Leestijd: 5 minuten

AI wet in aantocht: wat is de AI Act en hoe ga je ermee om?

Onlangs is de EU AI Act goedgekeurd. Deze AI wet gaat per 24 mei 2024 gelden en dient om AI-toepassingen te reguleren.

Artificial Intelligence
Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Onlangs is het Europees parlement akkoord gegaan met de zogenaamde Artificial Intelligence Act EU (AI Act). Dit is een AI verordening die dient om het gebruik van Artificial Intelligence (AI), algoritmes en machine learning te reguleren en daarmee (deels) te beperken. Met behulp van de AI Act wordt geregeld welke AI-toepassingen wel en niet zijn toegestaan in de Europese Unie. Een belangrijke eis daarin is dat risico’s voor mens en maatschappij worden geminimaliseerd. De AI Act wordt, naar verwachting, officieel gepubliceerd in mei 2024. Vervolgens worden de regels gefaseerd van kracht. Organisaties hebben in principe nog twee jaar de tijd, tot mei 2026, om aan de eisen te voldoen.

Wat is AI?

Artificial Intelligence is een technologie die machines en computerprogramma’s slim maakt, waardoor ze taken kunnen uitvoeren waarvoor doorgaans menselijke intelligentie nodig is. Het omvat zaken als het begrijpen van menselijke taal, het herkennen van patronen, het leren van ervaringen en het nemen van beslissingen. Over het algemeen werken AI-systemen door enorme hoeveelheden gegevens te verwerken, op zoek naar patronen waarmee ze hun eigen besluitvorming kunnen modelleren. (Bron: ISO.org).

Wat is de AI Act?

AI is een technologie die zich erg snel ontwikkelt en ook aardig wat complexiteit met zich meebrengt. Doordat AI-ontwikkelingen in een stroomversnelling zijn geraakt, is er ook meer aandacht gekomen voor de potentiële risico’s die AI-toepassingen met zich meebrengen. Om die reden is de AI Act, waar jarenlang aan is gewerkt, in het leven geroepen. De AI Act biedt heldere kaders voor wat er binnen de Europese Unie wel en niet is toegestaan met betrekking tot kunstmatige intelligentie. Daarbij geldt: des te meer risico AI met zich meebrengt met betrekking tot de rechten en veiligheid van burgers, des te meer regels er gelden. Waarom is dit zo belangrijk?

  • AI-systemen kunnen de privacy schaden door (on)bedoeld persoonlijke informatie te verzamelen;
  • AI-systemen kunnen, doordat ze fouten maken, ongelukken veroorzaken (in de medische wereld, het verkeer, financiële besluiten etc.);
  • AI-toepassingen die verkeerd worden gebruikt kunnen schade opleveren.

En daarbij opgemerkt: organisaties die AI ontwikkelen, in de markt zetten etc. moeten koste wat kost voorkomen dat kwaadwillenden de AI-toepassingen (kunnen) inzetten voor verkeerde doeleinden.

Wat regelt de Artificial Intelligence Act?

In de AI Act wordt gebruik gemaakt van een classificatiesysteem voor AI-toepassingen op basis van risiconiveau, variërend van minimaal tot onaanvaardbaar, waarmee men denkt een breed scala aan AI-toepassingen te dekken.

AI-risico categorieën

  • Systemen met een onaanvaardbaar risico worden verboden. Dat is bijvoorbeeld live gezichtsherkenning, of systemen die gericht zijn op het manipuleren van mensen.
  • Systemen met een hoog risico worden constant gemonitord. Dat gaat om systemen die gebruikt worden in producten met strenge veiligheidseisen, zoals auto’s of vliegtuigen. Ook AI-toepassingen die worden gebruikt in sectoren als onderwijs en justitie vallen hieronder.
  • Het derde niveau is generatieve AI, en dat zijn systemen als ChatGPT. Deze systemen moeten transparant zijn over de data waarmee ze getraind zijn en ze mogen geen ‘illegale inhoud genereren’.
  • Systemen met een laag risico zijn bijvoorbeeld programma’s die automatisch foto’s of video’s verbeteren. Deze moeten alleen aangeven dat ze AI gebruiken.

Bron: RTL Nieuws

Binnen de AI wetgeving zijn bepaalde toepassingen aangemerkt als ‘hoog risico’ van AI. Denk daarbij bijvoorbeeld aan AI-systemen die impact hebben op:

  • Werving en selectie van nieuwe medewerkers;
  • Promotie toekennen van medewerkers;
  • Risicobeoordelingen van personen t.b.v. opsporingsdiensten;
  • Veiligheidsbeheer van verkeer- en watermanagement.

Dit soort toepassingen, wat naar verwachting over 15% van de systemen gaat, van AI zijn wel toegestaan, maar gaan hand in hand met strenge eisen en hiervoor worden o.a. ook externe audits verplicht gesteld. Ontwikkelaars van dit soort systemen zijn verplicht om te testen of de ontwikkelde modellen accuraat zijn en dienen de grootste risico’s te ondervangen.

In de AI Act EU zijn ook regels opgenomen die gericht zijn op techbedrijven. Dit type bedrijven zet bijvoorbeeld steeds vaker taalmodellen in, die mogelijk maken wat een ChatGPT doet. Deze technologie valt onder ‘general purpose AI’, ofwel systemen die voor meerdere doeleinden gebruikt worden. Ook dit soort taalmodellen moeten voldoen aan vergelijkbare eisen als AI-systemen die aangemerkt zijn als ‘hoog risico’. Fabrikanten van toepassingen voor ‘generatieve AI’ moeten bijvoorbeeld transparantie geven over hun werkwijze.

Dan zijn er nog bepaalde AI-toepassingen, zoals herkennen van emoties met behulp van AI-software, die direct verboden worden. Deze software moet binnen zes maanden (na mei 2024) worden stopgezet.

Voor wie geldt de AI wet en hoe ga je ermee om?

De AI Act heeft betrekking op ‘iedereen’ die zelf software maakt, ontwikkelt, uitwerkt en/of in de markt zet. Denk daarbij aan makers van chatbots, ontwikkelaars van zelfrijdende auto’s, apps die notulen transcriberen etc. De eisen in de AI verordening zijn vooral bedoeld voor techbedrijven, maar hebben uiteraard ook gevolgen voor het MKB.

Hoe ga je ermee om? Hieronder een stappenplan:

  1. Breng AI-systemen in kaart
  2. Voer een risicoanalyse uit
    1. Beoordeel welke systemen onder de nieuwe regelgeving vallen
    2. Bepaal de risicoclassificatie
  3. Tref maatregelen
    1. Maak plannen voor naleving van de AI Act

Al met al moeten organisaties een risicoanalyse uitvoeren waarin bepaald wordt waar mensen ‘last’ van kunnen krijgen door de AI-toepassingen. Daarnaast moet helder zijn welke gegevens gebruikt zijn om AI-software te trainen en moet het technisch mogelijk zijn om alle handelingen/stappen van een systeem na te kunnen gaan; het mag in geen geval een ‘black-box’ zijn waarbij men geen idee heeft van de werking ervan. Al met al moet er betrokkenheid van de mens zijn, zodat voorkomen wordt dat AI-techniek bepaalt wat er gebeurt. De mens moet controleren of de software ‘zijn taak’ doet en of de output daarvan veilig, betrouwbaar en ethisch verantwoord is.

Vanzelfsprekend gaat de komst van de AI Act voor organisaties kosten met zich meebrengen in zowel tijd als geld. Die investeringen wegen echter niet op tegen de eventuele boetes die opgelegd worden. De nieuwe AI wetgeving is streng en zeker niet mals met het oog op overtredingen; in dat geval kunnen er hoge boetes worden opgelegd. Daarbij is het, op dit moment, nog niet duidelijk wie de toezichthouder(s) wordt.

Systematisch AI inregelen? ISO 42001 biedt uitkomst!

ISO 42001 is dé norm voor veilige en betrouwbare ontwikkeling en implementatie van AI. De norm geeft houvast, kaders en daarmee een gestandaardiseerde werkwijze om AI-systemen te ontwikkelen. Het is een handig hulpmiddel waarmee aan een groot deel van de wet- en regelgeving van o.a. de AI verordening wordt voldaan.

De AI verordening: een grote stap

Al jarenlang wordt de noodzaak van regulatie van AI wereldwijd ingezien. Internationaal zit men echter nog niet op één lijn met betrekking tot hoe zoiets in de praktijk moet worden ingeregeld. De Europese Unie heeft met invoering van de wetgeving AI daarin een grote stap gezet en hiermee een helder statement afgegeven. Daarbij streeft men naar een goede balans tussen bescherming van burgers en stimuleren van innovatie, zonder dat daarbij de economische voortuitgang wordt afgeremd. Voor organisaties is het, zeker wanneer men internationaal opereert, van belang om de wereldwijde ontwikkelingen nauwlettend in de gaten te houden. Na Europa gaan er internationaal ongetwijfeld nog meer stappen gezet worden.

Wil je aan de slag met een risicoanalyse, het treffen van maatregelen en/of het implementeren van ISO 42001 met het oog op de komst van de AI Act? Of gewoon eens sparren over wat er op jouw organisatie afkomt? Wij denken graag met je mee en helpen je graag op weg. Neem gerust contact met ons op!

Offerte aanvragen

Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Voldoen aan de eisen van de AI Act?

Wij helpen je op weg!

  • Pragmatische insteek
  • Advies en tools
  • Ook ISO 42001 mogelijk

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields