AI-verordening
De AI-verordening komt eraan: de eerste uitgebreide wet over kunstmatige intelligentie ter wereld. In de AI-verordening staan de regels voor het verantwoord ontwikkelen en gebruiken van AI door bedrijven, overheden en andere organisaties.
Op deze pagina
De verordening gaat gefaseerd in en zal op 2 augustus 2027 geheel van kracht zijn. Een aantal AI-systemen is vanaf 2 februari 2025 al verboden. Weer andere AI-systemen moeten vanaf 2 augustus 2026 aan extra vereisten voldoen. Daarom is het slim om u nu alvast voor te bereiden. Zie ook de 'snelle antwoorden' op deze pagina.
Oproep tot input op verboden AI-systemen
Via een serie oproepen vragen wij om input over verboden uit de AI-verordening. Wij roepen organisaties, bedrijven, belangengroepen en het brede publiek op om input te leveren over verschillende verboden. Momenteel staan twee oproepen open. Graag ontvangen wij uw input over:
- Verbod op manipulatieve en uitbuitende AI-systemen. Graag ontvangen wij uw input vóór 17 november 2024.
- Verbod op emotieherkenning op de werkplek of in het onderwijs. Graag ontvangen wij uw input vóór 17 december 2024.
Waarom deze wet?
De AI-verordening is er om ervoor te zorgen dat iedereen in Europa erop kan vertrouwen dat AI-systemen veilig werken en dat grondrechten beschermd zijn. Ook al zijn er veel systemen met weinig risico’s en zijn er allerlei voordelen aan AI, er is ook een hele andere kant. Bestaande wetten zoals de Algemene verordening gegevensbescherming (AVG) en de Wet politiegegevens (Wpg) bieden al bescherming. Bijvoorbeeld als AI-systemen worden gebruikt om persoonsgegevens te verwerken. Maar dat is onvoldoende om alle risico’s aan te pakken die bij AI komen kijken. Onverantwoord gebruik van AI kan bijvoorbeeld leiden tot discriminatie, beperkingen van onze vrijheden en misleiding en uitbuiting van mensen. De AI-verordening helpt ervoor te zorgen dat ontwikkelaars van AI-systemen risico’s aanpakken en dat daar toezicht op is.
Wat regelt de AI-verordening?
De AI-verordening deelt AI-systemen in aan de hand van risicogroepen. Hoe hoger het risico voor burgers en de samenleving als geheel, hoe strenger de regels. Belangrijke punten die de wet bijvoorbeeld regelt zijn dat:
- toepassingen die een onaanvaardbaar risico met zich meebrengen worden verboden;
- toepassingen die een hoog risico vormen aan strengere regels worden gebonden. Voorbeelden zijn AI-systemen die bedoeld zijn voor werving- en selectie of voor rechtshandhaving. Organisaties moeten bijvoorbeeld activiteiten van het systeem loggen, adequaat datamanagement inrichten en zorgen dat er menselijk toezicht mogelijk is. Ze moeten ook kunnen aantonen dat ze aan deze verplichtingen voldoen. De AI-verordening bevat een lijst met hoogrisicosystemen die aan deze en andere eisen moeten voldoen. Toepassingen die een lager risico vormen moeten voldoen aan verschillende regels op het gebied van transparantie. Een systeem dat kunstmatige content genereert, moet dit bijvoorbeeld duidelijk markeren voor de burger.
- er toezichthouders worden aangewezen die het naleven van de verordening kunnen handhaven, organisaties kunnen verplichten een product uit de handel te nemen en boetes kunnen opleggen.
Als uw organisatie een AI-systeem ontwikkelt of gebruikt, dan is het uw verantwoordelijkheid om te controleren in welke categorie het systeem valt. Voordat de verplichtingen gelden voor AI-systemen met een hoog risico, komen er richtlijnen die organisaties helpen om te beoordelen welke systemen in welke risicogroep vallen. Zie ook: Risicogroepen AI-verordening.
Voor wie gelden de regels in de AI-verordening?
De AI-verordening is zowel gericht op organisaties die AI aanbieden als op organisaties die de AI gebruiken. Van overheid en zorginstelling tot het mkb.
Aanbieders moeten er bijvoorbeeld voor zorgen dat de systemen die ze ontwikkelen voldoen aan de eisen voordat ze deze in de handel brengen en deze in gebruik mogen worden genomen. Soms moeten zij blijven monitoren of er risico’s ontstaan voor bijvoorbeeld de bescherming van grondrechten. En actie ondernemen als er iets mis is met het systeem. Aanbieders moeten er ook voor zorgen dat AI systemen met een hoog risico voldoende transparant zijn zodat ze op de juiste manier gebruikt worden.
Organisaties hebben bijvoorbeeld de verantwoordelijkheid AI-systemen met een hoog risico te gebruiken volgens de gebruiksaanwijzing die de aanbieder meegeeft. Ook moeten gebruikende organisaties er bij deze systemen voor zorgen dat er menselijk toezicht is, relevante en voldoende representatieve inputdata gebruiken en incidenten melden bij de aanbieder en de toezichthouder. In bepaalde gevallen moeten zij ook het gebruik van het systeem registeren in een Europese databank.
Daarnaast regelt de AI-verordening dat alle mensen die in aanraking komen met een AI-systeem, het recht hebben om:
- een klacht in te dienen bij een toezichthouder;
- in sommige gevallen een toelichting te krijgen wanneer er een besluit over hen wordt genomen op basis van de uitvoer van een AI-systeem met een hoog risico.
Specifieke regels voor overheden
In de AI-verordening staan ook extra regels voor overheden en uitvoerders van publieke taken. Zij moeten bij systemen met een hoog risico altijd een zogenoemde grondrechteneffectbeoordeling doen. Deze organisaties moeten hun gebruik vanaf 2 augustus 2026 registreren in de Europese database voor AI-systemen.
Aanbieders van AI-modellen voor algemene doeleinden
Voor aanbieders van 'AI-modellen voor algemene doeleinden' gaan er ook regels gelden. Deze modellen staan ook wel bekend als 'general purpose AI'. Het gaat dan om de modellen die de basis vormen voor andere toepassingen, bijvoorbeeld de taalmodellen die bestaan voor AI-chatbots.
De ontwikkelaars van deze modellen zijn onder meer verplicht om technische documentatie over hun product op te stellen, het systeem 'uitlegbaar' te maken en ze moeten beleid hebben om auteursrechten te beschermen. Handhaving zal voor het grootste deel op Europees niveau plaatsvinden, door het Europese AI Office.
Snelle antwoorden
Wanneer gaat de AI-verordening in?
De AI-verordening treedt stapsgewijs in werking. De eerste regels gaan 2 februari 2025 gelden in Nederland. Op 2 augustus 2027 zal de gehele wet van toepassing zijn. De belangrijkste stappen in dit proces leest u hierna.
Februari 2025
- AI-toepassingen met een onaanvaardbaar risico worden verboden.
- Organisaties moeten zorgen voor toereikend niveau van AI-geletterdheid bij werknemers en personen die namens hen AI-systemen gebruiken.
Augustus 2025
- Toezichthouders op naleving van de AI-verordening in Nederland moeten bekend zijn. Aangewezen toezichthouders krijgen de bevoegdheid om maatregelen te nemen en boetes op te leggen.
- De regels voor aanbieders van zogenoemde AI-modellen voor algemene doeleinden gaan in. Deze modellen staan ook wel bekend als 'general purpose AI'.
Augustus 2026
- Start van het toezicht op de verplichtingen voor AI met een hoog risico (omschreven in Bijlage III van de verordening).
- Start van het toezicht op transparantieverplichtingen voor bepaalde AI-systemen. Mensen moeten weten dat zij te maken hebben met een AI-systeem of door AI gegenereerde content.
- De Nederlandse 'regulatory sandbox' is gestart om advies te geven aan aanbieders van AI-systemen bij complexe vragen over de regels uit de AI-verordening.
Augustus 2027
- Start toezicht op AI met een hoog risico in bestaande gereguleerde producten (bijlage I AI-verordening).
- De AI-verordening is volledig van kracht.
Augustus 2030
Einde van de verlengde overgangsperiode voor bestaande AI bij overheidsorganisaties.
Wat kan ik als organisatie nu al doen als voorbereiding op de AI-verordening?
U kunt nu al een aantal dingen doen:
- Breng als aanbieder of gebruiker van algoritmes en AI in kaart om welke systemen het in uw organisatie gaat. En maak alvast een inschatting in welke risicogroep uw AI-systeem valt. Zodat u weet welke eisen er voor uw systeem gaan gelden.
- Is het nu al overduidelijk dat uw AI-systeem onder de lijst met verboden AI gaat vallen? Dan is het voor aanbieders raadzaam om het systeem nu al uit de handel te nemen. Is uw organisatie gebruiker van het systeem? Probeer dan zo snel mogelijk te stoppen met het systeem. De kans is namelijk groot dat u ook nu al wetten overtreedt.
- Kijk nu alvast of u de transparantie over uw systeem kunt verbeteren. Bijvoorbeeld door de informatie hierover op uw website en bij het aanbieden van de dienst te verduidelijken. Vanaf augustus 2026 gelden specifieke transparantieverplichtingen voor systemen die bedoeld zijn om met personen in contact te komen of om inhoud te genereren, zoals deepfakes. AI-systemen met een hoog risico moeten voldoende transparant zijn om op passende wijze gebruikt te kunnen worden.
- Wilt u een AI-systeem aanschaffen? Check dan of er in de inkoopvoorwaarden voldoende rekening is gehouden met bestaande en aankomende wetten. Zoals de AI-verordening en de AVG. Ontwikkelaars moeten namelijk zorgen dat systemen aan eisen voldoen voordat ze op de markt worden gebracht. U wilt voorkomen dat u een AI-systeem ontwikkelt of implementeert waarvan (straks) blijkt dat het niet voldoet aan de wet.
- Bent u een professional binnen de overheid? Verken dan de mogelijkheid om een Impact Assessment voor Mensenrechten (IAMA) te doen en/of gebruik te maken van andere praktische hulpmiddelen uit de Toolbox ethisch verantwoord innoveren van de Rijksoverheid.
- Als overheid kunt u uw algoritmisch systeem nu al vrijwillig registreren in het algoritmeregister.
Sommige organisaties maken inmiddels werk van het aanstellen van een interne toezichthouder op algoritmes of een ‘functionaris algoritmes’. De AP juicht toe dat organisaties op die manier hun verantwoordelijkheid nemen.
Wie houdt toezicht op de AI-verordening?
In Nederland werkt het kabinet aan een voorstel voor het toezicht op de AI-verordening. De verwachting is dat er meerdere toezichthouders zullen zijn voor verschillende delen van de AI-verordening. Welke toezichthouder aan zet is, ligt aan de context waarin het AI-systeem wordt gebruikt of ontwikkeld. De taakverdeling komt in de Nederlandse wetgeving te staan.
In welke mate de Autoriteit Persoonsgegevens (AP) toezicht gaat houden op de AI-verordening, ligt dus nog niet vast. Als coördinerend algoritmetoezichthouder dragen we samen met andere partijen nu wel al bij aan de voorbereidingen. In mei heeft de AP samen met de RDI een advies uitgebracht aan de ministeries van EZK en BZK over hoe het toezicht op de AI-verordening goed geregeld kan worden. Dit werk doet de AP vanuit de directie Coördinatie Algoritmes (DCA).
De AP is wel al toezichthouder op de verwerking van persoonsgegevens door algoritmes.