AI-verordening gaat in: werk aan de winkel voor ontwikkelaars en gebruikers
De AI-verordening treedt morgen, 1 augustus 2024, officieel in werking. Die geldt voor de gehele Europese Unie, dus ook in Nederland. De komende tijd gaan de verschillende eisen die deze wet stelt aan ontwikkelaars en gebruikers van kunstmatige intelligentie (AI) stap voor stap gelden. De eerste eisen gelden vanaf februari 2025. Dan worden sommige vormen van AI verboden en moeten organisaties die AI gebruiken, daar genoeg kennis over in huis hebben. Ontwikkelaars en gebruikers van AI doen er daarom goed aan nú te starten met voorbereidingen op deze nieuwe wet.
De AI-verordening is de eerste uitgebreide wet over kunstmatige intelligentie ter wereld. In de AI-verordening staan de regels voor het verantwoord ontwikkelen en gebruiken van AI door bedrijven, overheden en andere organisaties.
Inventariseer risico’s en onderneem actie
Voor ontwikkelaars én gebruikers van AI is het zaak om snel te inventariseren welke AI-systemen zij aanbieden of gebruiken en in welke risicogroep die vallen: gaat het om AI-systemen die straks verboden zijn, systemen met een hoog risico, of systemen met een beperkt risico? Daarna is het de hoogste prioriteit om actie te ondernemen:
- Verboden AI. Ontwikkelaars moeten deze systemen uit de handel nemen en organisaties die ze gebruiken moeten daarmee stoppen. De bepalingen over verboden AI zijn vanaf februari 2025 al van kracht. Ook is de kans groot dat organisaties met deze systemen nu al de wet overtreden, bijvoorbeeld wetgeving op het gebied van gelijke behandeling, privacy, of arbeidswetgeving. Vanaf augustus 2025 moeten organisaties die verboden AI ontwikkelen of inzetten rekening houden met flinke boetes, op basis van de AI-verordening. De AP zal de komende tijd verder verduidelijken welke systemen wel en niet onder het verbod vallen.
- AI met een hoog risico. Deze systemen moeten voldoen aan de eisen aan onder andere risicobeheer, de kwaliteit van de gebruikte data, technische documentatie en registratie, transparantie en menselijk toezicht. Daarnaast is een keurmerk voor deze systemen verplicht. Gebruikers van AI-systemen kunnen nu al informeren bij de aanbieder in hoeverre die voorbereidingen treft om het AI-systeem te laten voldoen aan de eisen. Voor overheden of uitvoerders van publieke taken gelden soms aanvullende vereisten, zoals het uitvoeren van een ‘grondrechteneffectbeoordeling’. Lukt het niet om aan deze eisen te voldoen, dan mogen ontwikkelaars deze systemen niet aanbieden en mogen organisaties ze niet gebruiken.
- AI met een beperkt risico. Voor systemen die bedoeld zijn om met personen in contact te komen of die inhoud genereren, zoals deepfakes, gelden transparantieverplichtingen. Als deze systemen worden aangeboden of gebruikt, moeten mensen daarover worden geïnformeerd. Ontwikkelaars moeten hun systemen zo ontwerpen dat dit kan, en organisaties die de systemen inzetten moeten mensen daadwerkelijk op de hoogte brengen. Gebruikers van AI-systemen doen er goed aan te informeren bij de aanbieder hoe het daarmee staat.
Breng AI-kennis op peil
Vanaf februari 2025 geldt ook de eis dat organisaties die AI-systemen inzetten, voldoende kennis in huis moeten hebben over AI. Het kennisniveau per medewerker moet aansluiten bij de context waarin de AI-systemen worden gebruikt en hoe de systemen (groepen) personen kunnen raken.
De AI-kennisplicht betekent bijvoorbeeld dat een HR-medewerker moet snappen dat een AI-systeem vooroordelen kan bevatten of essentiële informatie kan negeren, waardoor een sollicitant onterecht wel of juist niet wordt voorgedragen.
En een baliemedewerker bij een gemeente die AI-systemen gebruikt om de identiteit van burgers te verifiëren, moet beseffen dat deze systemen vaak niet even goed werken voor iedereen. En dat diegene de uitkomsten van dit soort AI-systemen dus absoluut niet blindelings kan volgen.
De AP wil de komende periode met belanghebbenden nadenken over mogelijkheden om het AI-kennisniveau bij organisaties te verbeteren.
Toezichthouders
Ook voor het kabinet is er werk aan de winkel. Zo moet snel duidelijk worden welke toezichthouders in Nederland verantwoordelijk worden voor welk deel van het toezicht op de AI-verordening, schreven de Autoriteit Persoonsgegevens (AP) en de Rijksinspectie Digitale Infrastructuur (RDI) in juni in een advies.
Meer weten over de stappen die ontwikkelaars en gebruikers moeten nemen om aan de AI-verordening te voldoen? Lees het stappenplan. Meer weten over de huidige en toekomstige risico’s rond AI en algoritmes? Lees de nieuwste editie van de Rapportage AI- & Algoritmerisico’s Nederland (RAN).