Wat is het doel van de AI Act?
De AI Act is net als de Data Act en NIS-2 onderdeel van de digitale strategie van de Europese Unie. Met de AI Act wil de EU beter vat krijgen op de voorwaarden voor de ontwikkeling en het gebruik van deze innovatieve technologie. Een belangrijk uitgangspunt van de AI Act is dat AI-systemen die onder de AI Act vallen veilig, transparant, traceerbaar, niet-discriminerend en milieuvriendelijk dienen te zijn. AI-systemen mogen nooit volledig geautomatiseerd zijn. Verder is menselijk toezicht op AI vereist om schadelijke gevolgen te voorkomen.
Wat zijn AI-systemen onder de AI Act?
Onder AI-systemen zal volgens de AI Act worden verstaan: een op een machine gebaseerd systeem dat is ontworpen om met verschillende niveaus van autonomie te werken en dat, voor expliciete of impliciete doelstellingen, uit de ontvangen input afleidt hoe output te genereren zoals voorspellingen, inhoud, aanbevelingen of beslissingen die van invloed kunnen zijn op fysieke of virtuele omgevingen.
Kenmerkend voor een AI-systeem ten opzichte van reguliere software is dat de output niet van tevoren vaststaat vanwege het gebruikt van een strikt algoritme.
De definitie is bewust ruim gekozen om ervoor te zorgen dat de AI Act niet snel achterhaald zal zijn. De AI Act zal van toepassing zijn op het in de handel brengen, het in gebruik stellen en het gebruik van AI-systemen in de Unie. De Act is dus niet alleen van toepassing op aanbieders van AI-systemen, maar ook op de eventuele importeur, distributeur of professionele gebruiker.
Enkele belangrijke uitgangspunten van de AI Act:
- De AI Act classificeert AI-systemen op basis van hun risico. Grofweg zijn er drie risico indelingen:
- Onaanvaardbaar risico: dit zijn AI-systemen die onaanvaardbare risico’s met zich meebrengen (denk aan sociale scoringsystemen en manipulatieve systemen). Dergelijke AI-systemen zijn op grond van de AI Act verboden;
- Hoog risico: het grootste gedeelte van de AI Act heeft betrekking op AI-systemen die een hoog risico vormen. De AI Act bepaalt dat twee type AI-systemen hoog risicovol zijn, namelijk:
- AI-systemen die worden gebruikt als (veiligheidscomponent van) een product die valt onder harmonisatiewetgeving in de EU. Te denken valt aan regelgeving bijvoorbeeld op het gebied van burgerluchtvaart, voertuigbeveiliging, scheepsuitrusting, speelgoed en persoonlijke beschermingsmiddelen (Bijlage I, AI Act);
- AI-systemen die zijn opgenomen in Bijlage III van de AI Act, waaronder op het gebied van biometrie, kritieke infrastructuur, onderwijs en beroepsopleiding, werkgelegenheid, personeelsbeheer, uitkeringen, migratie, democratische processen en rechtshandhaving. Let op: er geldt een uitzondering voor systemen die slechts een procedurele taak uitvoeren of het resultaat van een eerder voltooide menselijke activiteit verbeteren.
Aanbieders van AI-systemen met een hoog risico dienen aan strenge voorwaarden te voldoen op het gebied van veiligheid, transparantie en traceerbaarheid. Dergelijke systemen moeten onder andere een risicobeheersysteem bevatten. Ook gelden er strenge eisen voor de kwaliteit van datasets waarmee getraind wordt. Een hoog risico AI-systeem moet daarnaast automatisch loggen, technische documentatie voorhanden hebben, instructies geven voor gebruik, voldoen aan verschillende eisen voor cybersecurity en beschikken over een systeem van menselijk toezicht.
- Laag risico: dergelijke AI-systemen kennen slechts beperkte eisen. Voor deze systemen gelden lichtere transparantie vereisten. Eindgebruikers moeten zich bewust zijn van het feit dat zij met AI te maken hebben.
- De AI Act introduceert een systeem waarbij de een entiteit, die niet de aanbieder is, tóch als aanbieder wordt aangemerkt. Voor deze entiteit gelden dan eveneens strenge verplichtingen wanneer het een hoog risico AI-systeem betreft;
- Importeurs en distributeurs van AI-systemen moeten verifiëren of het systeem voldoet. Distributeurs moeten onder andere controleren of het AI-systeem voldoet aan CE-vereisten;
- Niet voldoen aan de AI Act kan leiden tot boetes. Net als bij de AVG zal er een toezichthoudende autoriteit in het leven worden geroepen die boetes op kan leggen wanneer niet wordt voldaan aan verplichtingen uit de AI Act;
- Burgers hebben op grond van de AI Act de mogelijkheid om schadeclaims in te dienen bij de producent of aanbieder van een AI-systeem. Schade kan niet uitgesloten worden en er geldt een omkering van de bewijslast.
Gevolgen van de AI Act?
De AI Act zal verstrekkende gevolgen hebben voor aanbieders, importeurs, distributeurs en professionele gebruikers van AI-systemen, maar staat niet op zichzelf. AI-systemen dienen ook te voldoen aan al bestaande wetgeving. Op het gebied van intellectuele eigendom bestaat er op dit moment nog onduidelijkheid of AI-gegenereerd werk auteursrechtelijk beschermd kan worden. Duidelijk is wel dat met AI-gegenereerd werk inbreuk kan worden gemaakt op auteursrechten van derden. Daarnaast kunnen gebruikersvoorwaarden van AI-systemen invloed hebben op het gebruik van de output. Partijen die samenwerken met aanbieders van AI-systemen zullen contractuele afspraken moeten maken. Daarbij spelen onderwerpen als aansprakelijkheid en toegankelijkheid een belangrijke rol. Ook regelgeving op het gebied van cybersecurity (denk aan NIS-2) heeft groot effect op AI.
Wanneer treedt de AI Act in werking?
De Europese Raad heeft de AI-act op 21 mei goedgekeurd. 24 maanden na deze datum volgt de volledige inwerkingtreding van de AI Act. Voor sommige onderdelen uit de AI Act geldt dat deze al eerder van toepassing zullen zijn. Bijvoorbeeld wanneer het gaat om AI-systemen die een onaanvaardbaar risico vormen (6 maanden na de inwerkingtreding) en gedragscodes (9 maanden na de inwerkingtreding).
