Na drie jaar onderhandelen is de AI Act op 1 augustus 2024 in werking getreden. Deze verordening heeft als doelstelling om een 'verantwoorde' ontwikkeling en uitrol van AI in de EU te bevorderen door duidelijke eisen en verplichtingen te stellen voor specifieke AI-toepassingen.
De AI Act biedt een uniform kader voor alle EU-lidstaten, gebaseerd op een risicogebaseerde aanpak. Alle AI-systemen worden in 4 categorieën ingedeeld met verschillende verplichtingen voor elke categorie:
- Minimaal risico: De meeste AI-systemen, zoals spamfilters en AI-videogames, vallen niet onder de verordening. Bedrijven kunnen wel vrijwillig extra gedragscodes bepalen.
- Beperkt risico: Systemen zoals chatbots moeten gebruikers informeren dat ze met een machine communiceren, en AI-gegenereerde inhoud moet als zodanig worden aangeduid.
- Hoog risico: AI-systemen met een hoog risico, zoals medische AI-software of AI-systemen voor aanwerving, moeten voldoen aan strikte vereisten zoals risicobeperking, monitoring, datasets van hoge kwaliteit, duidelijke gebruikersinformatie en menselijk toezicht.
- Onaanvaardbaar risico: AI-systemen die kunnen worden beschouwd als een bedreiging voor de mensenrechten zijn verboden, denk aan systemen die "sociale scoring" door de overheid of bedrijven mogelijk maken.
Tijdslijn van implementatie
De AI Act treedt stapsgewijs in werking:
Nu - 2025
- Vanaf februari 2025 zijn AI-systemen die als 'onaanvaardbaar risico' worden beschouwd, verboden en moeten ze van de Europese markt worden verwijderd.
- Ook vanaf februari 2025 wordt AI-geletterdheid verplicht. Organisaties moeten ervoor zorgen dat medewerkers die met AI-systemen werken, voldoende kennis hebben van AI, vooral bij systemen die als 'hoog risico' worden geclassificeerd. Deze verplichting geldt voor alle bedrijven.
- Vanaf 2 augustus treden de regels voor AI-modellen voor algemene doeleinden in werking, (waaronder bv. ChatGPT). Daarnaast moet duidelijk zijn welke instanties in België als toezichthouder optreden.
2026 - Vanaf augustus 2026 begint het toezicht op AI-systemen met een hoog risico (zoals beschreven in bijlage III van de AI Act). Daarnaast wordt er vanaf dat moment toezicht gehouden op de transparantieverplichtingen voor AI-systemen met een beperkt risico. Tegelijkertijd moet de overheid beginnen met het adviseren van aanbieders van AI-systemen die complexe vragen hebben over de wetgeving.
2027 - In augustus 2027 is de AI Act vrijwel volledig van kracht (hoewel er voor sommige systemen nog een overgangsperiode geldt tot 2030). Vanaf dat moment begint ook het toezicht op AI-systemen met een hoog risico die al gereguleerd zijn (zoals beschreven in bijlage I van de AI Act).
Aanbevelingen voor ondernemingen
De AI-Act is dus duidelijk geen 'ver-van-mijn-bed-show', maar ondernemingen dienen nu al bepaalde verplichtingen op te volgen. We bevelen hen dan ook aan om al snel een aantal stappen te nemen om in lijn te zijn met deze nieuwe regelgeving.
We stellen de volgende 4 stappen voor:
Stap 1: Maak een inventarisatie van alle mogelijke AI-systemen: Maak een inventaris van alle AI-toepassingen die binnen je organisatie worden gebruikt en categoriseer ze volgens het risicokader van de AI Act.
Stap 2: Identificeer en schrap alle verboden AI-systemen: Als een AI-systeem in de verboden categorie valt, moet het onmiddellijk worden stopgezet. Er is geen overgangsperiode. Bedrijven die dit dit niet doen, riskeren zware boetes tot 35 miljoen euro of 7% van de wereldwijde omzet. Voorbeelden van verboden AI-systemen: AI-systemen die worden gebruikt om emoties van mensen op de werkplek of in onderwijsinstellingen af te leiden; AI-systemen die mensen categoriseren op basis van biometrische gegevens zoals gezichtsherkenning, vingerafdrukken of DNA, zonder duidelijke en legitieme doeleinden; : AI-systemen die subliminale technieken gebruiken om het gedrag van mensen te beïnvloeden zonder dat zij zich daarvan bewust zijn; …
Stap 3: Zorg voor trainingen en AI-geletterdheid binnen de onderneming: Bedrijven moeten er nu al voor zorgen dat hun werknemers voldoende AI-kennis hebben en dan vooral zij die AI-systemen beheren of implementeren. Werknemerrs dienen ook de juridische en ethische verplichtingen rond AI-gebruk begrijpen. De AI Act specificeert echter niet welke maatregelen een werkgever moet nemen om een ‘toereikend’ niveau van AI-geletterdheid te bereiken. Dit maakt het moeilijk om aan te tonen dat voldaan wordt aan deze verplichting, maar het biedt ook de kans om zelf te bepalen wat ‘toereikend’ is voor de eigen onderneming en werknemers.
Bovendien moeten niet alle werknemers hetzelfde niveau van AI-geletterdheid bereiken. Het gaat niet om een ‘one size fits all’-verplichting, maar wel degelijk om maatwerk. Van iedereen die in aanraking komt met AI wordt verwacht dat zij de basisprincipes begrijpen, alsook verantwoord en kritisch kunnen omgaan met AI(-systemen).
Stap 4: Maak je future-proof en bereid je voor op toekomstige verplichtingen: Ondernemingen moeten vooruitkijken en zich nu al voorbereiden op de bredere nalevingsverplichtingen voor hoog-risico AI-systemen en generatieve AI-modellen die de komende jaren van kracht worden. Door nu de nodige governancestructuren op te zetten, kunnen bedrijven voorop blijven lopen terwijl de regelgeving steeds strenger wordt. Voor AI-toepassingen die bv. binnen de categorie 'hoog risico' vallen, gelden vanaf augustus 2026 strenge regels om mogelijke risico's te voorkomen of te beperken. Dit omvat onder andere risicobeheer, datakwaliteit, registratie, monitoring en menselijk toezicht. Ondernemingen kunnen alvast beginnen met het verbeteren van de transparantie van alle AI-systemen, zodat gebruikers altijd weten dat ze met een AI-systeem te maken hebben. Het is ook cruciaal om duidelijke verantwoordelijkheidslijnen vast te stellen en samenwerking tussen IT, regelgeving en gegevensbescherming te bevorderen.
