Voorkom dat de AI Act u verrast: zo beperkt u de risico’s

Bijna alle bedrijven maken inmiddels gebruik van een of andere vorm van AI. Dat betekent dat ze te maken kunnen krijgen met de verboden en regelingen uit de Europese AI Act. Hoe zorgt u dat u voldoet aan deze regels?

AI dringt steeds verder door in de maatschappij. De gezondheidssector, het onderwijs, de juridische sector en het bedrijfsleven maken er allemaal gebruik van. De toepassingen van AI binnen deze sectoren lopen uiteen, wel hebben ze allemaal gemeen dat ze zowel voordelen als nadelen met zich meebrengen. AI zal bijdragen aan innovatie en efficiëntie binnen verschillende sectoren. Tegelijkertijd brengt het potentiële risico’s met zich mee voor de bescherming van fundamentele mensenrechten, aangezien elke toepassing van AI gepaard gaat met ethische, privacy- en veiligheidsvraagstukken.

Bedrijven dienen zich hiervan bewust te zijn. Om deze reden verplicht de EU sinds 2 februari 2025 organisaties die AI gebruiken om te zorgen voor voldoende AI-geletterdheid. Zij moeten hun personeel en anderen die AI-systemen namens hen beheren, voorzien van voldoende AI-kennis. Deze verplichting maakt deel uit van de Europese AI Act die in 2024 is aangenomen en die 2 augustus 2026 van kracht wordt. Enkele belangrijke onderdelen zijn al in werking getreden, terwijl er ook nog een regeling is die pas later van kracht wordt. Dit zal steeds worden aangegeven.

De AI Act

De Europese AI Act is de eerste regelgeving specifiek voor kunstmatige intelligentie. De verordening wil twee belangen waarborgen: enerzijds bescherming van mensenrechten en anderzijds maatregelen die innovatie moeten stimuleren. De wet bevat regels omtrent het ontwerp, de implementatie en het gebruik van AI-systemen binnen de EU.

De AI Act heeft invloed op het gebruik van AI binnen de Europese Unie en wereldwijd. Deze verordening geldt voor de aanbieders van AI-systemen en hun vertegenwoordigers, de importeurs en distributeurs en de bedrijven en organisaties die AI gebruiken (de gebruiksverantwoordelijken). Voor ieder van hen gelden weer verschillende regels. Wat houdt deze verordening in?

Risicocategorieën

De Europese Commissie heeft gekozen voor een op risico gebaseerde benadering, waarbij de AI-systemen worden onderverdeeld naar risiconiveaus. Deze risiconiveaus bepalen aan welke vereisten het AI-systeem moet voldoen. Het systeem onderscheidt vier hoofdgroepen:

1. Onaanvaardbaar risico

AI-systemen die een onaanvaardbaar risico vormen voor veiligheid, fundamentele rechten of EU-waarden zijn sinds 2 februari 2025 strikt verboden. Voorbeelden zijn sociale kredietscores en systemen voor gedragsmanipulatie. Deze systemen mogen niet op de markt worden gebracht. Ook biometrische identificatiesystemen vallen in principe hieronder. De AI-verordening maakt hierbij echter een uitzondering voor de gevallen waarin deze noodzakelijk worden geacht voor het functioneren van de democratische rechtsstaat. Een voorbeeld daarvan is het gebruik ervan om daders van strafbare feiten te achterhalen.

2. Hoog risico

AI-systemen die, vanwege hun beoogde doel en context, aanzienlijke risico’s kunnen hebben voor de gezondheid, veiligheid of fundamentele grondrechten worden onderworpen aan strikte regelgeving. Voorbeelden zijn systemen die worden gebruikt in het onderwijs, voor selectie van personeel of door openbare diensten. Deze systemen moeten voldoen aan strenge eisen op het gebied van transparantie, verantwoording en gegevensbeheer. De regeling hiervoor treedt op 2 augustus 2027 in werking.

3. Beperkt risico

Voor AI-systemen die beperkte risico’s voor gebruikers en het publiek met zich meebrengen, gelden voornamelijk transparantieverplichtingen, zoals de melding aan het publiek dat het contact heeft met door AI-gegenereerde content. Dit is bijvoorbeeld verplicht voor chatbots en deepfakes.

4. Minimaal risico

AI-systemen die minimaal of geen risico vormen voor de veiligheid of fundamentele rechten hoeven niet te voldoen aan specifieke regelgeving volgens de AI Act. Dit zijn bijvoorbeeld spamfilters.

GPAI-modellen

Afhankelijk van de risicobeoordeling gelden verschillende regels, maar de AI Act bevat ook specifieke regelgeving voor AI-modellen voor algemene doeleinden, de General Purpose AI (GPAI). Hieronder valt onder andere het bekende ChatGPT. Dergelijke AI-modellen moeten documentatie verstrekken, voldoen aan auteursrechten en samenvattingen van de trainingsdata publiceren. Modellen die een systeemrisico vormen, hebben extra verplichtingen, zoals het melden van incidenten en het waarborgen van cybersecurity. Deze regels zijn sinds 2 augustus 2025 van kracht.

Juridische valkuilen

Naast de specifieke verplichtingen die per categorie gelden, beveelt de Europese Commissie ook algemene waarborgen aan voor het gebruik van AI. Bedrijven moeten zich bewust zijn van de risicogroep waaronder hun AI-systeem valt en welke verplichtingen hierbij horen, zodat ze juridische en financiële risico’s kunnen vermijden. Wij zullen beknopt ingaan op de belangrijkste punten.

• Naleving en aansprakelijkheid: Bedrijven moeten zorg dragen voor de naleving van de AI Act. Dit betekent onder andere: documentatie bijhouden over de werking van hun AI, risicoanalyses uitvoeren en mogelijke biases identificeren.
• Transparantie en controle: De AI Act legt de nadruk op transparantie en traceerbaarheid van AI-beslissingen, vooral in toepassingen met een hoog risico. Dit vereist dat bedrijven duidelijk kunnen uitleggen hoe hun AI-systemen functioneren en beslissingen nemen.
• Menselijke tussenkomst: Artikel 22 van de AVG vereist menselijke tussenkomst indien het AI-gebruik betrekking heeft op natuurlijke personen.
• AI-geletterdheid: Organisaties die AI gebruiken, moeten hun personeel en anderen die AI-systemen namens hen beheren, voorzien van voldoende AI-kennis.

Sancties bij niet-naleving van de AI Act

Bij niet-naleving van de AI-verordening kunnen sancties worden opgelegd. De hoogte daarvan is afhankelijk van zowel de risicocategorie van het AI-systeem als van de ernst van de overtreding. Op AI-praktijken die wegens onaanvaardbare risico’s expliciet verboden zijn staat een boete van maximaal 35 miljoen euro of bij bedrijven tot 7% van de wereldwijde jaaromzet. Bij overtredingen van de regels voor het gebruik van AI-systemen met een hoog risico en die voor AI-modellen voor algemene doeleinden is de boete maximaal 15 miljoen euro of bij bedrijven 3% van de wereldwijde jaaromzet. Op het verstrekken van onjuiste of misleidende informatie aan de autoriteiten staat een boete van maximaal 7,5 miljoen euro of bij bedrijven 1% van wereldwijde jaaromzet.

Juridische valkuilen vermijden

Om de naleving van de AI Act te waarborgen en sancties te vermijden, moeten bedrijven zorgen voor:

• Risicobeheer: Bedrijven moeten de risico’s van AI-systemen evalueren en bijhouden welke nalevingsvereisten van toepassing zijn.
• Transparantie en verantwoording: Bedrijven moeten gedetailleerde documentatie bijhouden over de werking en het gebruik van AI-systemen binnen het bedrijf.
• Training en bewustwording: Bedrijven moeten hun personeel trainen in het omgaan met AI-toepassingen, met name met betrekking tot ethiek, regelgeving en de bescherming van persoonsgegevens. Dit is essentieel om te voldoen aan de eis van AI-geletterdheid.
• Compliance aan de AVG: Bedrijven moeten te allen tijde voldoen aan de eisen die in de AVG zijn gesteld.

Praktische tip

AI is niet alleen de verantwoordelijkheid van de IT-afdeling, maar ook vanuit HR-perspectief moeten er duidelijke regels worden gesteld. Russell Advocaten schrijft voor haar cliënten AI-policies die aan het personeelshandboek, de code of conduct of andere instructie-instrumenten kunnen worden toegevoegd.

Advocaat IT/ICT

Heeft u vragen over de nieuwe AI-regelgeving of wilt u juridische valkuilen vermijden? Wij zijn u graag van dienst, ook bij andere vragen over IT/ICT en recht. Neem contact met ons op: