Coauteur: Legal Counsel (Tech) David van den Bergh
Na intensieve onderhandelingen tussen de Europese Raad, de Europese Commissie en het Europees Parlement, is op 9 december 2023 eindelijk een voorlopig akkoord bereikt over de AI Act. Zie hiervoor ook de blog: “De EU is eruit: de AI Act gaat de risico’s van AI en algoritmes reguleren”. Het akkoord is voorlopig, omdat het formeel nog moet worden goedgekeurd door het Europees Parlement en de Raad. Dit zal naar verwachting nog voor het einde van 2023 gebeuren, waarna de AI Act zal worden gepubliceerd in het Publicatieblad van de EU. Twintig dagen na deze publicatie zal de AI Act dan eindelijk officieel van kracht gaan. De implementatie zal een geleidelijk proces zijn waarin de tijdlijn is gerangschikt op basis van prioriteit.
De AI Act werkt met 3 risicocategorieën: verboden AI-systemen, AI-systemen met een hoog risico en AI-systemen met een laag risico. Naast deze risicocategorieën zijn er ook nog basismodellen, die een aparte status innemen en niet onder één van deze 3 risicocategorieën vallen.
De verboden AI-systemen zullen de hoogste prioriteit krijgen bij de implementatie van de AI Act. 6 maanden na de inwerkingtreding van de AI Act begin 2024 moeten lidstaten er al voor zorgen dat deze verboden praktijken van de baan zijn. Dit is dus al halverwege 2024. Verboden toepassingen van AI zijn bijvoorbeeld biometrische identificatiesystemen, waarmee ernstige schendingen op fundamentele mensenrechten kunnen worden gepleegd, zoals het recht op gegevensbescherming, het recht op gelijkheid en het recht op menselijke waardigheid. Niet verrassend dus dat dergelijke praktijken zo snel mogelijk gestaakt moeten worden.
De volgende AI-systemen die aan de beurt zullen zijn, zijn de basismodellen. Basismodellen zijn AI-systemen die eigenlijk alles kunnen, zoals Bing Chat en ChatGPT en op grote schaal door andere ontwikkelaars worden gebruikt als basis voor nieuwe AI-systemen. Ontwikkelaars van basismodellen moeten al na 12 maanden, dus begin 2025, compliant zijn met de verplichtingen voor basismodellen in de AI Act. Welke verplichtingen dat zijn, hangt af van het type basismodel. Ze zullen worden verdeeld in basismodellen met of zonder "systemisch risico”. Basismodellen met een systemisch risico zijn getraind met extreem veel data en hebben bovengemiddelde capaciteiten, zoals ChatGPT en Gemini, de gloednieuwe chatbot van Google. Voor deze grote basismodellen zullen binnen 12 maanden heel veel acties moeten worden ondernomen om compliant te zijn met de AI Act. Voor kleinere basismodellen gelden echter alleen transparantieverplichtingen. Waarom hebben alle basismodellen, groot of klein, zo’n hoge prioriteit?
Voor kleine basismodellen is dit heel simpel te verklaren. De EU heeft transparantie ontzettend hoog op het vaandel staan. Zeker bij basismodellen is een gebrek aan transparantie funest voor een veilige toepassing door ontwikkelaars die op een later moment met het basismodel aan de haal gaan. Maar ook voor systemen met hoge risico’s is transparantie van essentieel belang om het vertrouwen in AI-systemen te bevorderen en om de gebruikersbescherming te waarborgen. De transparantieverplichtingen zullen daarom niet alleen voor basismodellen binnen 12 maanden moeten worden uitgevoerd, maar ook voor AI-systemen met een hoog risico.
Dat de prioriteit ook voor grote basismodellen hoger is, is verrassend te noemen, gezien de grote hoeveelheid verplichtingen voor deze systemen, maar ook gezien de uitvoerige lobby van Duitse en Franse AI-ontwikkelaars van grote basismodellen tijdens de triloogonderhandelingen. Dat deze modellen desondanks een hoge prioriteit hebben, is te verklaren door hun enorme potentiële impact en risico’s voor onbedoeld misbruik, zoals gesteld in een vorige blog. Grote basismodellen zijn op zo’n gigantische hoeveelheid data getraind, dat ze eigenlijk tot alles in staat zijn. Ze kunnen daardoor heel makkelijk door minder ervaren ontwikkelaars worden gebruikt voor een oneindig aantal nieuwe toepassingen. Door de schaal, complexiteit en toepassingsmogelijkheden, kunnen deze modellen met veel ethische, sociaal-juridische en technische problemen te maken krijgen. De regels voor deze modellen zullen daarom zo snel mogelijk van kracht gaan.
We zagen eerder dat ontwikkelaars van hoge risico systemen al na 12 maanden aan de transparantieverplichtingen voldoen. Deze hoge risico systemen kennen echter nog veel meer verplichtingen, zoals kwaliteitsborging, leveranciersmanagement, logging, menselijk toezicht en een Fundamental Rights Impact Assessment (FRIA). Wanneer al deze verplichtingen moeten worden uitgevoerd, hangt af van de wettelijke basis voor de kwalificatie van het systeem als ‘hoog risico’.
De AI Act definieert in Annex II en Annex III twee soorten hoog-risico AI-systemen: Annex II betreft AI-systemen in producten die vallen onder bepaalde EU-wetgevingen, zoals machines, speelgoed, motorvoertuigen en medische hulpmiddelen. Hier geldt een implementatieperiode van 36 maanden, dus begin 2027 moet de ontwikkelaar of gebruiker van het systeem compliant zijn met de AI Act.
Annex III richt zich op systemen met een significante impact op gezondheid, veiligheid of fundamentele rechten in sectoren zoals onderwijs, werk en rechtshandhaving. Voor deze systemen geldt een kortere implementatieperiode van 24 maanden.
Deze deadlines komen sneller dan veel partijen misschien zouden denken. Het optuigen van een risico- of kwaliteitsbeheersysteem binnen 24 maanden is geen eenvoudige opgave. Om te voorkomen dat partijen helemaal alleen voor deze opgaven staan, heeft de Commissie de zogenaamde ‘AI-Pact’ gelanceerd. Via de AI-Pact kunnen organisaties en bedrijven vrijwillig hun doelstellingen en middelen en kennis voor de implementatie delen. Deze inzichten worden door de Europese Commissie verzameld en gepubliceerd. De Commissie hoopt hiermee een gemeenschap van uitwisseling van best practices te creëren, die is gericht op het vergroten van het bewustzijn van de beginselen van de AI Act.
De AI Act brengt nieuwe regels voor AI-systemen en zal naar verwachting in de eerste weken van 2024 van kracht gaan. Het onderscheidt verschillende risiconiveaus, van verboden tot laag-risico systemen. De regels voor de verschillende AI-systemen zullen niet allemaal tegelijkertijd moeten worden geïmplementeerd. Verplichtingen voor verboden systemen en basismodellen zullen eerder moeten worden uitgevoerd, respectievelijk 6 en 12 maanden na de inwerkingtreding van de AI Act begin 2024. Deze snelle handhaving van verboden AI-systemen en basismodellen benadrukt het belang van de bescherming van de grondrechten. Ook voor de uitoefening van transparantieverplichtingen bij hoge risico systemen geldt een termijn van 12 maanden. Voor alle andere verplichtingen voor hoge risico systemen geldt een termijn van 24 maanden (indien het systeem in Annex III van de AI Act te vinden is) of van 36 maanden (bij toepassing van Annex II). Partijen die onder de AI Act vallen en die gebruiken (willen) maken van AI-systemen of deze wensen te ontwikkelen, staan niet alleen in de uitvoering van de verplichtingen binnen de gestelde termijnen. Desondanks is het van belang dat betrokkenen proactief voorbereidingen treffen voor compliance om niet verrast te worden.
Bekijk onze opleiding, webinar of een van onze trainingen.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.