19 Dec 2023
blog

AANDACHT VOOR AI: EU akkoord over AI ACT: wat moet je weten?

Blog

Vrijdag 8 december 2023 hebben de onderhandelaars van het Europees Parlement en de Europese Raad een voorlopig akkoord bereikt over de artificiële intelligentie (AI) wet. Regelgeving die ook impact gaat hebben op de financiële sector. De AI Act beoogt de innovatie te stimuleren en Europa toonaangevend te maken binnen de wereld van AI. Tegelijkertijd moet deze wet ook de grondrechten, gezondheid, veiligheid, rechtsstaat, democratie en de milieuduurzaamheid beschermen tegen AI-systemen met hoge risico’s. Met deze doelen is het niet verrassend dat het nogal wat voeten in de aarde heeft gehad om tot een akkoord te komen. De definitieve tekst komt binnenkort, maar de grote lijnen zijn nu al wel duidelijk. Lees in deze bijdrage wat de belangrijkste uitgangspunten zijn van de AI Act.

Verboden AI-systemen

In de AI Act is gekozen voor een op risico-gebaseerde benadering. Dit betekent dat de risicocategorie van een AI-systeem bepaalt aan welke verplichtingen het systeem moet voldoen. AI-systemen met een onacceptabel risico voor de burgerrechten zijn verboden. Dit zijn systemen die manipulatief zijn en die misbruik maken van zwakheden van mensen. Deze stellen op basis van gedrag of persoonlijke kenmerken sociale scores vast en herkennen emoties op het werk of in onderwijsinstellingen. Sommige AI-systemen kunnen zelfs gezichtsherkenningsdatabases creëren op basis van het ongericht scrapen van foto’s van het internet of camerabeelden. Deze personen kunnen ze dan biometrisch categoriseren op basis van gevoelige kenmerken. Deze verboden AI-systemen mogen in de gehele Europese Unie (EU) niet door aanbieders op de markt worden gebracht en niet door gebruikers worden gebruikt.

 

Voor biometrische identificatiesystemen bestaan specifieke uitzonderingen in het kader van rechtshandhaving. Zoals bij het zoeken naar een veroordeelde persoon of een verdachte van een ernstige misdaad. Enkel dan kan achteraf, op afstand gebruik worden gemaakt van dergelijke AI-systemen. Het zogenaamd real-time, oftewel live, gebruiken van biometrische identificatiesystemen mag enkel onder strikte voorwaarden. Dit mag alleen voor het voorkomen van terrorisme, het opsporen van verdachten van ernstige misdrijven en het opsporen van slachtoffers van ontvoering of mensenhandel.

 

Hoog risico AI-systemen

In het eerste voorstel voor de AI Act van de Europese Commissie, was al een groot aantal hoog risico AI-systemen opgenomen. Dit zijn bijvoorbeeld systemen die personen selecteren bij sollicitaties en die door overheidsinstanties worden gebruikt om te beoordelen of iemand in aanmerking komt voor een bepaalde uitkering. Nieuw is dat AI-systemen die gebruikt worden om verkiezingen te beïnvloeden ook geclassificeerd zijn als hoog risico. Daarnaast is een verplichte ‘fundamental rights impact assessment’ ingesteld voor hoog risico systemen. Ook hebben burgers de mogelijkheid gekregen om klachten over AI-systemen in te dienen.

 

Generatieve AI-systemen

De snelle opkomst van generatieve AI-systemen, zoals ChatGPT, heeft er mede voor gezorgd dat er veel is gediscussieerd over de juiste vorm van de AI Act. Het leek een breekpunt te worden voor sommige lidstaten, maar uiteindelijk is overeenstemming bereikt. Aanbieders van generatieve AI-systemen moeten technische documentatie opstellen en voldoen aan EU-auteursrechtwetgeving. Daarbij moeten ze uitgebreide samenvattingen geven over de gebruikte inhoud voor het trainen van de systemen. Uiteraard moeten zij ook voldoen aan de al voorgestelde transparantieverplichtingen. Dit betekent bijvoorbeeld dat het voor mensen duidelijk moet zijn dat zij interactie hebben met een AI-systeem.

 

Voor zogenaamde ‘high-impact’ generatieve AI-systemen gaan strenge eisen gelden. Het wordt interessant om te zien welke partijen uiteindelijk onder deze strenge eisen zullen gaan vallen. Aanbieders van high-impact generatieve AI-systemen moeten uitgebreide evaluaties en risicobeoordelingen uitvoeren. Ook zullen zij verslag moeten uitbrengen aan de Europese Commissie over ernstige incidenten en de energie-efficiëntie van de systemen.

 

Hoge boetes als handhavingsinstrument

De nationale toezichthouders krijgen de mogelijkheid om toegang te vragen tot data en documentatie van AI-systemen met een hoog risico. Ook gaan zij AI-systemen evalueren die een specifiek risico op gezondheid- en veiligheidsgebied hebben. Als een AI-systeem niet aan de eisen van de AI Act voldoet, dan kan de toezichthouder een AI-systeem uit de handel halen of het aanbieden ervan verbieden of beperken. De toezichthouders kunnen boetes opleggen aan systemen die niet voldoen aan de AI Act. Deze kunnen oplopen tot 35 miljoen euro of 7 procent van de wereldwijde jaaromzet. De hoogte hangt af van de soort overtreding en de grootte van het bedrijf.

 

Wat nu?

Eerst moet de officiële tekst van de AI Act worden vastgesteld en gepubliceerd. Twintig dagen na de publicatie zal de AI Act in werking treden om waarschijnlijk 24 maanden daarna volledig van toepassing te zijn. De AI Act is een verordening, wat betekent dat alle regels directe werking zullen hebben in alle EU-lidstaten. Voor nu is het dus nog afwachten voordat we weten wanneer AI-systemen aan de verplichtingen moeten voldoen.

 

Organisaties zullen dus nog iets meer dan 24 maanden hebben om te voldoen aan de nieuwe regels. Dit lijkt een lange tijd, maar de ervaring leert dat het in kader brengen van de eigen verplichtingen en het neerzetten van goede compliance veel tijd kost.

Keywords

AI-systemen
Artificial Intelligence Act
Financieel recht
Generatieve AI
Kunstmatige intelligentie
Privacyrecht

Auteur(s)

Luuk Wassink

Juridisch medewerker IE, ICT & Privacy bij JPR advocaten

LinkedIn