De tekst van de AI Act is (inhoudelijk) definitief: wat zijn de hoofdlijnen?

Inmiddels is Artificial Intelligence (AI) niet meer weg te denken uit de huidige samenleving. AI heeft de manier waarop we naar informatietechnologie kijken veranderd en een vergaande invloed op verschillende aspecten van ons dagelijks leven. AI wordt namelijk niet alleen gebruikt voor het creëren van creatieve marketingteksten (ChatGPT), maar bijvoorbeeld ook door de overheid ingezet om uitkeringsfraude op te sporen. Daarom is het van belang dat het inzichtelijk is hoe een AI-systeem tot een besluit is gekomen, dat het systeem niet een discriminerende werking heeft en dat het uiteindelijke besluit (een persoon wordt aangemerkt als fraudeur) door tussenkomst van een mens plaatsvindt. De bedoeling is dat juist deze waarborgen worden gecreëerd met de nieuwe Europese wet voor AI, de zogenoemde AI Act.

Nadat de wetgevende instanties van de Europese Unie in december 2023 reeds een voorlopig politiek akkoord hadden bereikt over de AI Act, is nu ook de definitieve tekst van de AI Act uitgelekt. Alleen op taalkundig en technisch vlak kan de tekst nog worden aangepast voordat deze officieel wordt gepubliceerd.

Wij hebben de definitieve tekst van de AI Act voor u doorgenomen en zullen hierna de hoofdlijnen van deze AI Act voor u uiteenzetten.

Het doel van de AI Act is om de toepassing van mensgerichte en betrouwbare AI-systemen te bevorderen en tegelijkertijd te zorgen voor een hoog beschermingsniveau om burgers te beschermen tegen de (eventuele) schadelijke gevolgen van AI-systemen. De AI Act betreft een Europese verordening, waardoor deze (net als de Europese privacywet, de AVG) rechtstreeks van toepassing is in alle EU-lidstaten.

De AI Act geeft regels over de “AI-systemen”. In de AI Act is er sprake van een AI-systeem in het geval dat het gaat om systemen die: (1) met een bepaalde mate van autonomie opereren (denk hierbij aan de output die ChatGPT creëert zonder menselijke tussenkomst); (2) een bepaalde output genereren (zoals de tekst of afbeeldingen die ChatGPT genereert); en (3) de fysieke of de virtuele omgeving beïnvloeden (bijvoorbeeld het introduceren van nieuwe informatie bij ChatGPT). De definitie is daarmee zeer breed, waardoor de reikwijdte van de verordening ook groot is.

De verwachting is dat veel toepassingen onder de AI Act zullen vallen. Dit geldt in elk geval voor ChatGPT.

De AI Act ziet (onder meer) op de aanbieders en exploitanten van AI-systemen. De aanbieders zijn de partijen die de AI-systemen hebben ontwikkeld en op de markt hebben gebracht. Hierbij kan gedacht worden aan het bedrijf OpenAI dat ChatGPT heeft ontwikkeld. De exploitanten betreffen de gebruikers van de AI-systemen, bijvoorbeeld bedrijven die gebruikmaken van ChatGPT. De AI Act is niet van toepassing op natuurlijke personen die een AI-toepassing gebruiken voor persoonlijke (niet-professionele) doeleinden.

Afhankelijk van de risicocategorie waar het betreffende AI-systeem onder valt (zie hieronder), gelden voor de aanbieders en exploitanten van AI-systemen verschillende verplichtingen. Ten aanzien van AI-systemen met een hoog risico dienen aanbieders bijvoorbeeld een conformiteitsbeoordeling uit te voeren, een risicomanagementsysteem te implementeren en te voldoen aan transparantieverplichtingen. Exploitanten dienen onder meer de gebruiksaanwijzingen van de aanbieder op te volgen, te zorgen voor voldoende menselijk toezicht, automatisch logs bij te houden en in bepaalde gevallen een “Fundamental rights impact assessment” uit te voeren.

Wanneer exploitanten of aanbieders niet aan hun verplichtingen voldoen, dan kunnen zij een boete opgelegd krijgen van de nationale toezichthouder tot maximaal 35 miljoen euro of 7% van de wereldwijde jaaromzet. De wijze van handhaving lijkt hiermee op die van de AVG.

In de AI Act wordt een risicogebaseerde aanpak gehanteerd. Dit houdt in dat hoe groter het risico is van een AI-systeem, hoe hoger de eisen zijn die aan het AI-systeem worden gesteld. De volgende risicogroepen kunnen worden onderscheiden:

• Onaanvaardbaar risico

Op deze AI-systemen rust een volledig verbod. Het gaat hierbij bijvoorbeeld om manipulatieve systemen, exploitatie van kwetsbare groepen en social credit systemen.

• Hoog risico

De meeste verplichtingen in de AI Act zien op de hoog risico AI-systemen. Een overzicht van deze systemen is opgenomen in Annex III van de AI Act. Het gaat dan bijvoorbeeld om AI-systemen die betrekking hebben op kritieke infrastructuren, onderwijs, recruitment, sociale voorzieningen en kredietwaardigheid.

• Specifieke transparantieverplichtingen

Ten aanzien van deze categorie AI-systemen gelden alleen transparantieverplichtingen. Het gaat hierbij bijvoorbeeld om chatbots (ChatGPT) en deepfakes.

• Laag risico

Dit betreft de categorie AI-systemen die niet is ingedeeld in de bovenstaande risicogroepen. Hierbij kan gedacht worden aan spamfilters en videogames. Deze categorie is niet gereguleerd in de AI Act.

Het duurt nog even voordat de regels uit de AI Act daadwerkelijk van toepassing zijn. Nadat het Europees Parlement en de Raad van de Europese Unie de wet formeel hebben aangenomen en de verordening in werking treedt, zullen de regels gefaseerd van toepassing worden. Zes maanden na inwerkingtreding zullen regels ten aanzien van AI-systemen met een onaanvaardbaar risico gaan gelden (de verboden AI-systemen). Voor AI-systemen met specifieke transparantieverplichtingen geldt een termijn van één jaar na inwerkingtreding om aan de betreffende verplichtingen uit de AI Act te voldoen. Hoog risico AI-systemen dienen in beginsel twee jaar na inwerkingtreding compliant te zijn. Voor een specifieke categorie hoog risico AI-systemen geldt een termijn van drie jaar.

Wilt u meer informatie over wat de AI Act voor uw organisatie kan gaan betekenen? Neem dan contact op met onze ICT-recht  specialisten Hillie Lunter en Tom Klatter.