Skip to main content

Politiek akkoord over de EU AI-verordening

Ontdek de belangrijkste inzichten en hoe u kunt omgaan met de implicaties van de EU AI-verordening voor uw organisatie

Het Europees Parlement en de Raad van Ministers van de EU hebben onlangs een politiek akkoord bereikt over de EU AI-verordening, een belangrijk moment in de regelgeving over kunstmatige intelligentie. Eindelijk is het tijd dat de AI Act vooruitgang boekt. Je kunt gaan nadenken over wat dit voor jouw organisatie betekent.

Op 9 december 2023 bereikten het Europees Parlement en de Raad van Ministers van de EU een politiek akkoord over de EU AI-verordening. Dit is een belangrijke stap richting zowel een baanbrekende als ambitieuze regelgeving die tot doel heeft kunstmatige intelligentie te reguleren, door de EU-wetgever beschreven als een snel evoluerende 'familie van technologieën'. Nu het einde (eindelijk) in zicht is, kunnen organisaties die werken met of van plan zijn te werken met AI-systemen, beginnen met de voorbereidingen op de AI-verordening. In deze blog zullen we uitleggen hoe ze dit kunnen doen.

Webinar: De AI-verordening toegelicht

 

Op 19 maart 2024 vond het webinar "De AI-verordening toegelicht" plaats. Keynote spreker Angeliki Dedopoulou, Public Policy Manager bij Meta, besprak samen met twee sprekers van Deloitte, Jan-Jan Lowijs en Sebastiaan ter Wee, de rol van de AI-wet voor bedrijven.

Wat houdt de AI-verordening in?

 

Voordat we ingaan op het 'wie', doen we kort een stap terug: wat houdt de AI-verordening in? Hoewel de definitieve tekst nog niet is vrijgegeven, hebben we enkele belangrijke kenmerken van de AI-verordening geïdentificeerd, mede op basis van de onlangs gepubliceerde (zeer inzichtelijke) Q&A van de Europese Commissie.

  • De AI-verordening is sterk geïnspireerd op de AVG met vergelijkbare kenmerken zoals beginselen, gebruikersrechten, transparantieverplichtingen en zelfbeoordelingen.
  • De AI-verordening heeft een breed toepassingsgebied:

(1) een potentieel wereldwijd bereik hebben, aangezien dit ook van toepassing is op aanbieders van AI-systemen die buiten de EU zijn gevestigd, maar hun systeem in de EU op de markt brengen;

(2) het gebruik van een (zeer) brede definitie van AI-systeem. De nieuwste en verwachte definitie is: "Een AI-systeem is een op machines gebaseerd systeem dat, voor expliciete of impliciete doelstellingen, uit de input die het ontvangt, afleidt hoe output kan worden gegenereerd zoals voorspellingen, inhoud, aanbevelingen of beslissingen die fysieke of virtuele omgevingen kunnen beïnvloeden. Verschillende AI-systemen variëren in hun mate van autonomie en aanpassingsvermogen na implementatie."

(3) invoering van eisen en verplichtingen voor belanghebbenden in de hele supply chain: aanbieders, importeurs, distributeurs en exploitanten (gebruikers).

  • De AI-verordening hanteert een risicogebaseerde benadering, wat betekent dat vereisten en verplichtingen afhankelijk zijn van het risiconiveau van het (gebruik van het) AI-systeem:
        (1) Onaanvaardbaar risico: bijv. sociale score en biometrische categorisatie
        (2) Hoog risico: bijv. AI-systemen die veiligheidscomponenten bevatten van producten die onder sectorale wetgeving van de Unie vallen, AI-systemen die worden beschreven in specifieke gebruiksscenario's zoals op het gebied van werkgelegenheid of onderwijs;
        (3) Specifiek transparantierisico: voor chatbots en deepfakes; en
        (4) Minimaal risico: voor welke aanbieders van dergelijke systemen ervoor kunnen kiezen zich aan vrijwillige gedragscodes te houden.
    De classificatie van hoog-risico is gebaseerd op het beoogde doel en de functie van het AI-systeem, in overeenstemming met de bestaande wetgeving inzake productveiligheid. Enkele van de belangrijkste verplichtingen voor AI-systemen met een hoog risico zijn conformiteitsbeoordelingen, kwaliteits- en risicobeheersystemen, registratie in een openbare EU-databank en toegang tot informatie door autoriteiten. Bovendien moeten risicovolle systemen technisch robuust zijn en het risico op oneerlijke vooroordelen minimaliseren.
  • Wat betreft algemene AI-modellen (inclusief generatieve AI), vereist de AI-verordening dat aanbieders van dergelijke modellen informatie verstrekken aan downstream-systeemaanbieders en beleid hebben om ervoor te zorgen dat zij auteursrechten respecteren bij het trainen van hun modellen. Bovendien worden algemene AI-modellen die zijn getraind met een totale rekenkracht van meer dan 10^25 FLOPs beschouwd als 'systemische risico's', wat betekent dat er een verplichting is om risico's te beoordelen en te beperken, ernstige incidenten te melden, cyberbeveiliging te waarborgen en informatie te verstrekken over het energieverbruik van deze modellen. Veel van deze verplichtingen lijken op de verplichtingen onder de AVG.
  • Exploitanten die onder het publiek recht vallen of particuliere exploitanten die openbare diensten verlenen, en exploitanten die hoogrisicosystemen leveren, moeten een impactbeoordeling op de fundamentele rechten (‘FRIA’) uitvoeren. Een FRIA kan worden gedaan in combinatie met een gegevensbeschermingseffectbeoordeling (‘DPIA’) onder de AVG.
  • De AI-wet voorziet in enorme boetes, bijna twee keer hoger dan onder de AVG. Voor de ernstigste inbreuken op de verboden applicaties kunnen boetes oplopen tot 7% van de wereldwijde omzet of € 35 miljoen (GDPR: 4%/€ 20 miljoen), en tot 1,5% voor het niet samenwerken met de autoriteiten en/of het niet verstrekken van nauwkeurige informatie. De AI-verordening zal onder toezicht staan van nationale autoriteiten, maar er zal ook een Europese AI-raad en een Europees AI-bureau (binnen de Europese Commissie) komen die toezicht zullen houden op AI-modellen voor algemeen gebruik, zullen samenwerken met de Europese Raad voor kunstmatige intelligentie en zullen worden ondersteund door een wetenschappelijk panel van onafhankelijke deskundigen.

Wie in uw organisatie gaat zich bezighouden met deze nieuwe regels?

 

De AI-wet is gecompliceerde wetgeving omdat deze tot doel heeft een 'familie' van complexe technologieën te reguleren met een uitgebreide reeks vereisten en verplichtingen die van toepassing zijn op specifieke AI-systemen of AI-systemen die worden gebruikt in specifieke use cases. Daarnaast is er interactie tussen de AI-wet en andere invloedrijke regelgeving, zoals de AVG en het auteursrecht, en heeft de wet enkele kenmerken van het consumentenrecht (aan de transparantiekant). Dit betekent dat belanghebbenden uit verschillende functies binnen je organisatie hun krachten moeten bundelen en gezamenlijk naar de AI-verordening moeten kijken.

Aangezien de exacte inhoud en timing van de AI-verordening de komende maanden duidelijker zullen worden, is dit het perfecte moment om te beginnen met de voorbereiding en te gaan focussen op de 'wie'. Wie heb ik nodig in het team dat zich bezighoudt met de AI-verordening? Wie moet verantwoordelijk zijn voor de naleving van deze wet? Wie heeft er al te maken met andere wetgeving met betrekking tot de digitale technologieën die we gebruiken, en zijn er overlappende eisen en verplichtingen?

Met andere woorden: begin nu met werken aan uw nieuwe Target Operating Model dat de AI-verordening integreert in uw bestaande organisatie. Bepaal welke capaciteiten je al hebt, welke nieuwe je nodig hebt en welke training mensen nodig hebben. Het aanpakken van technologie-, data- en cyberwetgeving in het algemeen en de AI-verordering in het bijzonder, vereist een multidisciplinaire benadering en geen eenmalige aanpak, maar een duurzame en duidelijke governance. Materiedeskundigen met verschillende achtergronden en uit verschillende functies profiteren van een dergelijke governance. Door dit te doen, zorgt u ervoor dat de AI-verordening aansluit bij andere (aankomende) wet- en regelgeving (in de wetgevende pijplijn) over bijv. data en cyber, om dubbel werk en andere inefficiënties te voorkomen en tegelijkertijd de kennisdeling te vergroten.

Andere no regret activiteiten die u kunt beginnen te ondernemen, zijn: het in kaart brengen van de AI-systemen die u gebruikt en met welk doel, het bepalen van het risiconiveau van de AI-systemen en het vaststellen van uw rol in de supply chain. Wat compliance betreft, kunt u leren van de AVG. Welke processen, tools, richtlijnen en zelfevaluaties kun je 'opknappen' voor naleving van de AI Act?

Volgende stappen voor de AI-verordening

 

De volgende stap voor de AI-verordening is het houden van technische vergaderingen, die naar verwachting tot minstens half februari zullen duren om verschillende details uit te werken in overeenstemming met het politieke akkoord dat is bereikt. Tegen half februari 2024 verwachten we een 95% definitieve tekst. Het Europees Parlement en de Raad zullen naar verwachting de definitieve verordening formeel goedkeuren vóór de EP-verkiezingen van 6-9 juni 2024. De AI-verordening zal twee jaar na inwerkingtreding van toepassing zijn, waarschijnlijk medio 2026, met uitzondering van de verboden die na zes maanden van kracht worden. De vereisten voor AI-modellen, de conformiteitsbeoordelingsinstanties en het hoofdstuk over governance zullen een jaar eerder van toepassing worden.

Te vroeg om hierover te praten? Wij denken van niet. Sterker nog, voor ons voelt dit als het juiste moment om te beginnen. Als u daar meer over wilt weten, aarzel dan niet om contact met ons op te nemen!

Did you find this useful?

Thanks for your feedback

If you would like to help improve Deloitte.com further, please complete a 3-minute survey

Onze denkwijze