EU AI Act: Wat je als ondernemer moet weten

Gepost op door Juridisch Eerste Hulp Bij Ondernemen

De EU AI Act

De Europese Verordening 2024/1689, kortweg de EU AI Act of AI Act, is een vuistdik werk (144 pagina’s en 111 artikelen) en maakt deel uit van een breder pakket aan beleidsmaatregelen van de Europese Unie. Doel van de beleidsmaatregelen en de AI Act is om de risico’s van kunstmatige intelligentie (AI) aan te pakken en de ontwikkeling van een betrouwbare AI in Europa te ondersteunen. De achterliggende idee is om de mens op de eerste plaats te zetten en ervoor te zorgen dat de rechten van het individu beschermd worden. De AI Act richt zich op regels voor mensen en bedrijven die gebruik (willen) maken van AI. De belangrijkste regel is wel, dat er transparantie is over het gebruik van AI en dat iemand die iets leest of hoort ervan op de hoogte is, dat er, als dat aan de orde is, sprake is van met of via AI aangemaakte content.
Dit artikel geeft meer inzicht in deze regels bij gebruik van AI en wat deze regels voor jou als (kleine) ondernemer kunnen betekenen bij gebruik van AI.

Wanneer treedt de AI Act in werking?

De AI Act is 1 augustus 2024 in werking getreden, maar de volledige implementatie zal geleidelijk plaatsvinden over een periode van 6 tot 36 maanden. Dit geeft iedereen de tijd om zich voor te bereiden en aan de nieuwe regels te voldoen.

De verschillende stadia van in werking treden zijn de volgende:
• Vanaf 2 februari 2025 zijn AI-systemen met een onacceptabel risico verboden en moeten bedrijven maatregelen nemen om intern een adequaat niveau van AI-geletterdheid te behalen;
• Vanaf 2 augustus 2025 worden al de verplichtingen (en sancties) voor algemene AI-modellen van toepassing. Elke lidstaat moet dan zijn nationale bevoegde autoriteit aangesteld hebben en de regels voor sancties vaststellen en aan de Europese Commissie melden;
• Vanaf 2 augustus 2026 is de gehele AI Act van toepassing, met uitzondering van de hoogrisico-systemen. Dit is een lijst van bepaalde producten en systemen die een hoger risico vormen, zoals AI-systemen die dienen als veiligheidscomponenten van producten;
• Vanaf 2 augustus 2027 worden de verplichtingen voor hoog-risico systemen, ook van kracht en is dus de gehele AI Act geïmplementeerd.

Wat begrippen uitgelegd

Onder AI-geletterdheid wordt verstaan, dat aanbieders, gebruiksverantwoordelijken en betrokken personen (zoals personeel) over genoeg kennis en capaciteiten moeten beschikken om op basis daarvan goed onderbouwde beslissingen met betrekking tot AI-systemen te kunnen nemen. De Europese Commissie en de EU-lidstaten gaan nog gedragscodes opstellen om dit te bevorderen.

Onder algemene AI-modellen (General Purpose AI models), worden verstaan modellen die veel gegevens kunnen verwerken en ook getraind worden met veel gegevens. Het gaat dus niet om systemen met één specifieke functie, maar juist om systemen die voor meerdere mogelijkheden geschikt zijn. Bekende voorbeelden van deze generatieve AI-modellen, zijn die modellen die nieuwe content genereren, zoals tekst (Chat GPT), audio (MusicLM), beelden (Dall E-3) of video (Descript).

De idee is dat per land er een nationale toezichthouder zal ingesteld worden, die op de implementatie van en het houden aan de verplichtingen van de AI Act toezicht houdt. Op 17 juli 2024 heeft de Europese Toezichthouder voor Gegevensbescherming (EDPB) een verklaring afgegeven over de rol van nationale toezichthouders in het kader van de verplichtingen van de AI Act. De EDPB geeft aan veel waarde te hechten aan de expertise en ervaring van de bestaande gegevensbeschermingsautoriteiten en is er daarom van overtuigd dat deze het meest geschikt zijn om als toezichthouder onder de AI Act op te treden. Dat zal waarschijnlijk ertoe leiden, dat in Nederland de Autoriteit Persoonsgegevens (AP) toezicht zal gaan houden en richtlijnen geven over zaken als vertrouwelijkheid en boetes bij de AI act.

Risico niveaus en hun implicaties

De AI Act categoriseert AI-toepassingen in verschillende risiconiveaus en stelt regels op basis van deze niveaus. De AI Act onderscheidt vier risiconiveaus voor AI-systemen:

  1. Onaanvaardbaar risico: Deze AI-toepassingen zijn verboden. Denk hierbij aan systemen die mensen manipuleren of sociale ‘scoring’ door de overheid.
  2. Hoog risico: Deze systemen moeten voldoen aan strenge veiligheids- en transparantie-eisen. Voorbeelden zijn AI gebruikt bij sollicitatieprocedures of kredietbeoordeling.
  3. Beperkt risico: Voor deze systemen gelden alleen transparantieverplichtingen. Denk aan chatbots of deepfakes.
  4. Minimaal risico: De meeste AI-toepassingen vallen in deze categorie en worden grotendeels ongemoeid gelaten.

Wat betekent de AI Act concreet voor jou als (kleine) ondernemer?

Als kleine ondernemer of zelfstandige is de kans groot dat je vooral te maken krijgt met AI-systemen met een minimaal of beperkt risico. Dit betekent dat er waarschijnlijk weinig extra verplichtingen zullen zijn voor jou bij het gebruik van AI. Toch is het belangrijk om bewust gebruik te maken van AI. Denk daarbij aan de volgende uitgangspunten:

  • Transparantie: Bij gebruik van AI-tools die interactie hebben met klanten, zoals chatbots, moet je duidelijk maken dat de klant met een AI communiceert.
  • Datagebruik: Wees voorzichtig met het gebruik van persoonlijke gegevens in AI-systemen en zorg dat je voldoet aan de regels die de AVG stelt voor het gebruik en opslag van persoonsgegevens..
  • Leveranciersselectie: Als je AI-diensten afneemt, kies dan voor leveranciers die kunnen aantonen dat ze voldoen aan de AI Act.

Voor de ondernemer die aangemerkt wordt als een specialistische dienstverlener

Voor bepaalde sectoren gelden extra of bijzondere regels en waarborgen. Met name in de gezondheidszorg, Human Resources sector of financiële en banken sector is de kans groter dat je te maken krijgt met hoog-risico AI-systemen. Dan is het goed om rekening te houden met de volgende zaken:

  • Risicobeoordeling: Evalueer of jouw AI-toepassing(en) als hoog risico worden geclassificeerd.
  • Conformiteitsbeoordeling: Voor hoog-risico systemen moet je een conformiteitsbeoordeling uitvoeren voordat je ze in gebruik neemt.
  • Documentatie: Houd gedetailleerde documentatie bij over jouw AI-systemen, inclusief hun werking en risicobeheer.
  • Menselijk toezicht: Zorg voor adequaat menselijk toezicht op hoog-risico AI-systemen.

Kansen voor ondernemers

De AI Act biedt ook kansen voor ondernemers:

  • Vertrouwen: Door te voldoen aan de AI Act kun je het vertrouwen van jouw klanten vergroten.
  • Innovatie: De AI Act stimuleert verantwoorde AI-innovatie, wat nieuwe marktkansen kan creëren.
  • Europese markt: Compliance met de AI Act geeft jou toegang tot de hele EU-markt.

Praktische stappen bij toepassen AI Act

  1. Inventariseer: Breng in kaart welke AI-systemen je gebruikt of aanbiedt.
  2. Categoriseer: Bepaal in welke risicocategorie jouw AI-toepassingen vallen.
  3. Pas aan: Implementeer de nodige aanpassingen om aan de AI Act te voldoen.
  4. Blijf op de hoogte: De interpretatie en implementatie van de AI Act zal zich ontwikkelen. Houd de updates in de gaten.
  5. Zoek advies: Overweeg juridisch advies in te winnen als je twijfelt over jouw verplichtingen.

Conclusies

De AI Act is een belangrijke stap in de regulering van AI en zal invloed hebben op hoe we AI ontwikkelen en gebruiken. Voor de meeste kleine ondernemers en zelfstandigen zullen de directe gevolgen beperkt zijn, maar het is belangrijk om bewust te zijn van de nieuwe regels. Door proactief te zijn en verantwoordelijk om te gaan met AI, kun je niet alleen aan de wet voldoen, maar ook jouw concurrentiepositie versterken in een steeds meer door AI gedreven economie.

Door de geleidelijke invoering van de wet heb je ruim de tijd om je voor te bereiden. Gebruik deze periode om jouw AI-strategie te evalueren en waar nodig aan te passen. Met de juiste voorbereiding kan de AI Act een kans zijn om jouw bedrijf toekomstbestendig te maken en het vertrouwen van jouw klanten te versterken.

Dit artikel is eerder verschenen in het OCQ magazine als special 40S .

Plaats een reactie

Deze site gebruikt Akismet om spam te bestrijden. Ontdek hoe de data van je reactie verwerkt wordt.