Het Europees Parlement heeft op 13 maart 2024 de verordening rond artificiële intelligentie, de AI-Verordening (AI Act), goedgekeurd. Na jaren onderhandelen is de eerste uitgebreide AI-wet ter wereld hiermee bijna een feit. De verordening moet nog wel formeel worden aangenomen door de Europese Raad. Daarna is het wachten op publicatie in het Publicatieblad van de Europese Unie.
Deze verordening bevat:
- geharmoniseerde regels voor het in de handel brengen, in gebruik stellen en gebruiken van AI-systemen in de Europese Unie;
- een verbod op bepaalde AI-praktijken;
- specifieke eisen voor AI-systemen met een hoog risico en verplichtingen voor de operatoren van dergelijke systemen;
- geharmoniseerde transparantievoorschriften voor bepaalde AI-systemen;
- geharmoniseerde regels voor het in de handel brengen van AI-modellen voor algemene doeleinden;
- regels over marktmonitoring, markttoezicht, governance en handhaving van die regels;
- maatregelen ter ondersteuning van innovatie, met bijzondere nadruk op kmo’s, waaronder startups.
Doel
Europa wil zo een uniform rechtskader creëren om:
- de goede werking van de interne markt te waarborgen en zo marktversnippering voorkomen;
- innovatie te stimuleren en te ondersteunen;
- burgers en ondernemingen te beschermen tegen de schadelijke effecten van AI-systemen op de grondrechten zoals bijvoorbeeld de democratie, de rechtstaat en het milieu.
Een op risico gebaseerde aanpak
Hoewel AI voor vele economische en maatschappelijke voordelen zorgt, houdt het ook risico’s in.
Daarom kiest Europa voor een op risico gebaseerde aanpak: hoe hoger het risico, hoe strenger de regels. Hierbij wordt er een onderscheid gemaakt tussen AI-toepassingen met een:
- onaanvaardbaar risico;
- hoog risico;
- beperkt risico.
De risicocategorie van een AI-systeem bepaalt aan welke verplichtingen het systeem moet voldoen.
AI-modellen voor algemene doeleinden krijgen een eigen set van regels.
Let op! Niet alle AI-systemen worden gevat door deze verordening. Denk hier bijvoorbeeld aan AI-systemen:
- die niet vallen onder een van bovenstaande risiconiveau's, zoals spamfilters;
- specifiek ontwikkeld en in gebruik gesteld met wetenschappelijk onderzoek en wetenschappelijke ontwikkeling als enig doel;
- die worden vrijgegeven onder gratis en opensourcelicenties. Europa voorziet hierop wel uitzonderingen. Bijvoorbeeld wanneer deze een hoog risico inhouden of wanneer zij vallen onder specifieke categorieën die strengere transparantie-eisen stellen, .…
- …
Innovatie bevorderen
De lidstaten moeten zorgen voor testomgevingen voor tests onder reële omstandigheden Deze moeten toegankelijk zijn voor kmo’s en startups. Zo kan men innovatieve AI-systemen ontwikkelen en testen voordat ze algemeen beschikbaar zijn.
Sancties
Overtreders riskeren hoge boetes.
Zo kan de administratieve geldboete bij een overtreding op het verbod van bepaalde AI-systemen oplopen tot 35 miljoen euro, of, indien de overtreder een onderneming is, tot 7 % van haar totale wereldwijde jaarlijkse omzet voor het voorafgaande boekjaar, indien dat hoger is.
Inwerkingtreding en toepassing?
De Europese Raad moet de verordening nog formeel goedkeuren.
Vervolgens is het wachten op de bekendmaking van de verordening in het Publicatieblad van de Europese Unie. Ze treedt in werking 20 dagen na deze bekendmaking en is 24 maanden daarna van toepassing.
Voor sommige onderdelen geldt de regelgeving al eerder, bijvoorbeeld voor:
- het verbod op bepaalde AI-systemen (met een onaanvaardbaar risico): 6 maanden na de inwerkingtreding van de AI-verordening;
- de regels voor AI-modellen voor algemene doeleinden: 12 maanden na de inwerkingtreding;
- voor een specifieke categorie hoog risico AI-systemen, governance en de sancties: 36 maanden na de inwerkingtreding.
Merk op! Deze verordening is algemeen en rechtstreeks van toepassing in alle landen van de Europese Unie. Net zoals de GDPR.
1. Situering
Het Europees Parlement heeft op 13 maart 2024 de verordening rond artificiële intelligentie, de AI-verordening (AI Act), goedgekeurd. Na jaren onderhandelen is de eerste uitgebreide AI-wet ter wereld hiermee bijna een feit. De verordening moet nog wel formeel worden aangenomen door de Europese Raad. Daarna is het wachten op publicatie in het Publicatieblad van de Europese Unie.
De verordening bevat:
- geharmoniseerde regels voor het in de handel brengen, in gebruik stellen en gebruiken van AI-systemen in de Europese Unie;
- een verbod op bepaalde AI-praktijken;
- specifieke eisen voor AI-systemen met een hoog risico en verplichtingen voor de operatoren van dergelijke systemen;
- geharmoniseerde transparantievoorschriften voor bepaalde AI-systemen;
- geharmoniseerde regels voor het in de handel brengen van AI-modellen voor algemene doeleinden;
- regels over marktmonitoring, markttoezicht, governance en handhaving van die regels;
- maatregelen ter ondersteuning van innovatie, met bijzondere nadruk op kmo’s, waaronder startups.
Ze heeft betrekking op een brede waaier aan AI-toepassingen. Denk hier aan chatbots, cv-selectie tools, …
2. Doel?
Europa wil zo een uniform rechtskader creëren om:
- de goede werking van de interne markt te waarborgen en marktversnippering te voorkomen;
- innovatie te stimuleren en te ondersteunen;
- burgers en ondernemingen te beschermen tegen de schadelijke effecten van AI-systemen op de grondrechten zoals bijvoorbeeld de democratie, de rechtstaat en het milieu. Het gebruik van AI met haar specifieke kenmerken (bv. ondoorzichtigheid, complexiteit, afhankelijkheid van data, autonoom gedrag) kan immers een aantal grondrechten die in het ‘EU-Handvest van de grondrechten’ zijn verankerd, negatief beïnvloeden.
3. Wat is een AI-systeem?
Een AI-systeem is een machinaal systeem:
- ontworpen om met verschillende niveaus van autonomie te werken; en
- dat na de uitrol aanpassingsvermogen kan vertonen; en
- dat, voor expliciete of impliciete doelstellingen, uit de ontvangen input afleidt hoe output te genereren. Zoals voorspellingen, inhoud, aanbevelingen of beslissingen die van invloed kunnen zijn op fysieke of virtuele omgevingen.
4. Een op risico gebaseerde aanpak
Hoewel AI voor vele economische en maatschappelijke voordelen zorgt, houdt het ook risico’s in. Daarom volgt de verordening een op risicogebaseerde aanpak: hoe hoger het risico, hoe strenger de regels.
Hierbij wordt er een onderscheid gemaakt tussen AI-toepassingen met een:
- onaanvaardbaar risico;
- hoog risico;
beperkt risico.
De risicocategorie van een AI-systeem bepaalt aan welke verplichtingen het AI-systeem moet voldoen.
AI-modellen voor algemene doeleinden krijgen een eigen set van regels.
Let op! Niet alle AI-systemen worden gevat door deze verordening. Denk hier bijvoorbeeld aan AI-systemen:
- die niet vallen onder een van bovenstaande risiconiveau's, zoals spamfilters;
- specifiek ontwikkeld en in gebruik gesteld met wetenschappelijk onderzoek en wetenschappelijke ontwikkeling als enig doel;
- die worden vrijgegeven onder gratis en opensourcelicenties. Europa voorziet hierop wel uitzonderingen. Bijvoorbeeld wanneer deze een hoog risico inhouden of wanneer zij vallen onder specifieke categorieën die strengere transparantie-eisen stellen, .…
- …
4.1. AI-systemen met een onaanvaardbaar risico
Op bepaalde AI-systemen rust een volledig verbod. Ze handelen in strijd met Europese fundamentele normen en waarden, bijvoorbeeld vanwege een schending van grondrechten.
Zo is bijvoorbeeld het in de handel brengen, het voor dit specifieke doel in gebruik stellen of het gebruiken van AI-systemen om emoties van een natuurlijke persoon op de werkplek en in onderwijsinstellingen af te leiden verboden. Behalve wanneer het gebruik van het AI-systeem is bedoeld om uit medische of veiligheidsoverwegingen te worden ingevoerd of in de handel te worden gebracht.
Toch zijn er voor ‘verboden’ AI-systemen ook uitzonderingen voorzien, maar hier gaan we in deze nieuwsbrief niet dieper op in.
4.2. AI-systemen met een hoog risico - zware verplichtingen
De verordening bepaalt welke AI-systemen ‘hoog risico’-systemen zijn. Het gaat om AI-systemen die een negatief effect hebben op de veiligheid of de grondrechten.
Dit zijn bijvoorbeeld AI-systemen bedoeld om te gebruiken voor:
- werving of selectie van natuurlijke personen. Met name voor het plaatsen van gerichte vacatures, het analyseren en filteren van sollicitaties, en het beoordelen van kandidaten;
- het nemen van beslissingen die een invloed hebben op de arbeidsvoorwaarden, de bevordering of beëindiging van arbeidsrelatie;
- het toewijzen van taken op basis van individueel gedrag of persoonlijke eigenschappen of kenmerken;
het monitoren en evalueren van prestaties en gedrag van personen in dergelijke betrekkingen.
Deze systemen kunnen immers aanzienlijke gevolgen hebben voor de toekomstige carrièrekansen en het levensonderhoud van deze personen, alsook voor de rechten van werknemers.
Dergelijke systemen kunnen er toe leiden dat historische patronen van discriminatie blijven bestaan. Bijvoorbeeld ten aanzien van vrouwen, bepaalde leeftijdsgroepen, personen met een handicap of personen met een bepaalde raciale of etnische afkomst of seksuele gerichtheid.
AI-systemen die worden gebruikt om de prestaties en het gedrag van deze personen te monitoren, kunnen ook afbreuk doen aan hun grondrechten inzake gegevensbescherming en privacy.
Verplichtingen ‘hoog risico’ AI-systeem
Aan een AI-systeem met zo'n hoog risico worden hoge eisen gesteld.
Kort samengevat geldt voor een AI-systeem met een hoog risico dat:
- men een systeem voor risicobeheer vaststelt, uitvoert, documenteert en in stand houdt;
- men dit ontwikkelt op basis van hoge kwaliteit van datareeksen om risico's en discriminerende resultaten zoveel mogelijk uit te sluiten (bij het trainen van AI-modellen met data);
- men technische documentatie opstelt voordat dit systeem in de handel wordt gebracht of in gebruikt wordt gesteld, en deze steeds actualiseert;
- dit dusdanig technisch vormgegeven is dat gebeurtenissen gedurende hun levenscyclus automatisch worden geregistreerd ('logs'). Dit om de traceerbaarheid van de resultaten te waarborgen;
dit voldoende transparant is om gebruikers in staat te stellen de output van een systeem te interpreteren en op passende wijze te gebruiken.
Het systeem is ook vergezeld van gebruiksinstructies in een passend digitaal of ander formaat dat beknopte, volledige, juiste en duidelijke informatie bevat die relevant, toegankelijk en begrijpelijk is voor gebruikers;
- dit zo ontworpen en ontwikkeld is dat hierop tijdens de periode dat zij worden gebruikt, natuurlijke personen op doeltreffende wijze toezicht kunnen uitoefenen. Menselijke controle is dus vereist;
- dit een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging biedt.
AI-systemen met een hoog risico moeten bovendien een conformiteitsbeoordelingsprocedure doorlopen voordat zij in de handel worden gebracht of in gebruik worden gesteld. Zo zorgt men voor een hoog niveau van betrouwbaarheid.
4.3. AI-systemen met een beperkt risico - transparantieverplichting
Als een AI-systeem geen significant risico op schade voor de gezondheid, veiligheid of de grondrechten van natuurlijke personen inhoudt, is het in principe geen AI-systeem met een hoog risico en gelden voormelde verplichtingen dus niet.
Maar let op, voor specifieke AI-systemen gelden informatie- en transparantieverplichtingen ten opzichte van gebruikers. Ook als het geen hoog risico systeem is.
Deze verplichtingen gelden immers voor alle AI-systemen die:
- voor directe interactie met mensen zijn bedoeld; of
- worden gebruikt om emoties te herkennen of mensen in te delen in categorieën op basis van biometrische gegevens (tenzij dit een aanvulling vormt op een andere commerciële dienst en om objectieve technische redenen strikt noodzakelijk is); of
- inhoud genereren of manipuleren (bijvoorbeeld deep fakes).
Zo zal een AI-systeem dat interageert met mensen duidelijk moeten communiceren dat het om een AI-systeem gaat. Een gebruiker kan op basis daarvan een goed geïnformeerde keuze maken of hij dat wel of niet wil.
Ook moeten kunstmatige of gemanipuleerde afbeeldingen, audiobestanden en video-inhoud (“deepfakes”) duidelijk als zodanig worden aangeduid.
4.4. AI-modellen voor algemene doeleinden
AI-modellen voor algemene doeleinden (generatieve AI) krijgen daarenboven nog een eigen set van regels.
Deze worden immers niet noodzakelijk als hoogrisico geclassificeerd.
Wel moeten ze in principe voldoen aan:
- bepaalde transparantievereisten (bijvoorbeeld: technische documentatie opstellen en up to date houden, …); en
- de Europese wetgeving omtrent auteursrechten.
Voor krachtigere modellen die systeemrisico’s met zich mee kunnen brengen komen er aanvullende vereisten. Denk daarbij aan de uitvoering van modelevaluaties, de beoordeling en beperking van systeemrisico’s, en de rapportage van incidenten.
5. Verplichtingen bij hoog risico-systemen voor aanbieders en andere partijen
De AI-Verordening heeft een ruim toepassingsgebied en bevat verplichtingen voor iedereen die AI ontwikkelt, op de markt brengt, inzet of gebruikt in de Europese Unie.
Zo gelden er specifieke verplichtingen naar gelang het gaat om aanbieders, importeurs, distributeurs of exploitanten. Voor een goed begrip, lichten we hieronder toe wie hiermee bedoeld wordt:
Aanbieder
Een aanbieder is een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of ander orgaan:
- die/dat een AI-systeem of een AI-model voor algemene doeleinden ontwikkelt of laat ontwikkelen; en
- dat systeem of model in de handel brengt of het AI-systeem in gebruik stelt onder de eigen naam of merknaam, al dan niet tegen betaling;
Exploitant (gebruiker)
Een exploitant is een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of ander orgaan die/dat een AI-systeem onder eigen verantwoordelijkheid gebruikt. Behalve in gevallen waarin men het AI-systeem gebruikt in het kader van een persoonlijke niet-professionele activiteit. De verordening geldt immers niet voor natuurlijke personen die AI-systemen gebruiken in het kader van een louter persoonlijke niet-professionele activiteit.
Importeur
Een importeur is een natuurlijke of rechtspersoon die zich bevindt of gevestigd is in de Unie die een AI-systeem in de handel brengt dat de naam of merknaam van een in een derde land gevestigde natuurlijke of rechtspersoon draagt;
- Distributeur
Een distributeur is een andere natuurlijke persoon of rechtspersoon in de toeleveringsketen dan de aanbieder of de importeur, die een AI-systeem in de Unie op de markt aanbiedt.
De gebruiker kan er dus niet zomaar vanuit gaan dat de aanbieder het wel regelt. Aan gebruikers van AI-toepassingen met een hoog risico legt de AI-Verordening immers ook regels op, zij het minder dan aan de aanbieders ervan.
Zo moet de gebruiker bijvoorbeeld:
- technische en organisatorische maatregelen nemen om het AI-systeem volgens de voorschriften van de leverancier te kunnen gebruiken;
- ervoor zorgen dat er altijd menselijke controle is, door werknemers die daar voldoende voor opgeleid zijn en over de nodige autoriteit beschikken.
- de door het ‘hoog risico’ AI-systeem automatisch gegenereerde logbestanden, voor zover onder hun controle, gedurende een passende periode bewaren. Of ten minste zes maanden, tenzij anders is bepaald in het toepasselijke Unie- of nationaal recht. Meer in het bijzonder de Uniewetgeving over de bescherming van persoonsgegevens (GDPR).
- …
Informatieplicht
Voordat men een AI-systeem met hoog risico op de werkplek in gebruik neemt of gebruikt, delen werkgevers hun werknemersvertegenwoordigers en de betrokken werknemers mee dat deze zullen worden onderworpen aan het gebruik van een AI-systeem met een hoog risico.
Deze informatie wordt verstrekt in overeenstemming met de regels, procedures en praktijk inzake informatie van werknemers en hun vertegenwoordigers die hieromtrent gelden in de lidstaat.
6. AI geletterdheid
Aanbieders en gebruikers van AI-systemen nemen maatregelen om, zoveel als mogelijk, te zorgen voor een toereikend kennisniveau van AI (AI geletterdheid) bij hun personeel en andere personen die namens hen AI-systemen exploiteren en gebruiken. Hierbij houden ze rekening met:
hun technische kennis, ervaring, onderwijs en opleiding; en
de context waarin de AI-systemen zullen worden gebruikt;
de personen of groepen personen ten aanzien van wie de AI-systemen zullen worden gebruikt.
7. Sancties
Overtreders riskeren zware sancties.
Zo kan bijvoorbeeld de administratieve geldboete voor het gebruik van verboden AI-toepassingen oplopen tot 35 miljoen euro, of, indien de overtreder een onderneming is, tot 7 % van haar totale wereldwijde jaarlijkse omzet voor het voorafgaande boekjaar, indien dat hoger is.
8. Innovatie stimuleren
De lidstaten moeten zorgen voor testomgevingen voor tests onder reële omstandigheden. Deze moeten toegankelijk zijn voor kmo’s en startups. Zo kan men innovatieve AI-systemen ontwikkelen en testen voordat ze algemeen beschikbaar zijn.
Daarnaast voorziet Europa ook maatregelen om de regeldruk voor kmo's en startende ondernemingen te verlichten.
We gaan hier niet dieper op in.
9. Inwerkingtreding?
De Europese Raad moet de verordening nog formeel goedkeuren.
Vervolgens is het wachten op de bekendmaking van de verordening in het Publicatieblad van de Europese Unie. Ze treedt in werking 20 dagen na deze bekendmaking en is 24 maanden daarna van toepassing.
Voor sommige onderdelen geldt de regelgeving al eerder, bijvoorbeeld voor:
- het verbod op bepaalde AI-systemen (met een onaanvaardbaar risico): 6 maanden na de inwerkingtreding van de AI-verordening;
- de regels voor generatieve AI-modellen: 12 maanden na de inwerkingtreding;
- voor een specifieke categorie hoog risico AI-systemen, governance en de sancties: 36 maanden na de inwerkingtreding.
Wat betekent dit voor de werkgever?
Zowel bedrijven die AI willen gebruiken als bedrijven die zélf AI toepassingen op de markt brengen, als aanbieder, importeur of distributeur, moeten het nodige doen om aan de verplichtingen uit de verordening te voldoen. De verordening bevat specifieke verplichtingen voor zowel aanbieders van AI-systemen met hoog risico, als voor de exploitanten, importeurs en distributeurs van zulke systemen.
Werkgevers die AI-systemen willen gebruiken ter ondersteuning bij werving en personeelsbeheer (= hoog risico) zullen dus aandacht moeten besteden aan de verplichtingen die aan deze systemen verbonden zijn.
Zo moet de werkgever als gebruiker bijvoorbeeld:
- technische en organisatorische maatregelen nemen om het AI-systeem volgens de voorschriften van de leverancier te kunnen gebruiken;
- ervoor zorgen dat er altijd menselijke controle is, door werknemers die daar voldoende voor opgeleid zijn en over de nodige autoriteit beschikken.
- de door het ‘hoog risico’ AI-systeem automatisch gegenereerde logbestanden, voor zover onder hun controle, gedurende een passende periode bewaren. Of ten minste zes maanden, tenzij anders is bepaald in het toepasselijke Unie- of nationaal recht. Meer in het bijzonder de Uniewetgeving over de bescherming van persoonsgegevens.
- …
Bovendien kan in bepaalde omstandigheden een distributeur, importeur, exploitant of derde voor de toepassing van deze verordening beschouwd worden als een aanbieder van een AI-systeem met een hoog risico. Bijvoorbeeld als het doel wijzigt van een AI-systeem dat al op de markt of in gebruik is, waardoor het betrokken AI-systeem een systeem met hoog risico wordt of blijft.
Informeer werknemersvertegenwoordigers en betrokken werknemers
Voordat het AI-systeem met een hoog risico op de werkplek in gebruik wordt genomen of wordt gebruikt, delen werkgevers hun werknemersvertegenwoordigers en de betrokken werknemers mee dat zij zullen worden onderworpen aan het gebruik van een AI-systeem met een hoog risico.
Deze informatie wordt verstrekt in overeenstemming met de regels, procedures en praktijk inzake informatie van werknemers en hun vertegenwoordigers die hieromtrent gelden in de lidstaat.
Zorg voor AI geletterdheid bij uw personeel
Werkgevers moeten als gebruiker of aanbieder zorgen voor een toereikend kennisniveau van AI bij hun personeel en andere personen die namens hen AI-systemen exploiteren en gebruiken. Hierbij houden ze rekening met:
hun technische kennis, ervaring, onderwijs en opleiding; en
de context waarin de AI-systemen zullen worden gebruikt;
de personen of groepen personen ten aanzien van wie de AI-systemen zullen worden gebruikt.
Merk op! Deze AI-Verordening is natuurlijk niet de enige reglementering waarmee een werkgever rekening moet houden bij gebruik van AI-systemen. Denk hier bijvoorbeeld ook aan de GDPR, de antidiscriminatiewetgeving, …