De AI Act is nu écht finaal definitief voor de laatste keer aangenomen, met overweldigende meerderheid: 523 voor versus 46 tegen. We zetten hier op een rijtje wat dit precies betekent.
Wat nu?
- De tekst wordt nu gefinaliseerd, er zitten nog wat rafelrandjes in (zoals een uitzondering op open source die 'verkeerd om' werd opgeschreven
- De tekst komt in het Official Journal, het Staatsblad van de EU zeg maar. 21 dagen daarna is de AI Act dan officieel wet
- De verboden praktijken moeten binnen 6 maanden daarna stoppen
- De toezichthouders moeten binnen een jaar daarna opgericht zijn (en boetebeleid e.d. klaar hebben)
- Aanbieders van general-purpose AI moeten binnen een jaar aan hun verplichtingen voldoen
- De 'gewone' leveranciers en inzetters van AI moeten binnen twee jaar aan hun verplichtingen voldoen
- Leveranciers van gereguleerde producten die AI als veiligheidscomponent integreren hebben maar liefst drie jaar om te voldoen aan de nieuwe wet
De boetes zijn hoog:
- 35 miljoen of 7% van je wereldwijde concernomzet als je een verboden
praktijk inzet
- 15 miljoen of 3% als je je gewone verplichtingen niet nakomt
- 7,5 miljoen of 1% als je misleidende of onjuiste informatie verstrekt aan een toezichthouder (dus los van of je verder compliant bent)
- Leuk detail: de hoofdregel is dat de maximumboete de hoogste van de twee is, maar voor mkb is de maximumboete de láágste van de twee
Wat moet je nu doen?
- Inventariseer je AI/algoritme systemen
- Toets of ze onder de definitie van 'AI' vallen
- Onderzoek of ze high-risk zijn via Annex I en III
- Evalueer of een uitzondering voor 'klein' gebruik van toepassing is
- Bij high-risk: begin met het opzetten van je kwaliteitssysteem, realiseer daarin een risicomanagementsysteem, de rest komt daarna vanzelf
- Bij laag risico: zorg voor adequate transparantie zodat gebruikers snappen dat je AI een AI is
- Bij verboden praktijken: begin met uitfaseren, je hebt zes maanden!
Benieuwd of de AI Act in jouw situatie van toepassing is en welke rol hierin hebt?
Doe de AI checklist
