AI wet in aantocht: wat is de AI Act en hoe ga je ermee om?

Artificial Intelligence is een technologie die machines en computerprogramma’s slim maakt, waardoor ze taken kunnen uitvoeren waarvoor doorgaans menselijke intelligentie nodig is. Het omvat zaken als het begrijpen van menselijke taal, het herkennen van patronen, het leren van ervaringen en het nemen van beslissingen. Over het algemeen werken AI-systemen door enorme hoeveelheden gegevens te verwerken, op zoek naar patronen waarmee ze hun eigen besluitvorming kunnen modelleren. (Bron: ISO.org).

In de AI Act wordt gebruik gemaakt van een classificatiesysteem voor AI-toepassingen op basis van risiconiveau, variërend van minimaal tot onaanvaardbaar, waarmee men denkt een breed scala aan AI-toepassingen te dekken.

AI-risico categorieën

• Systemen met een onaanvaardbaar risico worden verboden. Dat is bijvoorbeeld live gezichtsherkenning, of systemen die gericht zijn op het manipuleren van mensen.
• Systemen met een hoog risico worden constant gemonitord. Dat gaat om systemen die gebruikt worden in producten met strenge veiligheidseisen, zoals auto’s of vliegtuigen. Ook AI-toepassingen die worden gebruikt in sectoren als onderwijs en justitie vallen hieronder.
• Het derde niveau is generatieve AI, en dat zijn systemen als ChatGPT. Deze systemen moeten transparant zijn over de data waarmee ze getraind zijn en ze mogen geen ‘illegale inhoud genereren’.
• Systemen met een laag risico zijn bijvoorbeeld programma’s die automatisch foto’s of video’s verbeteren. Deze moeten alleen aangeven dat ze AI gebruiken.

Bron: RTL Nieuws

Binnen de AI wetgeving zijn bepaalde toepassingen aangemerkt als ‘hoog risico’ van AI. Denk daarbij bijvoorbeeld aan AI-systemen die impact hebben op:

• Werving en selectie van nieuwe medewerkers;
• Promotie toekennen van medewerkers;
• Risicobeoordelingen van personen t.b.v. opsporingsdiensten;
• Veiligheidsbeheer van verkeer- en watermanagement.

Dit soort toepassingen, wat naar verwachting over 15% van de systemen gaat, van AI zijn wel toegestaan, maar gaan hand in hand met strenge eisen en hiervoor worden o.a. ook externe audits verplicht gesteld. Ontwikkelaars van dit soort systemen zijn verplicht om te testen of de ontwikkelde modellen accuraat zijn en dienen de grootste risico’s te ondervangen.

In de AI Act EU zijn ook regels opgenomen die gericht zijn op techbedrijven. Dit type bedrijven zet bijvoorbeeld steeds vaker taalmodellen in, die mogelijk maken wat een ChatGPT doet. Deze technologie valt onder ‘general purpose AI’, ofwel systemen die voor meerdere doeleinden gebruikt worden. Ook dit soort taalmodellen moeten voldoen aan vergelijkbare eisen als AI-systemen die aangemerkt zijn als ‘hoog risico’. Fabrikanten van toepassingen voor ‘generatieve AI’ moeten bijvoorbeeld transparantie geven over hun werkwijze.

Dan zijn er nog bepaalde AI-toepassingen, zoals herkennen van emoties met behulp van AI-software, die direct verboden worden. Deze software moet binnen zes maanden (na mei 2024) worden stopgezet.

De AI Act heeft betrekking op ‘iedereen’ die zelf software maakt, ontwikkelt, uitwerkt en/of in de markt zet. Denk daarbij aan makers van chatbots, ontwikkelaars van zelfrijdende auto’s, apps die notulen transcriberen etc. De eisen in de AI verordening zijn vooral bedoeld voor techbedrijven, maar hebben uiteraard ook gevolgen voor het MKB.

Hoe ga je ermee om? Hieronder een stappenplan:

1. Breng AI-systemen in kaart
2. Voer een risicoanalyse uit
   1. Beoordeel welke systemen onder de nieuwe regelgeving vallen
   2. Bepaal de risicoclassificatie
3. Tref maatregelen
   1. Maak plannen voor naleving van de AI Act

Al met al moeten organisaties een risicoanalyse uitvoeren waarin bepaald wordt waar mensen ‘last’ van kunnen krijgen door de AI-toepassingen. Daarnaast moet helder zijn welke gegevens gebruikt zijn om AI-software te trainen en moet het technisch mogelijk zijn om alle handelingen/stappen van een systeem na te kunnen gaan; het mag in geen geval een ‘black-box’ zijn waarbij men geen idee heeft van de werking ervan. Al met al moet er betrokkenheid van de mens zijn, zodat voorkomen wordt dat AI-techniek bepaalt wat er gebeurt. De mens moet controleren of de software ‘zijn taak’ doet en of de output daarvan veilig, betrouwbaar en ethisch verantwoord is.

Vanzelfsprekend gaat de komst van de AI Act voor organisaties kosten met zich meebrengen in zowel tijd als geld. Die investeringen wegen echter niet op tegen de eventuele boetes die opgelegd worden. De nieuwe AI wetgeving is streng en zeker niet mals met het oog op overtredingen; in dat geval kunnen er hoge boetes worden opgelegd. Daarbij is het, op dit moment, nog niet duidelijk wie de toezichthouder(s) wordt.

Systematisch AI inregelen? ISO 42001 biedt uitkomst!

ISO 42001 is dé norm voor veilige en betrouwbare ontwikkeling en implementatie van AI. De norm geeft houvast, kaders en daarmee een gestandaardiseerde werkwijze om AI-systemen te ontwikkelen. Het is een handig hulpmiddel waarmee aan een groot deel van de wet- en regelgeving van o.a. de AI verordening wordt voldaan.

Al jarenlang wordt de noodzaak van regulatie van AI wereldwijd ingezien. Internationaal zit men echter nog niet op één lijn met betrekking tot hoe zoiets in de praktijk moet worden ingeregeld. De Europese Unie heeft met invoering van de wetgeving AI daarin een grote stap gezet en hiermee een helder statement afgegeven. Daarbij streeft men naar een goede balans tussen bescherming van burgers en stimuleren van innovatie, zonder dat daarbij de economische voortuitgang wordt afgeremd. Voor organisaties is het, zeker wanneer men internationaal opereert, van belang om de wereldwijde ontwikkelingen nauwlettend in de gaten te houden. Na Europa gaan er internationaal ongetwijfeld nog meer stappen gezet worden.

Wil je aan de slag met een risicoanalyse, het treffen van maatregelen en/of het implementeren van ISO 42001 met het oog op de komst van de AI Act? Of gewoon eens sparren over wat er op jouw organisatie afkomt? Wij denken graag met je mee en helpen je graag op weg. Neem gerust contact met ons op!