De AI Act

De regels gelden voor iedereen die AI ontwikkelt, op de markt brengt of inzet: producenten, integrators, importeurs en gebruikers. Iedereen moet kunnen aantonen dat de AI-systemen aan de regels voldoen en helderheid opvragen bij leveranciers. De AI Act sluit aan bij bestaande Europese wet- en regelgeving in specifieke sectoren en vult deze aan, zoals in de gezondheidszorg met de Medical Device Regulation (MDR). De AVG blijft van toepassing naast de AI Act.

Boetes
De AI Act stelt hoge boetes in voor overtreders: tot 35 miljoen euro per overtreding of 7% van de wereldwijde omzet van het concern. Voor kleinere administratieve overtredingen is dit tot 7,5 miljoen euro of 1,5%.

• Onacceptabele risico's: als een AI iets doet dat in strijd is met Europese fundamentele normen en waarden, dan mag deze niet op de Europese markt ingezet worden. Een voorbeeld is predictive policing; AI laten voorspellen of iemand crimineel gedrag zal gaan vertonen. Ook biometrische surveillance (gezichtsherkenning) in de publieke ruimte valt hieronder en wordt dus verboden.
• Hoge risico's: AI-systemen die een hoog risico vormen voor de gezondheid, veiligheid, grondrechten of het milieu zijn toegestaan mits wordt voldaan aan de strenge voorwaarden. Zo moet duidelijk zijn waar de data vandaan komt waarmee de AI is getraind, is menselijk toezicht vereist en moet de technische documentatie op orde zijn. Het afhandelen van verzekeringsclaims, bepaalde medische hulpmiddelen en algoritmes die sollicitanten beoordelen zijn voorbeelden van hoog risico-AI.
• Lage risico's: AI-systemen die niet onder de voorafgaande categorieën vallen, mogen zonder al te veel problemen de Europese markt op. De AI moet wel transparant zijn, zodat niemand denkt met een mens te maken te hebben, en de AI mag geen beslissingen nemen.

Verplichtingen

Veruit de meeste verplichtingen gelden voor AI-systemen die in de categorie hoog vallen. Het volgende moet geregeld zijn:

• Fundamental Rights Impact Assessment: vooraf moeten gestructureerd de risico’s in kaart worden gebracht voor kwesties als veiligheid, privacy, discriminatie, eerlijke toegang tot zorg, onderwijs en belangrijke diensten.
• Risicomanagementsysteem: om potentiële risico's te identificeren, evalueren, beheren en verminderen.
• Systeem voor gegevensbeheer: er moet gebruik worden gemaakt van onbevooroordeelde, kwalitatieve en representatieve datasets.
• Technische documentatie: voor gebruikers moet duidelijk zijn hoe het AI-systeem gebruikt moet worden.
• Transparantie: voor gebruikers moet duidelijk zijn hoe het AI-systeem werkt. Zo geldt er ook een verplichting om te loggen om te kunnen traceren en controleren wat er precies is gebeurd.
• Menselijk toezicht: bij het gebruik van het AI-systeem is menselijk toezicht vereist.
• Conformiteitsbeoordeling: er geldt een specifieke conformiteitsbeoordelingsprocedure die verschilt van het huidige CE-markeringssysteem voor andere producten. Het doel is om een beoordelingsproces te hebben dat is afgestemd op de unieke kenmerken en risico's van AI-systemen.

Bovenstaande verplichtingen rusten niet op één partij; de AI Act kent verschillende rollen en elke rol kent eigen verantwoordelijkheden.

Werk jij of werkt jouw organisatie met AI of algoritmes of overweeg je dat te doen? Neem dan nu alvast de volgende stappen:

• Inventariseer om welke AI het gaat, van welke leveranciers deze afkomstig zijn en welke informatie je van de leveranciers nodig hebt. Vergeet ook de shadow-IT niet: de AI-diensten die werknemers op eigen houtje hebben afgenomen, al dan niet als experiment.
• Onderzoek welke rol je hebt en welke verantwoordelijkheden daarbij horen. Beoordeel vervolgens of je contracten daarop aansluiten. Denk aan aansprakelijkheid, opzegtermijn en mogelijkheden om documentatie op te eisen over werking, dataset en dergelijke.
• Evalueer de uitvoer van het AI-systeem. Zorg voor protocollen voor de evaluatie van de uitvoer en maak beleid met betrekking tot periodieke controles op de juistheid van de aanbevelingen.
• Concludeer welke menselijke bemoeienis met deze AI-systemen er is binnen jouw organisatie is. 
• Bepaal de risico categorie van het AI-systeem. AI-systemen die een hoog risico vormen staan in Bijlage III. AI-systemen die in Bijlage III vermeld staan en een conformiteitsbeoordeling van een onafhankelijke derde nodig hebben ook een hoog risico. Let op: deze lijst kan de komende weken nog aangepast worden.

De AI Act is definitief, hoewel de formele stemming nog moet plaatsvinden. Bekijk hier de officiële tekst als PDF.

De nummering moet nog worden herzien en er zijn een aantal opmaakfoutjes. Niet raar voor iets dat tot in de nachtelijke uurtjes met grote spoed is samengesteld om maar op tijd te zijn bij de stemmingen in Raad van Ministers en Europees Parlement (medio februari). Maar inhoudelijk staat het vast.

Download de AI Act