Skip to main content

EU AI-verordening: navigeren door de nieuwe AI-regelgeving van de EU

Zorgen voor AI-naleving, risicobeheer en governance in een tijdperk van steeds toenemend gebruik van AI-systemen

De AI-verordening van de Europese Unie (EU AI Act) markeert een belangrijke mijlpaal in AI-regulering en bepaalt hoe kunstmatige intelligentietechnologieën worden bestuurd en ingezet in de lidstaten. Als 's werelds eerste uitgebreide AI-wet benadrukt deze regelgeving het belang van AI-naleving, risicobeheer en governance. Het streeft naar een ethisch gebruik van AI, bescherming van de fundamentele rechten, gezondheid en veiligheid van mensen, evenals het bieden van transparantie bij het gebruik van AI. In deze gedetailleerde analyse verkennen we de belangrijkste onderdelen van de EU AI-verordening, de gevolgen ervan voor organisaties, en hoe het aansluit bij bestaande digitale regelgeving om een veilige en innovatieve AI-omgeving in Europa te bevorderen.

Download: EU AI Act Deep Dive

Achtergond AI-verordening

De AI-verordening introduceert een kader voor het reguleren van de inzet en het gebruik van AI binnen de EU. Het stelt een gestandaardiseerd proces vast voor de markttoetreding en operationele activering van single-purpose AI (SPAI)-systemen, waarmee een geharmoniseerde aanpak binnen de EU-lidstaten wordt gewaarborgd.

De AI-verordening hanteert een risicogebaseerde benadering door AI-systemen te categoriseren op basis van hun gebruiksdoel, en stelt nalevingsvereisten vast volgens het risiconiveau dat ze voor gebruikers vormen. Dit omvat het verbieden van bepaalde AI-toepassingen die als onethisch of schadelijk worden beschouwd, samen met specifieke vereisten voor AI-toepassingen met een hoog risico. Dit om potentiële gevaren van AI-toepassingen effectief te kunnen beheersen. Verder worden transparantierichtlijnen uiteengezet voor AI-gebruiksscenario's die mensen kunnen misleiden. Met de risicogebaseerde aanpak staat ethiek centraal in de AI-verordening.

Door de focus op principes leggen, is de AI-verordening aanpasbaar aan nog onbekende iteraties van AI-technologieën. Het publieke gebruik van AI-technologie voor algemene doeleinden heeft de wetgever echter ertoe gebracht om onderscheid te maken tussen single-purpose AI-systemen en AI-modellen voor algemene doeleinden. Het erkent dat AI-modellen voor algemene doeleinden systemische risico's in de samenleving kunnen introduceren. Daarom reguleert de AI-verordening de markttoetreding AI-modellen voor algemene doeleinden, ongeacht de risicogebaseerde categorisering van gebruiksscenario's, en stelt het uitgebreide regels vast voor markttoezicht, governance en handhaving om zo de integriteit van en het vertrouwen in AI-innovaties te behouden.

De AI-verordening is van toepassing op de volgende actoren:

  • Aanbieders: Aanbieders zijn degenen die AI-systemen of AI-modellen voor algemene doeleinden ontwikkelen om deze op de Europese markt in handel brengen
  • Importeurs & Distributeurs:
    • Importeurs brengen een AI in de handel of nemen deze in gebruik, dat door een aanbieder buiten de EU is ontwikkeld.
    • Distributeurs zijn degenen die AI's beschikbaar maken voor anderen.
  • Gebruikers: Gebruikers zijn entiteiten die een (hoog risico) AI-systeem gebruiken voor professionele activiteiten.
  • Fabrikanten: Fabrikanten zijn degenen die producten met ingebouwde AI-systemen onder hun eigen merknaam op de Europese markt in handel brengen.

De AI-verordening trad in werking op 2 augustus 2024. De implementatie is gefaseerd, waarbij verschillende delen van de AI-verordening op verschillende momenten van toepassing worden, zodat organisaties zich kunnen aanpassen en aan de nieuwe vereisten kunnen voldoen. Enkele belangrijke data zijn:

  • 2 augustus 2024: De AI-verordening treedt in werking.
  • 2 februari 2025: Eisen voor het monitoren na het in de handel brengen en sancties treden in werking.
  • 2 augustus 2025: Verplichtingen voor aanbieders van AI-modellen voor algemene doeleinden beginnen.
  • 2 februari 2026: Monitoring na de markt en sancties treden in werking.
  • 2 augustus 2026: Verplichtingen voor hoog-risico AI-systemen (Bijlage III) beginnen.
  • 2 augustus 2027: Verplichtingen voor veiligheidsonderdelen van hoog-risico AI (Bijlage I) worden van kracht.

Deze gefaseerde aanpak zorgt ervoor dat organisaties, zowel privaat als publiek, voldoende tijd hebben om hun activiteiten af te stemmen op de nieuwe regelgevende normen, waardoor verantwoord gebruik van AI wordt bevorderd, terwijl fundamentele rechten en het publieke vertrouwen worden beschermd.

De AI-verordening is in lijn met verschillende bestaande EU-regelgeving om een uitgebreid en consistent juridisch kader voor AI-technologieën te waarborgen. Belangrijke gebieden van afstemming zijn onder meer:

  • Privacy: De AI-verordening vult de Algemene Verordening Gegevensbescherming (AVG) aan door digitaal vertrouwen en veiligheid te versterken en persoonlijke gegevens in AI-toepassingen te beschermen.
  • Productveiligheid: Het werkt samen met regelgeving zoals de Machinerichtlijn en de Verordening Medische Hulpmiddelen om ervoor te zorgen dat AI-systemen aan strenge veiligheidsnormen voldoen.
  • Mededingingsrecht: De Digital Services Act (DSA) en de Digital Markets Act (DMA) zijn afgestemd op de AI-verordening om eerlijke concurrentie en transparante digitale markten te bevorderen.
  • Cyberbeveiliging: De richtlijn Netwerk- en Informatiesystemen (NIS2) vult de AI-verordening aan door cyberbeveiligingsrisico's met betrekking tot AI-systemen aan te pakken.
  • Regelgevende Gemeenschappelijkheid: De AI-verordening deelt gemeenschappelijke regelgevende kenmerken met andere digitale regelgeving, waaronder vereisten voor registers, rapportage, meldingen, governance, organisatie, beoordelingen en transparantie.

Vereisten

De vereisten die in de AI-verordening zijn vastgelegd, kunnen verschillen afhankelijk van de rol die iemand vervult met betrekking tot het AI-systeem. Een AI-systeem kan een specifiek doel hebben (Specific Purpose AI - SPAI), of voor algemene doeleinden bedoeld zijn. De in de wet vastgelegde vereisten kunnen variëren afhankelijk van de rol die men vervult met betrekking tot het AI-systeem.

Single-Purpose AI (SPAI) Systemen

  • AI-systemen met een onaanvaardbaar risico: Deze AI-systemen zijn volledig verboden vanwege hun potentieel om schade te veroorzaken of fundamentele waarden zoals menselijke waardigheid, vrijheid, gelijkheid, democratie, gegevensprivacy, en de rechtsstaat te schenden.
  • AI-systemen met een hoog risico:
    • Aanbieders: Implementeer een risicobeheersysteem en zorg voor databeheer, onderhoud kwaliteitssystemen en technische documentatie, zorg voor transparantie, nauwkeurigheid en cyberbeveiliging, verstrek informatie aan gebruikers, implementeer menselijk toezicht en onderhoud automatisch gegenereerde logs.
    • Gebruikers: Volg de instructies van de aanbieder op en garandeer menselijk toezicht, valideer invoergegevens en monitor AI-systeemactiviteit, rapporteer storingen, bewaar logs indien mogelijk en voer impactbeoordelingen van fundamentele rechten uit indien nodig.
    • Importeurs en Distributeurs: Verifieer AI-systeemconformiteit met de AI-verordening, onderhoud conformiteitscertificeringen voor tien jaar, trek niet-conforme AI-systemen terug en werk samen met autoriteiten.

AI-modellen voor algemene doeleinden

  • AI-modellen voor algemene doeleinden: Onderhoud up-to-date technische documentatie, bescherm intellectuele eigendomsrechten, zorg voor transparantie over de beperkingen en mogelijkheden van het model, voldoe aan EU-auteurswetten en verstrek gedetailleerde samenvattingen van trainingsinhoud. samenvattingen van trainingsinhoud.
  • AI-modellen voor algemene doeleinden met een grote impact: Voldoe aan alle algemene vereisten, voer uitgebreide model-evaluaties en adversariële testen uit, beoordeel en beperk systemische risico's, zorg voor robuuste cyberbeveiliging, rapporteer ernstige incidenten aan de Europese Commissie en rapporteer over energie-efficiëntie en verbruik tijdens de training.

Over het geheel genomen streeft de AI-verordening ernaar ervoor te zorgen dat AI-systemen op verantwoorde wijze worden ontwikkeld en gebruikt, met vereisten die zijn afgestemd op de potentiële risico's en gevolgen van elke categorie.

De AI-verordening vormt een belangrijke stap vooruit in het beheer van kunstmatige intelligentie en biedt organisaties een helder kader voor het verantwoord inzetten van AI-systemen. Organisaties hebben de volgende verantwoordelijkheden:

  • Governance Frameworks: Robuuste governance-structuren implementeren die risicobeheer, datatransparantie en menselijk toezicht omvatten.
  • Risicobeheer: Grondige beoordelingen van AI-risicoclassificaties uitvoeren en een uitgebreide inventaris van AI-assets bijhouden om potentiële risico's te identificeren en te beperken.
  • Systeemnauwkeurigheid en Cyberbeveiliging: Ervoor zorgen dat AI-systemen nauwkeurig en veilig zijn, met noodzakelijke cyberbeveiligingsmaatregelen ter bescherming van gegevens en operaties.
  • Kwaliteitsmanagementsystemen: Hoge standaarden handhaven door middel van kwaliteitsmanagementsystemen die de gehele AI-levenscyclus overzien.
  • Impactbeoordelingen: Impactbeoordelingen uitvoeren om de effecten van AI-systemen op fundamentele rechten te evalueren, zodat ze in overeenstemming zijn met ethische en wettelijke normen.
  • Roldefiniëring: De rollen en verantwoordelijkheden van elke operator die betrokken is bij het AI-implementatieproces duidelijk definiëren.

Door zich aan deze verantwoordelijkheden te houden, kunnen organisaties het regelgevende landschap navigeren met een robuust governance-framework en een proactieve benadering van risicobeheer, waardoor AI-systemen op een verantwoorde en ethische manier worden ingezet.

Handhaving zal een gezamenlijke inspanning worden van de lidstaten en de Europese Commissie, waarbij de Commissie de exclusieve bevoegdheid krijgt om toezicht te houden op- en regels te handhaven voor AI-modellen voor algemene doeleinden. Niet-naleving kan leiden tot aanzienlijke boetes en handhavingsmaatregelen. Het boeteregime van de AI-verordening is gestructureerd op basis van de ernst en aard van de overtreding, waarbij de boetes toenemen naargelang de risicocategorie van het AI-systeem. Hoe hoger het risico, hoe hoger de boete. Bovendien moeten de lidstaten consistent rekening houden met de belangen van kleine en middelgrote ondernemingen (KMO's) en start-ups. Nationale autoriteiten zijn verplicht om bij het bepalen van de hoogte van elke boete rekening te houden met de aard, ernst en duur van elke overtreding, evenals of de betrokken entiteit een recidivist is.

Sancties:

  • AI-systemen met een onaanvaardbaar risico: Boetes tot 35 miljoen EUR of 7% van de wereldwijde jaarlijkse omzet (WJO) van het bedrijf voor het inzetten van verboden AI-systemen.
  • AI-systemen met een hoog risico: Boetes tot 15 miljoen EUR of 3% van de WJO voor overtredingen met betrekking tot hoog-risico AI-verplichtingen.
  • AI-modellen voor algemene doeleinden: Boetes tot 15 miljoen EUR of 3% van de WJO voor het niet voldoen aan transparantieverplichtingen.
  • Misleidende/Onjuiste Informatie: Boetes tot 7,5 miljoen EUR of 1% van de wjo voor het verstrekken van onjuiste, onvolledige of misleidende informatie.

Handhavingsmaatregelen:

  • Onderzoek en Remediëring: Autoriteiten kunnen AI-systemen onderzoeken, hun werking stopzetten en noodzakelijke wijzigingen eisen. Niet-conforme AI-systemen kunnen gedwongen van de markt worden verwijderd.
  • Klachten en Transparantie: Individuen kunnen klachten indienen over elk aspect van de AI-wet. Getroffen personen hebben recht op duidelijke en betekenisvolle uitleg over de rol van AI-systemen in besluitvormingsprocessen.
  • Collectieve Actie en Klokkenluidersbescherming: Collectieve acties door groepen die getroffen personen vertegenwoordigen zijn mogelijk, en klokkenluiders zijn beschermd.

Voorbereiden op naleving

Het naleven van de EU AI-verordening biedt organisaties diverse voordelen. Ten eerste positioneert vroege adoptie uw organisatie als een marktleider, waarbij u de standaard zet voor ethisch en verantwoord gebruik van AI. Dit leiderschap versterkt uw reputatie en bouwt vertrouwen op bij belanghebbenden, waaronder klanten, partners en toezichthouders.

Het voldoen aan de EU AI-verordening vermindert ook het risico op boetes en handhavingsmaatregelen. Door de vereisten van de EU AI-verordening te volgen, kan uw organisatie boetes en sancties vermijden. Dit zorgt ervoor dat uw AI-technologieën in lijn zijn met de Europese wettelijke normen.

Bovendien minimaliseert naleving de risico's bij het implementeren van AI-systemen. Het opzetten van sterke governance-structuren en risicomanagementprocessen verbetert de operationele efficiëntie en het datamanagement. Het zorgt ervoor dat AI-systemen nauwkeurig, veilig en transparant zijn. Deze proactieve aanpak helpt verstoringen in bedrijfsvoering te voorkomen en ondersteunt continue verbetering, waardoor uw organisatie voorop blijft lopen bij veranderingen in regelgeving en marktvraag.

Voor organisaties die AI-systemen toepassen of van plan zijn toe te passen, is een proactieve aanpak essentieel om naleving tegen de verwachte deadline te garanderen. Entiteiten moeten een implementatieplan hebben en zo vroeg mogelijk beginnen.

Zelfs als nog niet alle technische details zijn opgehelderd, zijn de reikwijdte en doelstellingen van de wet voldoende duidelijk. Bedrijven zullen veel interne processen moeten aanpassen en risicobeheersystemen moeten versterken. Ze kunnen echter voortbouwen op bestaande processen binnen het bedrijf en leren van maatregelen uit eerdere wetten, zoals de AVG.

We raden bedrijven aan nu te beginnen met voorbereiden en hun medewerkers bewust te maken van de nieuwe wet, een inventarisatie van hun AI-systemen te maken, passende governance-maatregelen te waarborgen, een juiste risicoclassificatie en risicobeheer voor AI te installeren en AI-systemen die als hoog risico zijn geclassificeerd nauwkeurig te beoordelen.

  • Identificeer en categoriseer uw AI's
    • Ontwerp en bouw een inventarissysteem. Gebruik dit systeem om de AI's die uw organisatie gebruikt en hun eigenaarschap vast te leggen.
    • Categoriseer uw AI's op basis van risico:
      • Tot welke risicocategorie behoren uw AI's volgens de AI-verordening?
      • Welke AI's vormen een hoog risico voor de organisatie?
      • Wat is de rol van uw organisatie met betrekking tot deze AI-gebruiksscenario's?
  • Onderzoek uw AVG-activiteiten
    • De EU AI-verordening en de AVG zijn qua aard vrij vergelijkbaar; organisaties kunnen de EU AI-verordening efficiënt implementeren door de activiteiten van de EU AI-verordening en de AVG op elkaar af te stemmen.
    • Kijk terug naar alle activiteiten die u sinds 2016 voor de AVG heeft uitgevoerd. Bekijk hoe u momenteel met privacy omgaat. Wat bevalt u en wat niet?
    • Kopieer wat u beviel in de strategie, terwijl u vereenvoudigt en opschaalt.
  • Bepaal uw volgende stappen; maak een roadmap
    • Nu er veel details en tijdlijnen over de AI-verordening bekend zijn, kan het maken van een routekaart voor de implementatie beginnen. Begin met bewustwording: informeer belanghebbenden die op enig moment onderdeel zullen zijn van de implementatie over wat er komt en wat uw plannen zijn.
    • Stel een governance-structuur en risicobeheersprocessen vast.

Kiezen voor Deloitte voor naleving van de EU AI-verordening garandeert een soepele overgang naar de nieuwe regelgeving. We hebben diepgaande kennis van de AI-verordening en uitgebreide expertise in compliance. Onze multidisciplinaire aanpak combineert juridische, technologische en strategische inzichten om de bepalingen van de AI-verordening nauwkeurig toe te passen.

Ons wereldwijde netwerk biedt lokale inzichten voor naadloze implementatie in verschillende regio's. We bieden op maat gemaakte ondersteuning en strategische begeleiding om u te helpen navigeren door compliance terwijl u afstemt op uw zakelijke doelen.

Samenwerken met Deloitte biedt robuuste governance-frameworks, risicobeheersprocessen en strategieën voor betrokkenheid van belanghebbenden. Deze ondersteuning helpt uw organisatie te voldoen aan de regelgevingseisen, innovatie te bevorderen en een concurrentievoordeel te behouden.

De AI-verordening maakt deel uit van de digitale regelgeving van de EU

 

De AI-verordening is onderdeel van meer dan 10 digitale verordeningen die de EU heeft geïntroduceerd, gericht op het creëren van een samenhangende en veilige digitale omgeving. Deze regelgeving omvat onder andere de Algemene Verordening Gegevensbescherming (AVG), de dataverordening, NIS2, de digitaledienstenverordening, de digitalemarktenverordening, en de machineverordening. Samen vormen ze een uitgebreid kader dat zich richt op gebieden zoals de data-economie, cybersecurity en platformregulering. De AI-verordening is een cruciaal onderdeel binnen dit complexe kader van EU digitale regelgeving, dat streeft naar het vestigen van een alomvattend raamwerk dat de complexiteiten en potentiële risico's van AI-systemen aanpakt. Hoewel dit artikel zich richt op de AI-verordening, moet deze regelgeving gezien worden binnen de bredere context van het hele EU digitale regelgevingslandschap.

Neem contact met ons op


We hopen dat deze informatie u de context heeft gegeven over de AI-verordening die u zocht. We begrijpen dat elke organisatie en situatie uniek is. Met onze uitgebreide ervaring, ons wereldwijde netwerk en onze geavanceerde technologie staan we klaar om u te helpen een passende oplossing te vinden. Neem gerust contact met ons op. We staan klaar om te bespreken hoe we u kunnen helpen met uw specifieke behoeften.

Voor een meer diepgaande uitleg van de AI-verordening, verwijzen we u naar onze EU AI Act deep dive: EU AI Act Deep Dive [PDF].

Did you find this useful?

Thanks for your feedback

If you would like to help improve Deloitte.com further, please complete a 3-minute survey