De AI Act

Op 1 augustus 2024 is de Europese AI Act in werking getreden, waarmee de Europese Unie als eerste ter wereld een uitgebreid juridisch kader voor artificiële intelligentie (AI) heeft geïntroduceerd. Deze Europese verordening heeft aanzienlijke implicaties voor Belgische bedrijven die AI-systemen ontwikkelen, implementeren of gebruiken. Hieronder bespreken we de kernpunten van de AI Act en de stappen die bedrijven moeten ondernemen om aan de nieuwe regelgeving te voldoen. Onze advocaten staan u hierbij graag bij.

I. De AI Act: een risicogebaseerde aanpak

De AI Act heeft als doel om het vrije verkeer van AI-systemen binnen de Europese Unie te ondersteunen en tegelijk te waarborgen dat AI-systemen veilig, betrouwbaar en mensgericht worden ontwikkeld en ingezet. De verordening legt de nadruk op het beschermen van gezondheid, veiligheid en fundamentele rechten, zoals vastgelegd in het Handvest van de Grondrechten van de Europese Unie. Het streven is om de werking van de interne markt te verbeteren door een uniform juridisch kader voor AI-systemen te creëren.

De AI Act maakt gebruik van een risico-gebaseerde benadering, waarbij de verplichtingen voor AI-aanbieders en gebruikers afhangen van het risico dat het AI-systeem voor de samenleving kan vormen. De verordening voorziet ook in enkele uitzonderingen, zoals AI-systemen die specifiek worden ontwikkeld voor wetenschappelijk onderzoek of militaire toepassingen, die buiten het toepassingsgebied van de AI Act vallen.

II. De werking van de AI Act

A. Toepassingsgebied

De AI Act is een verordening en heeft onmiddellijke werking in de gehele Europese Unie. De EU lidstaten (zoals België) dienen de nieuwe regels dus niet in eigen nationale wetgeving om te zetten.

De AI Act heeft een breed toepassingsgebied en stelt regels vast voor de ontwikkeling, het commercialiseren en het gebruik van AI-systemen in alle sectoren.

De definitie van wat als een AI-systeem wordt beschouwd, is bewust breed en technologie-neutraal opgesteld om in te kunnen spelen op de snelle ontwikkelingen binnen AI. Een AI systeem wordt omschreven als: een op een machine gebaseerd systeem dat is ontworpen om met verschillende niveaus van autonomie te werken en dat na het inzetten ervan aanpassingsvermogen kan vertonen, en dat, voor expliciete of impliciete doelstellingen, uit de ontvangen input afleidt hoe output te genereren zoals voorspellingen, inhoud, aanbevelingen of beslissingen die van invloed kunnen zijn op fysieke of virtuele omgevingen. Kernbegrippen van een AI-systeem zijn dus autonomie, inferentievermogen en aanpassingsvermogen.

De Act is van toepassing op alle aanbieders van AI-systemen die in de Europese Unie actief zijn, evenals op aanbieders en gebruikers buiten de EU, als hun systemen binnen de Unie gebruikt worden. Hiermee wordt beoogd om een ​​uniform beschermingsniveau te waarborgen voor gebruikers in de EU, ongeacht waar de AI-systemen oorspronkelijk zijn ontwikkeld.

B. Risicokwalificatie

Net zoals de GDPR, hanteert de AI Act een risicogebaseerde aanpak. Deze indeling is gebaseerd op het potentiële risico dat een AI-systeem kan vormen voor de gezondheid, veiligheid of fundamentele rechten van personen. De AI Act maakt onderscheid tussen vier risiconiveaus:

  1. Onaanvaardbaar risico: AI-systemen die een ernstig risico vormen en waarvan het gebruik verboden is.
  2. Hoog risico: AI-systemen die aanzienlijke risico’s met zich meebrengen en daarom strenge regelgeving vereisen.
  3. Beperkt risico: AI-systemen met specifieke transparantievereisten, maar zonder strenge nalevingsverplichtingen.
  4. Minimaal risico: AI-systemen met een minimaal risico, waarvoor geen extra wettelijke verplichtingen gelden.

C. Verboden AI-systemen

Onder de AI Act zijn bepaalde AI-toepassingen die als een onaanvaardbaar risico worden beschouwd verboden. Dit omvat systemen die gebruik maken van subliminale technieken om gedrag te manipuleren, AI-systemen die misbruik maken van kwetsbaarheden van specifieke groepen, zoals kinderen of ouderen, en toepassingen voor sociale scoring door overheden. Real-time biometrische identificatie in openbare ruimtes wordt eveneens verboden, met uitzonderingen voor specifieke gevallen, zoals ernstige misdaadbestrijding.

D. AI-systemen met een beperkt risico

Voor AI-systemen die onder de categorie “beperkt risico” vallen, gelden er voornamelijk transparantievereisten. Dit betekent dat gebruikers op de hoogte moeten zijn wanneer zij met een AI-systeem interageren. Denk bijvoorbeeld aan chatbots en synthetische media die door AI gegenereerd worden, zoals deepfakes. Gebruikers moeten geïnformeerd worden over het kunstmatige karakter van dergelijke toepassingen, zodat zij weloverwogen beslissingen kunnen nemen in hun interactie met het systeem.

E. AI-modellen voor algemene doeleinden

De AI Act voorziet ook in specifieke regels voor generieke AI-modellen, bekend als “Generative Pre-trained AI” (GPAI), zoals grote taalmodellen. Deze GPAI’s worden in verschillende contexten en voor uiteenlopende doeleinden gebruikt en moeten daarom voldoen aan de transparantie- en informatieregels die ook gelden voor hoogrisico-AI-systemen. GPAI-aanbieders worden verplicht om gedetailleerde informatie te verschaffen over de data en methodologie die zij hebben gebruikt voor training en evaluatie van deze modellen.

F. Interactie met andere wetgeving

De AI Act staat niet op zichzelf, maar opereert binnen een bredere juridische context en werkt samen met andere Europese regelgeving, zoals de GDPR en de productveiligheidsrichtlijnen. AI-systemen die persoonsgegevens verwerken, moeten bijvoorbeeld zowel voldoen aan de vereisten van de AI Act als aan de GDPR om de bescherming van de persoonlijke levenssfeer te waarborgen. Daarnaast kan de AI Act overlappen met sectorale regelgeving, zoals de medische hulpmiddelenverordening, wanneer AI wordt ingezet voor gezondheidsdoeleinden. Deze kruisverbanden betekenen dat bedrijven meerdere wettelijke kaders in overweging moeten nemen bij het ontwikkelen en implementeren van AI-toepassingen, en dat een geïntegreerde benadering van naleving noodzakelijk is.

Voor producten waarin AI-systemen geïntegreerd zijn, geldt dat de AI Act kan samenwerken met de richtlijnen onder de zogenaamde New Legislative Framework (NLF), die een geharmoniseerd kader voor productveiligheid bieden. Dit betekent dat bedrijven die AI-systemen ontwikkelen voor bijvoorbeeld voertuigen of medische apparatuur zowel rekening moeten houden met productveiligheidsvoorschriften als met de specifieke AI-vereisten.

G. Temporeel toepassingsgebied

De AI Act voorziet in een gefaseerde invoering, waarbij bedrijven en overheidsinstanties de tijd krijgen om zich aan te passen aan de nieuwe regelgeving. De belangrijkste tijdslijnen zijn als volgt:

  • 1 februari 2025: Het verbod op bepaalde AI-praktijken, zoals social scoring door overheden en het gebruik van manipulatieve technieken, treedt in werking.
  • 1 augustus 2026: Vanaf deze datum moeten AI-systemen met een hoog risico voldoen aan alle specifieke eisen, inclusief conformiteitsbeoordelingen en risicobeheerprocessen.
  • 1 augustus 2027: AI-componenten die zijn geïntegreerd in fysieke producten, zoals medische apparatuur of voertuigen, moeten vanaf deze datum voldoen aan de AI Act naast de bestaande productregelgeving binnen het NLF.

Deze gefaseerde aanpak biedt bedrijven de gelegenheid om de nodige aanpassingen te maken en hun AI-processen in lijn te brengen met de nieuwe eisen. Tegelijkertijd kunnen bedrijven in de aanloop naar deze deadlines profiteren van ondersteuning en advies binnen de door de AI Act vastgestelde testomgevingen (regulatory sandboxes).

III. High Risk AI (HRAI) onder de AI Act

A. Wat is een AI-systeem met hoog risico?

Een AI-systeem wordt als “hoog risico” (High Risk AI of HRAI) beschouwd wanneer het wordt ingezet in sectoren waar het mogelijk aanzienlijke gevolgen heeft voor de gezondheid, veiligheid en fundamentele rechten van personen. De AI Act definieert specifieke sectoren en toepassingen die binnen deze categorie vallen, zoals:

  • Gezondheidszorg: AI-toepassingen die diagnose of behandelbeslissingen ondersteunen.
  • Onderwijs en beroepsopleiding: AI-systemen die invloed hebben op de toegang tot onderwijs en daaropvolgende professionele mogelijkheden.
  • Openbare en private dienstverlening: AI-modellen die beslissingen nemen over toegang tot essentiële diensten, zoals sociale bijstand en verzekeringen.
  • Rechtshandhaving en justitie: AI-toepassingen in rechtshandhavingsoperaties of juridische procedures.

Naast de vastgestelde sectoren kan de lijst met hoogrisico-AI-systemen worden uitgebreid door de Europese Commissie, als er nieuwe technologieën ontstaan die gelijkaardige risico’s opleveren. De categorisatie als hoog risico is specifiek gericht op AI-systemen die mensen direct beïnvloeden in kritieke situaties.

B. Waaraan moet een HRAI zelf voldoen onder de AI Act?

Voor AI-systemen met een hoog risico gelden specifieke technische en organisatorische eisen om de veiligheid en transparantie van deze systemen te waarborgen. De belangrijkste verplichtingen zijn als volgt:

  1. Risicobeheer: Aanbieders moeten een gedetailleerd risicobeheerproces ontwikkelen en uitvoeren, met voortdurende evaluaties tijdens de gehele levenscyclus van het AI-systeem. Dit proces omvat het identificeren, analyseren en mitigeren van alle potentiële risico’s voor gezondheid, veiligheid en fundamentele rechten.
  2. Data governance: HRAI-systemen moeten trainen en opereren met data van hoge kwaliteit. De datasets moeten representatief en vrij van vooroordelen (bias) zijn, om oneerlijke of schadelijke uitkomsten te voorkomen. Data governance omvat ook specifieke controles op de nauwkeurigheid en volledigheid van de gebruikte data.
  3. Technische documentatie: Gedetailleerde technische documentatie moet beschikbaar zijn om aan te tonen dat het systeem voldoet aan de AI Act. Deze documentatie beschrijft de werking van het AI-systeem, de gebruikte datasets, risicobeheersmaatregelen en de resultaten van alle testen en evaluaties.
  4. Logging: HRAI-systemen moeten logfuncties bevatten die gegevens over het gebruik en de prestaties vastleggen. Dit maakt het mogelijk om fouten of incidenten te identificeren en te analyseren, en zorgt ervoor dat er een volledig overzicht is van de werking van het AI-systeem over tijd.
  5. Transparantie: Gebruikers van HRAI-systemen moeten goed geïnformeerd zijn over de werking, de beperkingen, en de beoogde doeleinden van het AI-systeem. Deze transparantievereiste zorgt ervoor dat gebruikers begrijpen hoe het systeem tot beslissingen komt en welke factoren de output beïnvloeden.
  6. Menselijk toezicht: Het AI-systeem moet ontworpen zijn om effectief menselijk toezicht mogelijk te maken. Dit betekent dat operators kunnen ingrijpen wanneer een systeem buiten zijn beoogde werkingssfeer werkt of wanneer de output nadelige gevolgen zou kunnen hebben voor personen.
  7. Nauwkeurigheid, robuustheid en cyberbeveiliging: HRAI’s moeten consistent presteren binnen de vastgestelde nauwkeurigheids- en betrouwbaarheidscriteria. Daarnaast moeten er passende cyberbeveiligingsmaatregelen aanwezig zijn om het AI-systeem te beschermen tegen aanvallen en manipulatie.

IV. Verplichtingen van de partijen in de waardeketen van een HRAI

1. Verplichtingen van aanbieders van een HRAI

Aanbieders van HRAI’s hebben aanzienlijke verplichtingen onder de AI Act. Hun verantwoordelijkheden omvatten onder meer:

  • Conformiteitsbeoordeling: Aanbieders moeten een conformiteitsbeoordeling uitvoeren om te bewijzen dat hun systeem voldoet aan de vereisten van de AI Act. Dit proces lijkt op de CE-markering en vereist technische documentatie en uitgebreide testen om de naleving aan te tonen.
  • Kwaliteitsbeheer: Aanbieders moeten een kwaliteitsbeheersysteem implementeren dat in overeenstemming is met de AI Act en gericht is op de veiligheid en betrouwbaarheid van het AI-systeem.
  • Technische documentatie: Aanbieders moeten gedetailleerde technische documentatie beschikbaar stellen waarin het ontwerp, de ontwikkeling en de werking van het systeem zijn gedocumenteerd. Deze documentatie moet toegankelijk blijven voor toezichthoudende instanties gedurende de gehele levensduur van het AI-systeem.
  • Corrigerende maatregelen: Als een systeem niet meer voldoet aan de vereisten, moeten aanbieders corrigerende maatregelen treffen. Dit kan aanpassingen aan het systeem, herbeoordelingen van de conformiteit, of een tijdelijke opschorting van het systeem inhouden.
  • CE-markering: Aanbieders van HRAI’s moeten de CE-markering op het systeem aanbrengen om aan te geven dat het systeem voldoet aan de AI Act en conform is aan de wettelijke eisen.

2. Verplichtingen van importeurs van een HRAI

Importeurs van HRAI’s die een AI-systeem van buiten de EU op de Europese markt brengen, hebben ook een aantal specifieke verplichtingen. Zij zijn verantwoordelijk voor het waarborgen van de naleving van de AI Act voordat het systeem in de handel wordt gebracht:

  • Conformiteit verifiëren: Importeurs moeten nagaan of het systeem voldoet aan de eisen van de AI Act en over de nodige CE-markeringen en documentatie beschikt.
  • Naam en contactgegevens: Importeurs moeten ervoor zorgen dat hun naam, geregistreerd handelsmerk en contactinformatie zichtbaar zijn op het AI-systeem.
  • Corrigerende maatregelen: Als een systeem niet conform is, moeten importeurs de nodige corrigerende maatregelen treffen, het systeem uit de handel nemen of terugroepen indien nodig.

3. Verplichtingen van distributeurs van een HRAI

Distributeurs van HRAI’s die het systeem aan eindgebruikers leveren of op de markt aanbieden, moeten controleren of het systeem de juiste markeringen en conformiteitsdocumenten bevat:

  • Controle op CE-markering en conformiteitsdocumenten: Distributeurs moeten verifiëren dat het systeem de vereiste markeringen en documentatie heeft voordat het in de handel wordt gebracht.
  • Samenwerking met toezichthouders: Distributeurs moeten toezichthouders toegang verlenen tot de documentatie en medewerking verlenen aan controles en onderzoeken.
  • Corrigerende maatregelen: Indien een systeem niet voldoet aan de wettelijke vereisten, zijn distributeurs verplicht om corrigerende maatregelen te nemen of het systeem uit de handel te nemen.

4. Verplichtingen van gebruiksverantwoordelijken van een HRAI

Gebruiksverantwoordelijken hebben verplichtingen om ervoor te zorgen dat HRAI’s in overeenstemming met de wettelijke eisen worden gebruikt. Zij dienen:

  • Gebruik conform de instructies: Gebruiksverantwoordelijken moeten AI-systemen gebruiken volgens de instructies van de aanbieder en er zorg voor dragen dat de inputdata relevant en representatief is voor het beoogde gebruik.
  • Incidentrapportage: Indien zich incidenten voordoen die de veiligheid of prestaties van het systeem beïnvloeden, zijn gebruiksverantwoordelijken verplicht om deze te melden aan de aanbieder en de bevoegde autoriteiten.
  • Opleiding en toezicht: Gebruiksverantwoordelijken moeten zorgen voor adequaat toezicht en ervoor zorgen dat medewerkers die met het AI-systeem werken voldoende opgeleid zijn om het veilig en efficiënt te gebruiken.

5. Verplichtingen van andere partijen in de AI-waardeketen

De AI Act erkent ook de rol van andere partijen die betrokken kunnen zijn bij HRAI’s. Dit kan bijvoorbeeld gaan om:

  • Integrators: Partijen die een HRAI aanpassen of integreren in een ander product moeten mogelijk een nieuwe conformiteitsbeoordeling uitvoeren om ervoor te zorgen dat het systeem nog steeds aan de AI Act voldoet.
  • Onderhoudspartijen: Bedrijven of personen die technische ondersteuning bieden of het systeem onderhouden, moeten eveneens voldoen aan de veiligheids- en nalevingsvereisten zoals uiteengezet door de AI Act.

Door deze verdeling van verplichtingen binnen de waardeketen beoogt de AI Act om een gedeelde verantwoordelijkheid te creëren voor het waarborgen van de veiligheid, betrouwbaarheid en transparantie van AI-systemen met een hoog risico.

V. Governance, toezicht & sancties onder de AI Act

A. AI-bureau en Praktijkcodes

De AI Act voorziet in de oprichting van een centraal AI-bureau op EU-niveau, dat verantwoordelijk is voor het toezicht op de naleving van de AI Act en het ontwikkelen van praktijkcodes. Dit bureau werkt samen met nationale toezichthoudende autoriteiten en speelt een coördinerende rol bij de uitvoering van de AI Act in alle lidstaten. Het AI-bureau biedt richtlijnen en stelt sjablonen beschikbaar om bedrijven te ondersteunen bij de naleving en implementatie van de AI Act.

Praktijkcodes, opgesteld door het AI-bureau in samenwerking met sectorale stakeholders, dienen als richtlijnen voor specifieke AI-toepassingen en helpen bedrijven bij de interpretatie en toepassing van de wetgeving. Deze praktijkcodes zijn niet bindend maar worden aanbevolen als een aanvulling op de nalevingseisen van de AI Act.

B. AI-Comité (AI-Board)

Het AI-Comité, bestaande uit vertegenwoordigers van elke EU-lidstaat, fungeert als coördinerend orgaan om de consistente toepassing van de AI Act te waarborgen. Het AI-Comité heeft als taak om de samenwerking tussen nationale autoriteiten te faciliteren en gezamenlijk interpretatieve vragen en nalevingsproblemen te adresseren. Dit comité werkt nauw samen met het AI-bureau en ondersteunt de lidstaten bij de uitvoering van de wetgeving door harmonisatie van de handhavingspraktijken binnen de EU.

C. Adviesforum en Wetenschappelijk panel

Het Adviesforum bestaat uit vertegenwoordigers van diverse belanghebbenden, waaronder het bedrijfsleven, consumentenorganisaties, vakbonden en het maatschappelijk middenveld. Dit forum heeft als doel om input te geven over praktische aspecten van de AI Act en om betrokkenen op de hoogte te houden van de ontwikkelingen binnen de wetgeving.

Daarnaast is er een Wetenschappelijk panel opgericht, bestaande uit technische en juridische experts op het gebied van AI. Dit panel biedt wetenschappelijke en technische ondersteuning aan het AI-bureau en het AI-Comité. Het panel fungeert als een kennisplatform en geeft advies over complexe vraagstukken, zoals de evaluatie van risicovolle toepassingen en ethische vraagstukken binnen AI.

D. Nationale bevoegde autoriteiten en AI-testomgevingen voor regelgeving

Elke EU-lidstaat wijst nationale toezichthoudende autoriteiten aan die verantwoordelijk zijn voor de handhaving van de AI Act binnen hun eigen jurisdictie. Deze nationale bevoegde autoriteiten hebben als taak om de conformiteit van AI-systemen te controleren, klachten te behandelen en nalevingsonderzoeken uit te voeren. Zij zijn bevoegd om inspecties en audits te verrichten bij bedrijven en om sancties op te leggen bij overtredingen van de AI Act.

Daarnaast introduceert de AI Act het concept van regulatory sandboxes of AI-testomgevingen, waarin bedrijven hun AI-systemen onder gecontroleerde omstandigheden kunnen testen. Deze testomgevingen worden opgezet en beheerd door de nationale toezichthouders en bieden bedrijven de mogelijkheid om AI-toepassingen te ontwikkelen en te evalueren in overeenstemming met de AI Act, zonder meteen aan alle vereisten te hoeven voldoen. Deze sandboxes zijn vooral nuttig voor kleine en middelgrote ondernemingen en start-ups die hun AI-technologieën willen innoveren en valideren.

E. Sancties

De AI Act hanteert een stevig sanctiekader, dat vergelijkbaar is met de GDPR. Overtredingen van de AI Act kunnen leiden tot aanzienlijke boetes, afhankelijk van de aard en ernst van de overtreding. De AI Act voorziet drie niveaus van sancties:

  1. Onaanvaardbare AI-systemen en ernstige inbreuken: Bij de inzet van verboden AI-systemen of bij ernstige inbreuken op hoogrisico-vereisten, zoals het ontbreken van risicobeheer of transparantie, kan een boete oplopen tot 7% van de wereldwijde omzet of een maximum van 35 miljoen euro, afhankelijk van welk bedrag hoger is.
  2. Inbreuken op minder kritische vereisten: Voor inbreuken op minder strikte voorschriften, zoals administratieve tekortkomingen of onvoldoende documentatie, kunnen lagere boetes worden opgelegd, variërend van 2% tot 4% van de wereldwijde omzet.
  3. Niet-naleving van transparantievereisten: AI-systemen die transparantievereisten overtreden, zoals het niet melden van het gebruik van synthetische media, kunnen ook boetes opleveren, al zijn deze doorgaans minder zwaar dan de boetes voor verboden AI of hoogrisico-vereisten.

Het is belangrijk op te merken dat de AI Act boetes proportioneel vaststelt op basis van de omvang en draagkracht van de onderneming. Voor kleine en middelgrote ondernemingen (kmo’s) wordt een aangepaste boete-structuur gehanteerd om de economische gevolgen evenredig te houden met hun schaalgrootte.

VI. Hoe kunnen wij u helpen?

Ons advocatenkantoor biedt gespecialiseerde juridische ondersteuning voor bedrijven die zich willen voorbereiden op de AI Act. Onze advocaten helpen u bij:

  • Risicobeoordeling: Identificatie van risicocategorieën van uw AI-systemen.
  • Conformiteitsbeoordeling: Begeleiding door het proces van conformiteitsbeoordelingen, inclusief ondersteuning bij de vereiste technische documentatie.
  • Opstellen van Transparantie- en Toezichtsprocedures: Ontwerp en implementatie van processen die voldoen aan de vereisten voor transparantie en menselijk toezicht.
  • Data Governance en Compliance: Advies over de naleving van datakwaliteitseisen en het opzetten van een robuust gegevensbeheerproces.
  • Juridische Vertegenwoordiging en Opleiding: Trainingen voor uw team over de wettelijke verplichtingen onder de AI Act en juridische bijstand in het geval van audits of handhaving.

Neem vandaag nog contact op met ons team om te bespreken hoe we uw bedrijf kunnen helpen met de naleving van de AI Act. Onze advocaten staan klaar om u door deze nieuwe regelgeving te leiden en te zorgen dat uw AI-systemen in overeenstemming zijn met de AI Act.

Contact

Vragen? Advies nodig?
Neem contact op met Advocaat Joris Deene.

Telefoon: 09/280.20.68
E-mail: joris.deene@everest-law.be