Meer boetes op komst door nieuwe Europese AI-wetgeving

Europese verordening kunstmatige intelligentie in 2023 van kracht: zo bereidt u uw organisatie voor


Afgelopen december bereikten de Europese telecomministers een akkoord over de introductie van de nieuwe AI Act. Deze verordening legt binnenkort het gebruik van kunstmatige intelligentie door bedrijven, organisaties en overheden in de gehele Europese Unie aan banden. De verordening treedt naar verwachting in het najaar van 2023 in werking en stelt vanaf dat moment bijzonder hoge boetes in het vooruitzicht voor overtreders. Het is dan ook zaak voor Nederlandse organisaties om spoedig in beweging te komen.

Kunstmatige intelligentie (Artificial Intelligence, AI) vindt overal ter wereld steeds meer toepassingen, zowel bij overheden, bij grote bedrijven als binnen het MKB. Uit onderzoek van IBM blijkt dat zo’n 35 procent van alle bedrijven wereldwijd inmiddels gebruik maakt van AI en dat een verdere 42 procent de ingebruikname van AI-systemen onderzoekt of overweegt. Daarmee staan we voor een belangrijke drempel: binnenkort zijn er meer partijen die wel AI toepassen, dan partijen die dat niet doen.

Kunstmatige intelligentie wordt dus gestaag gemeengoed, zeker ook in Nederland. Dat is ook logisch, want goede AI-systemen brengen belangrijke voordelen met zich mee. Moderne AI is bijvoorbeeld al in staat om geheel op eigen kracht unieke muziek te componeren, gezichten van niet-bestaande mensen te creëren en te bepalen of onderdelen van gecompliceerde infrastructuur, zoals elektriciteitscentrales of drinkwaterinstallaties, gerepareerd moeten worden. AI stelt steeds meer bedrijven in staat om hun klanten online beter te bedienen, vereenvoudigen processen bij gemeenten en andere overheden ingrijpend en kunnen gecompliceerde taken uit handen nemen van mensen.

AI-systemen kunnen echter, aan de andere kant, ook een bedreiging vormen, bijvoorbeeld voor de privacy van klanten en burgers. Daarnaast: als een slecht beveiligd AI-systeem in handen van kwaadwillenden valt, bijvoorbeeld na van een geslaagde hack, kan dat ingrijpende gevolgen hebben. Er bestaat evenwel nog geen wetgeving specifiek voor AI-systemen. Voor de Europese Commissie reden genoeg om nog dit jaar een verordening in het leven te roepen die zich specifiek richt op AI-toepassingen. 

Nieuwe verordening bevat opmerkelijk pittige boetes

Momenteel worden eventuele risico’s rondom het gebruik van AI nog afgedekt met behulp van andere wetgeving. Zo is het in de EU niet toegestaan om een sociaalkrediet-systeem (zoals dat in Chinese steden wordt gebruikt waarbij burgers een score krijgen op basis van hun gedrag) te ontwikkelen, omdat daarmee onder meer de GDPR zou worden overtreden. Bestaande wetgeving dekt echter lang niet alle mogelijke risico’s rondom AI-systemen goed af. Bovendien laat de verdere ontwikkeling van kunstmatige intelligentie zich moeilijk voorspellen, waardoor het nog maar de vraag is wat de bestaande wetgeving op langere termijn waard is als het om AI-systemen gaat. Het is dan ook niet opmerkelijk dat de Europese Commissie (EC) in april 2021 gestart met de ontwikkeling van een AI Act.

Dat de EC inzet op strikte naleving van deze nieuwe verordening blijkt wel uit de opmerkelijk pittige boetes die in het vooruitzicht worden gesteld bij overtredingen. Overtreders lopen het risico op boetes tot wel dertig miljoen euro of zes procent van de jaaromzet. Daarmee bevat de AI Act potentiële boetes die een stuk hoger zijn dan die uit bijvoorbeeld de GDPR. De inhoud van de AI Act is in december 2022 geaccordeerd door de Europese telecomministers en wordt naar verwachting in het najaar van 2023 Europees geïmplementeerd.

Vier categorien AI-systemen

De definitie van AI-systemen is vrij breed neergezet met het oog op toekomstige ontwikkelingen. In de scope vallen onder andere machine learning, logische- en expertsystemen en statische methodes. In de nieuwe AI Act worden AI-systemen ingedeeld in vier categoriën:

1 – Systemen met een onaanvaardbaar risico

Onder deze categorie vallen systemen die in strijd zijn met fundamentele rechten van EU-burgers. Denk aan vrijheidsbeperkende systemen zoals het eerder aangehaalde sociaalkrediet-systeem of een uitgebreid gezichtsherkenningssysteem in de Nederlandse winkelstraten. Dit soort systemen worden onder de AI Act verboden. Vaak zijn ze dat al onder bestaande wetgeving, maar de AI Act verbiedt ze concreet.

2- Systemen met een hoog risico

Een systeem met een hoog risico is niet direct verboden, maar moet aan zeer strikte eisen voldoen alvorens in gebruik te mogen worden genomen. Eenmaal in gebruik genomen, zullen systemen van deze categorie doorlopend grondig moeten worden gecontroleerd en geëvalueerd. Systemen met een hoog risico zijn bijvoorbeeld systemen waarmee burgers worden geselecteerd voor extra controles door de overheid, of systemen die bedrijven inzetten voor sollicitatieprocedures. Als dit soort systemen niet foutloos zijn ingericht, kunnen ze leiden tot ingrijpende nadelige gevolgen voor mensen, zoals discriminatie of etnische profilering.

3- Systemen met een beperkt risico

Onder de systemen met een beperkt risico vallen de wat meer alledaagse AI-oplossingen, zoals een simpele chatbot en algoritmen die bepalen welke content gebruikers aangeboden krijgen in apps of op websites. Hier geldt onder de AI Act een transparantieverplichting. Dat houdt in dat gebruikers vooraf helder geïnformeerd moeten worden dat ze met een AI-toepassing van doen hebben. Een gebruiker kan op basis daarvan een goed geïnformeerde keuze maken of hij dat wel of niet wil.

4- Systemen met een minimaal risico

Voor een aantal AI-systemen bevat de AI Act geen impact. Deze worden gecategoriseerd als systemen met een minimaal risico. Het belangrijkste voorbeeld van zo’n systeem is een zoekmachine als Google, maar ook spamfilters van e-mailboxen vallen onder deze systemen. 

Impact voor organisaties: zowel nieuwe als bestaande AI-toepassingen langs de meetlat

De nieuwe AI Act geldt niet alleen voor toepassingen die vanaf dat moment in gebruik worden genomen, maar voor alle AI-systemen in de Europese Unie. Dat betekent dat organisaties, overheden en bedrijven die nu al gebruik maken van kunstmatige intelligentie vanaf de implementatiedatum compliant moeten zijn met deze nieuwe verordening.

Voor alle systemen in de categorieën 1 tot en met 3 geldt dat er voor vrijwel alle gebruikers van die systemen werk aan de winkel is. De verplichtingen die binnen de AI Act gaan gelden, zijn op dit moment namelijk doorgaans nog niet ingeregeld. Vanaf de implementatie van de AI Act zal er bovendien per lidstaat een toezichthouder actief zijn die het mandaat heeft om boetes op te leggen aan partijen die niet aan de nieuwe wetgeving voldoen. 

In sommige gevallen zal het compliant worden aan de AI Act niet meer betekenen dan het inregelen van een kort informatiemoment, vergelijkbaar met een cookiemelding op een bedrijfswebsite. Maar in veel gevallen is er veel meer werk te verzetten. 

Belangrijkste nieuwe eisen aan systemen met verhoogd risico

Vooral voor systemen die straks in de tweede categorie (hoog risico) vallen, is er veel werk aan de winkel. Voor dergelijke systemen gaat een uitgebreide set aan eisen gelden die de veiligheid ervan moeten waarborgen. Daaronder vallen onder meer:

  • Uitvoering en documentatie van een risicoanalyse van elk afzonderlijk systeem;
  • Beheer van datareeksen die gebruikt worden voor training, validatie en testen;
  • Het opstellen en beheren van degelijke technische documentatie;
  • Degelijke registratie en logging;
  • Transparante, proactieve informatieverstrekking aan gebruikers van het systeem vóórdat zij het systeem gebruiken;
  • Het inregelen van structureel menselijk toezicht op het systeem;
  • Zorgen voor een robuust systeem dat weerbaar is tegen cyberaanvallen.

In de meeste gevallen leidt het moeten inregelen van al deze voorschriften tot een intensief voorbereidingstraject dat niet binnen een paar weken geklaard is. Het is dan ook raadzaam om niet te lang af te wachten, maar nu al in actie te komen en organisaties voor te bereiden op de komst van de AI Act.
 

Hoe bereidt een organisatie zich voor op de AI Act?

Zo’n voorbereiding bestaat uit drie stappen:

1. Inventarisatie. U brengt in kaart waar in uw processen en systemen gebruik wordt gemaakt van AI-toepassingen. Soms is dat lastig te herkennen, want een relatief eenvoudig algoritme kan onder de AI Act al worden gedefinieerd als een AI-toepassing. De inventarisatie moet dus grondig en compleet worden uitgevoerd.

2. Implementatie. U zorgt dat u per AI-toepassing binnen de kaders van de nieuwe wetgeving valt. Daarvoor moet per systeem worden bepaald binnen welke categorie het systeem valt en welke verplichtingen daaruit voortvloeien. Die moeten vervolgens worden omgezet in acties.

3. Controle. U implementeert een control framework dat is toegespitst op deze wetgeving. Daarmee zorgt u er niet alleen voor dat u eenvoudig in control blijft na de eenmalige implementatie, maar kunt u ook richting toezichthouders onderbouwen dat uw organisatie aan alle wetgeving voldoet, mocht er een controle plaatsvinden.

Omdat het om een gloednieuwe verordening gaat en veel organisaties nog niet eerder met dit bijltje hebben gehakt, kan het verstandig – zo niet onontkoombaar – zijn ondersteuning te zoeken bij implementatie van de AI Act binnen uw organisatie. Bij RiskNow bieden we hulp en ondersteuning bij zowel de inventarisatie, het compliant worden als het inrichten en in gebruik nemen van een gebruiksvriendelijk control framework rondom de AI Act. Op die manier weet u zeker dat uw organisatie aan alle wet- en regelgeving voldoet en hebt u bovendien tijdig alle software en kennis aan boord om aantoonbaar in control te zijn.


Meer weten of interesse in een vrijblijvend adviesgesprek? Neem dan vandaag nog contact met ons op.

Interesse?

Neem dan vrijblijvend contact met ons op via 020-2101581 , info@risknow.com of laat uw gegevens achter.