiconiveau dat zij voor de samenleving vormen:

Onaanvaardbaar risico:

AI-systemen die menselijk gedrag manipuleren om de vrije wil van gebruikers te omzeilen, of systemen die sociale scores door overheden mogelijk maken, zijn verboden. Voorbeelden zijn onder meer: 

• Cognitieve gedragsmanipulatie van mensen of specifieke kwetsbare groepen
• Sociale scoring: het classificeren van mensen op basis van gedrag, sociaal-economische status of persoonlijke kenmerken
• Biometrische identificatie en categorisering van mensen
• Biometrische identificatiesystemen in realtime en op afstand, zoals gezichtsherkenning

High Risk:

Deze systemen zullen worden beoordeeld voordat ze op de markt worden gebracht en gedurende hun hele levenscyclus. Mensen zullen het recht hebben om klachten over AI-systemen in te dienen bij aangewezen nationale autoriteiten. Voorbeelden zijn onder meer: 

• Kritieke infrastructuren zoals transport, elektriciteitsnet en water die het leven en de gezondheid van burgers in gevaar kunnen brengen
• Onderwijs- of beroepsopleiding die de toegang tot onderwijs en de professionele loop van iemands leven kan bepalen (bijvoorbeeld het scoren van examens)
• Veiligheidscomponenten van producten, bijvoorbeeld AI-toepassing in robotgeassisteerde chirurgie
• Werkgelegenheid, management van werknemers en toegang tot zelfstandig ondernemerschap (bijv. software voor het sorteren van cv's voor wervingsprocedures)
• Essentiële particuliere en publieke diensten, zoals kredietscores, zouden burgers de kans kunnen ontnemen een lening te verkrijgen
• Rechtshandhaving die de fundamentele rechten van mensen kan aantasten, zoals de evaluatie van de betrouwbaarheid van bewijsmateriaal
• Migratie-, asiel- en grenscontrolebeheer (bijv. geautomatiseerd onderzoek van visumaanvragen)
• Rechtsbedeling en democratische processen, zoals AI-oplossingen om te zoeken naar rechterlijke uitspraken

Beperkt risico:

Andere AI-systemen die minimaal of geen risico vormen voor de rechten of veiligheid van EU-burgers. Aanbieders van deze diensten moeten ervoor zorgen dat ze zo zijn ontworpen en ontwikkeld dat individuele gebruikers weten dat ze interactie hebben met een AI-systeem. Aanbieders kunnen zich vrijwillig committeren aan gedragscodes die door de sector zijn ontwikkeld, zoals ISO/IEC 42001. Voorbeelden van AI-systemen met een laag risico zijn onder meer;

• Chatbots/virtuele assistenten
•  AI-compatibele videogames 
• Spamfilters 

AI-modellen voor algemeen gebruik:

Volgens de wet worden deze gedefinieerd als AI-modellen die een aanzienlijke algemeenheid vertonen, op competente wijze een breed scala aan verschillende taken kunnen uitvoeren en kunnen worden geïntegreerd in verschillende downstream-systemen of -applicaties. Voorbeelden hiervan zijn:

• Diensten voor beeld-/spraakherkenning
• Diensten voor het genereren van audio/video 
• Patroondetectiesystemen
• Geautomatiseerde vertaaldiensten

Nalevingsvereisten

Algemene nalevingsvereisten voor AI-systemen op grond van de wet zijn onder meer:

• Effectbeoordelingen van de grondrechten (FRIA) – Alvorens te worden ingezet, moeten AI-systemen de impact op de grondrechten beoordelen die deze systemen kunnen opleveren. Als een gegevensbeschermingseffectbeoordeling vereist is, moet de FRIA in combinatie met die DPIA worden uitgevoerd. 
• Conformiteitsbeoordelingen (CA) -CA's moeten worden uitgevoerd voordat een AI op de EU-markt wordt gebracht of wanneer een AI-systeem met een hoog risico substantieel wordt gewijzigd. Importeurs van AI-systemen zullen er ook voor moeten zorgen dat de buitenlandse aanbieder de juiste CA-procedure al heeft uitgevoerd.
• Implementeer risicobeheer- en kwaliteitsmanagementsystemen systeemrisico's voortdurend te beoordelen en te beperken. Voorbeelden hiervan zijn ISO 9001.
• Transparantie-Bepaalde AI-systemen moeten transparant zijn, bijvoorbeeld als er een duidelijk risico is op manipulatie, bijvoorbeeld via chatbots. Individuen moeten worden geïnformeerd wanneer ze met AI omgaan; AI-inhoud moet gelabeld en detecteerbaar zijn. 
• Continue bewaking - AI-diensten moeten zorgen voor voortdurende tests en monitoring om nauwkeurigheid, robuustheid en cyberveiligheid te garanderen. 

Voor AI-systemen met een hoog risico moeten bedrijven naast het bovenstaande ook zorgen voor: 

• Data kwaliteit: Garandeer de nauwkeurigheid, betrouwbaarheid en integriteit van de gegevens die door AI-systemen worden gebruikt, en minimaliseer fouten en vooroordelen die tot foutieve beslissingen kunnen leiden.
• Documentatie en traceerbaarheid: Onderhoud uitgebreide gegevens en documentatie van de werking van AI-systemen, besluitvormingsprocessen en gegevensbronnen. Dit zorgt voor transparantie en vergemakkelijkt audits, waardoor de traceerbaarheid van AI-beslissingen terug naar hun oorsprong mogelijk wordt.
• Menselijk toezicht: Breng mechanismen tot stand voor menselijk toezicht, die menselijke tussenkomst in de werking van AI-systemen mogelijk maken. Deze beveiliging zorgt ervoor dat AI-beslissingen kunnen worden beoordeeld, geïnterpreteerd en, indien nodig, terzijde kunnen worden geschoven door menselijke operators, waardoor de menselijke controle over cruciale beslissingen behouden blijft.

Bovendien zijn overheden, wanneer zij AI-systemen inzetten, verplicht deze te registreren in een openbare EU-databank om de transparantie en verantwoordingsplicht te bevorderen, behalve voor gebruik dat verband houdt met wetshandhaving of migratie.

Hoe zit het met Chat GPT?

Aanbieders van generatieve AI die synthetische audio-, beeld-, video- of tekstinhoud genereren, moeten ervoor zorgen dat de inhoud wordt gemarkeerd in een machinaal leesbaar formaat en detecteerbaar is als kunstmatig gegenereerd of gemanipuleerd.

Ze moeten ook voldoen aan de transparantievereisten en de EU-auteursrechtwetgeving. Enkele verplichtingen zijn:

• Onthulling dat AI de inhoud heeft gemaakt
• Het model ontwerpen om te voorkomen dat het illegale inhoud genereert
• Samenvattingen publiceren van auteursrechtelijk beschermde gegevens die worden gebruikt voor training

Boetes en handhaving

Het AI-bureau van de Europese Commissie zal toezicht houden op AI-systemen die zijn afgeleid van AI-modellen voor algemene doeleinden van dezelfde aanbieder, en zal samenwerken met de markttoezichtautoriteit. Andere AI-systemen zullen onder het toezicht van nationale markttoezichtorganen vallen.

Het AI-bureau zal het bestuur en de handhaving van de regels voor AI voor algemene doeleinden in de hele EU coördineren, terwijl de lidstaten handhavingsmaatregelen zullen definiëren, waaronder boetes en niet-monetaire maatregelen. Hoewel individuen overtredingen bij de nationale autoriteiten kunnen melden, staat de wet geen individuele schadeclaims toe. Er zijn sancties voor: 

• Verboden AI-overtredingen, tot 7% ​​van de wereldwijde jaaromzet of 35 miljoen euro. 
• De meeste overige overtredingen bedragen maximaal 3% van de mondiale jaaromzet of 15 miljoen euro. 
• Het verstrekken van onjuiste informatie aan autoriteiten, tot 1% van de mondiale jaaromzet oftewel 7.5 miljoen euro. 

De AI Board zal adviseren over de implementatie van de wet, coördineren met de nationale autoriteiten en aanbevelingen en adviezen uitbrengen.

Tijdlijnen voor naleving

De AI-wet zal naar verwachting in juni van dit jaar wet worden, en de bepalingen ervan zullen in fasen van kracht worden: 

• Zes maanden later zullen landen verplicht worden verboden AI-systemen te verbieden
• Een jaar later zullen de regels voor AI-systemen voor algemene doeleinden van toepassing worden
• Twee jaar later zal de hele AI-wet afdwingbaar zijn. 

Gevolgen voor bedrijven

De EU AI Act zal verreikende gevolgen hebben voor alle sectoren, van technologie en gezondheidszorg tot financiën en zelfs individuele bedrijfsfuncties die cruciaal zijn voor uw activiteiten. Als u begrijpt hoe de wet uw specifieke sector en zakelijke functies zal beïnvloeden, kunt u uw AI-praktijken proactief afstemmen op de nieuwe vereisten.

Algemene overwegingen bij de bedrijfsvoering

• Product ontwikkeling: U moet de principes van ‘ethics by design’ incorporeren en ervoor zorgen dat AI-systemen vanaf het begin worden ontwikkeld met eerlijkheid, transparantie en verantwoording in gedachten.
• Marketing en verkoop: Wees bereid om klanten gedetailleerde informatie te verstrekken over uw AI-aanbod, inclusief hun risicoclassificatie en conformiteit met de wet.
• Juridisch en naleving: Werk nauw samen met uw juridische team om de bepalingen van de wet te interpreteren, de risiconiveaus van uw AI-portfolio te beoordelen en de noodzakelijke waarborgen en documentatie te implementeren.
• HR en rekrutering: Als u AI gebruikt voor de aanwerving en evaluatie van werknemers, zorg er dan voor dat de systemen worden gecontroleerd op vooringenomenheid en dat er menselijk toezicht en beroep mogelijk is.
• Klantenservice: AI-aangedreven chatbots en virtuele assistenten moeten transparant zijn over hun kunstmatige karakter en opties bieden voor menselijke escalatie.

Operationele veranderingen nodig

Bedrijven in alle sectoren zullen een verscheidenheid aan operationele veranderingen moeten doorvoeren om te voldoen aan de EU AI Act, waaronder:

• AI-modellen aanpassen: Om ervoor te zorgen dat AI-algoritmen eerlijk, transparant en verklaarbaar zijn, kan het nodig zijn ze opnieuw te ontwerpen of bij te werken om vooroordelen weg te nemen en de interpreteerbaarheid te verbeteren.
• Praktijken voor gegevensverwerking: Het aannemen van strengere data governance-praktijken, waarbij de nadruk ligt op datakwaliteit, beveiliging en privacy. Dit omvat nauwkeurige gegevensbronnen, veilige gegevensopslag en ethisch gegevensgebruik.
• Transparantiemaatregelen: Vergroten van de transparantie van AI-systemen, met name die welke rechtstreeks met consumenten communiceren. Bedrijven moeten mogelijk mechanismen ontwikkelen om uit te leggen hoe hun AI-systemen beslissingen nemen of aanbevelingen doen.

Juridische en ethische overwegingen

Het juridische en ethische landschap voor bedrijven zal ook evolueren onder de EU AI Act, met een sterke nadruk op:

• Verantwoording: Bedrijven worden verantwoordelijk gehouden voor de AI-systemen die zij inzetten. Dit houdt onder meer in dat ervoor moet worden gezorgd dat AI-systemen veilig en niet-discriminerend zijn en dat de privacyrechten worden gerespecteerd. Bedrijven moeten mogelijk interne processen opzetten voor continue AI-monitoring en compliance-audits.
• Bescherming van de grondrechten: De wet versterkt de bescherming van fundamentele rechten, waaronder privacy, non-discriminatie en vrijheid van manipulatie. Dit vereist een grondige ethische beoordeling van AI-toepassingen om ervoor te zorgen dat deze rechten niet worden geschonden.
• Ethisch AI-gebruik: Naast naleving van de wetgeving is er ook sprake van een drang naar ethische overwegingen bij de ontwikkeling en inzet van AI. Dit betekent onder meer dat we ervoor moeten zorgen dat AI-systemen een positieve bijdrage leveren aan de samenleving, de sociale ongelijkheid niet vergroten en ontworpen zijn met het algemeen belang in gedachten.

Stappen om uw bedrijf voor te bereiden

Om uw bedrijf efficiënt voor te bereiden op de EU AI Act, stroomlijn uw inspanningen door u te concentreren op cruciale stappen en gebruik te maken van gevestigde raamwerken, zoals ISO 42001, voor AI-beheersystemen. Hier zijn enkele praktische eerste stappen:

• Voer een AI-audit uit: Maak de balans op van al uw AI-systemen, categoriseer ze op risiconiveau en identificeer lacunes in de naleving van de vereisten van de wet.
• Betrek belanghebbenden: Betrek de belangrijkste belanghebbenden uit product-, juridische, marketing-, HR- en andere relevante afdelingen om een ​​alomvattend actieplan te ontwikkelen.
• Investeer in verklaarbare AI: Geef prioriteit aan AI-oplossingen die hun besluitvormingsproces duidelijk uitleggen, waardoor het gemakkelijker wordt om aan transparantieverplichtingen te voldoen.
• Versterk het databeheer: Controleer uw gegevensverzamelings-, opslag- en verwerkingspraktijken om ervoor te zorgen dat u voldoet aan de gegevenskwaliteit- en privacynormen van de wet.
• Bevorder een cultuur van verantwoordelijke AI: Informeer werknemers over de ethische ontwikkeling en het gebruik van AI en stimuleer de naleving van de principes van de wet.

Neem het ISO 42001 Governance Framework over

ISO/IEC 42001 is een internationale norm die een raamwerk biedt voor het opzetten, implementeren, onderhouden en voortdurend verbeteren van een managementsysteem voor kunstmatige intelligentie binnen organisaties. Het richt zich op de unieke managementuitdagingen die AI-systemen met zich meebrengen, inclusief transparantie en uitlegbaarheid, om het verantwoorde gebruik en de ontwikkeling ervan te garanderen.

Kritische aspecten van ISO 42001:

• Risicomanagement: It biedt een raamwerk voor het identificeren, beoordelen en beheren van risico’s gedurende de hele levenscyclus van AI-systemen, van ontwerp en ontwikkeling tot implementatie en ontmanteling.
• Ethische overwegingen: De norm benadrukt het belang van ethische overwegingen bij het gebruik van AI, inclusief transparantie en verantwoordingsplicht, en het garanderen dat AI-systemen bestaande vooroordelen niet versterken of nieuwe creëren.
• Gegevensbescherming: Aangezien AI-systemen vaak grote hoeveelheden persoonlijke en gevoelige gegevens verwerken, schetst ISO 42001 gegevensbeschermings- en privacypraktijken, in lijn met mondiale gegevensbeschermingsregelgeving zoals de AVG.
• AI-beveiligingsmaatregelen: Het beschrijft specifieke beveiligingsmaatregelen voor AI-systemen, waaronder het beveiligen van AI-algoritmen tegen manipulatie, het waarborgen van de integriteit van gegevensinvoer en het beschermen van de vertrouwelijkheid van gegevens.
• Incident Response: De norm bevat richtlijnen voor het ontwikkelen van een incidentresponsplan dat is afgestemd op de unieke uitdagingen die AI-technologieën met zich meebrengen, zodat organisaties effectief kunnen reageren op beveiligingsincidenten waarbij AI-systemen betrokken zijn.

De voordelen van het adopteren van ISO 42001 

1. Verbeterd vertrouwen: Door zich te houden aan een wereldwijd erkende norm kunnen organisaties vertrouwen opbouwen bij klanten, partners en toezichthouders door blijk te geven van hun inzet voor veilig en ethisch AI-gebruik.
2. Verminderde risico's: De implementatie van het ISO 42001-framework voor risicobeheer helpt organisaties proactief potentiële beveiligingskwetsbaarheden in AI-systemen te identificeren en te beperken, waardoor het risico op beveiligingsinbreuken en datalekken wordt verminderd.
3. Naleving van de regelgeving: Naarmate de regelgeving rond AI en gegevensbescherming evolueert, kan ISO 42001 als richtlijn dienen voor organisaties om naleving van huidige en toekomstige wettelijke vereisten te garanderen.
4. Concurrerend Voordeel: Bedrijven die prioriteit geven aan AI-beveiliging kunnen zich op de markt onderscheiden en aantrekkelijk zijn voor veiligheidsbewuste klanten en partners.
5. Verbeterd AI-beheer: De standaard moedigt een holistische benadering van AI-beheer aan, waarbij overwegingen op het gebied van beveiliging, ethiek en gegevensbescherming worden geïntegreerd in de AI-strategie van de organisatie.

Door ISO 42001 aan te nemen als basis voor uw AI-beheer en compliance-inspanningen kunt u het voorbereidingsproces stroomlijnen en zorgen voor een gestructureerde aanpak om te voldoen aan de eisen van de EU AI Act, terwijl ethische AI-praktijken worden bevorderd.

Aan de slag op uw reis naar compatibel AI-gebruik

De EU AI Act is een cruciaal moment in de AI-regelgeving, en bedrijven moeten nu handelen om nalevingsrisico’s te vermijden en kansen te grijpen. Benader de wet als een katalysator voor positieve verandering, waarbij u uw AI-praktijken op één lijn brengt met de principes van transparantie, verantwoordelijkheid en ethisch gebruik om processen te verfijnen, innovatie te stimuleren en uw bedrijf te vestigen als leider op het gebied van verantwoorde AI.

Maak gebruik van de richtlijnen van ISO 42001, de internationale norm voor AI-managementsystemen, om uw aanpak te structureren en een uitgebreide dekking van kritieke gebieden zoals governance, risicobeheer en continue verbetering te garanderen.

Door u proactief voor te bereiden op de EU AI Act, kunt u de risico’s beperken en uw bedrijf positioneren als leider op het gebied van verantwoorde AI-innovatie.

Aanvullende informatiebronnen

Om u verder te helpen bij het navigeren door de EU AI Act, kunt u deze bronnen raadplegen:

• Officiële EU-documentatie over de AI-wet
• Gedetailleerde informatie over ISO 42001
• Boek een demo met ons team om te zien hoe we organisaties al hebben geholpen ISO 42001-compliance te bereiken