Met de opkomst van kunstmatige intelligentie (AI) in verschillende sectoren, staan organisaties voor de uitdaging om te voldoen aan de nieuwe AI-verordening van de Europese Unie. Deze wetgeving, die in februari 2025 van kracht wordt, stelt strenge eisen aan de ontwikkeling, het gebruik en de handel in AI-systemen. Om te voorkomen dat bedrijven en overheden straks in de problemen komen, is het essentieel om nu al te beginnen met de voorbereidingen.
Stap 1: Identificeer AI-systemen binnen uw organisatie
De eerste stap voor organisaties is het in kaart brengen van de AI-systemen die zij gebruiken of ontwikkelen. Het is belangrijk om vast te stellen of deze systemen vallen onder de definitie van een ‘AI-systeem’ zoals beschreven in de verordening. Niet elk geautomatiseerd systeem valt onder deze definitie, maar systemen die beslissingen nemen op basis van machine learning-algoritmen of die complexe data-analyses uitvoeren, zullen dit vaak wel doen.
Stap 2: Risico-indeling van AI-systemen
Zodra de AI-systemen in kaart zijn gebracht, moeten organisaties bepalen in welke risicocategorie deze systemen vallen:
- Verboden AI: Sommige AI-systemen worden vanwege hun potentiële schade verboden. Deze systemen moeten per direct uit de handel worden genomen, en het gebruik ervan moet worden gestopt. Denk hierbij bijvoorbeeld aan AI-systemen die discriminatie in de hand werken of de privacy ernstig schenden.
- Hoog-risico AI: Voor AI-systemen die in de hoog-risico categorie vallen, gelden strenge eisen op het gebied van risicobeheer, datakwaliteit, documentatie en menselijk toezicht. Overheden en publieke organisaties moeten soms aanvullende maatregelen nemen, zoals het uitvoeren van een grondrechteneffectbeoordeling.
- AI met beperkt risico: AI-systemen met een beperkt risico, zoals chatbots of systemen die automatisch inhoud genereren (bijvoorbeeld deepfakes), moeten transparantieverplichtingen nakomen. Gebruikers moeten bijvoorbeeld geïnformeerd worden wanneer zij met een AI-systeem te maken hebben.
Stap 3: Verantwoorde inkoop en gebruik van AI-systemen
Bij de aanschaf en het gebruik van AI-systemen is het cruciaal om te controleren of de leverancier voldoet aan de nieuwe AI-verordening. Dit betekent onder andere dat de inkoopvoorwaarden zorgvuldig moeten worden geanalyseerd. Het is belangrijk om te weten hoe de leverancier omgaat met data, welke rechten gebruikers hebben op de door het AI-systeem verwerkte data, en of het systeem voldoet aan de vereisten van de verordening. Binnen de publieke sector wordt bovendien gewerkt aan modelcontractbepalingen voor de aanbesteding van AI, zodat organisaties op een verantwoorde manier AI kunnen inkopen.
Stap 4: Rollen en verantwoordelijkheden begrijpen
De AI-verordening kent verschillende rollen en verantwoordelijkheden voor aanbieders en gebruikers van AI-systemen. Soms kunnen deze rollen overlappen of verschuiven, bijvoorbeeld wanneer een organisatie een ingekocht AI-systeem aanpast of voor een ander doel gebruikt. In dat geval kan de organisatie als aanbieder worden beschouwd en moet zij voldoen aan de bijbehorende verplichtingen, zoals die voor hoogrisicosystemen. Het is daarom belangrijk dat organisaties voortdurend evalueren hoe hun rol zich ontwikkelt in relatie tot de AI-systemen die zij gebruiken of ontwikkelen.
Stap 5: Gebruikmaken van de Nederlandse regulatory sandbox
Voor ontwikkelaars van AI-systemen is er een mogelijkheid om deel te nemen aan de Nederlandse testomgeving voor de regelgeving, ook wel bekend als de regulatory sandbox. Deze omgeving wordt in de loop van 2026 operationeel en biedt ontwikkelaars de mogelijkheid om compliance-vragen over de AI-verordening op te lossen. Tot die tijd voeren toezichthouders pilots uit om de werking van deze sandbox te testen.
Conclusie
De AI-verordening brengt ingrijpende veranderingen met zich mee voor de manier waarop AI-systemen worden ontwikkeld, gebruikt en gereguleerd. Door nu al te starten met de voorbereidingen kunnen organisaties ervoor zorgen dat zij tijdig voldoen aan de nieuwe regels en mogelijke risico’s vermijden. Het is daarbij belangrijk om zowel de technische als juridische aspecten van AI-systemen zorgvuldig te evalueren en waar nodig aanpassingen te maken. Organisaties die nu de juiste stappen zetten, kunnen met vertrouwen de toekomst tegemoet zien in een steeds meer door AI gedreven wereld.Amsterdam, 24 juni 2024