Partnerbijdrage van

Compliant met de AI Act: easy-peasy of werk aan de winkel?

Mariëlle Trimbos-Hartman, advocaat in dienstbetrekking Stedin Groep Op 1 augustus 2024 is de langverwachte AI-Verordening (ook wel AI Act genoemd en hierna de ‘verordening’) in werking getreden. Het wetgevingsproces heeft ruim drie jaar geduurd. De verordening heeft rechtstreekse werking, wat inhoudt dat de verordening niet in nationaal recht hoeft te worden geïmplementeerd. Dit artikel biedt een aantal praktische handvatten zodat je als bedrijfsjurist je organisatie kunt helpen compliant te worden met deze nieuwe regelgeving. Dit gaat niet alleen IT-juristen aan. AI zal in de toekomst in al onze processen verwerkt zitten - voor zover dat nu nog niet het geval is. Denk aan zoekmachines, communicatie- en marketingtools, inkoop- en verkooptrajecten en recruitment- en HRM-processen. Iedere bedrijfsjurist moet daarom minstens basiskennis hebben van deze nieuwe Europese wetgeving.

Delen:

Mariëlle Trimbos-Hartman, advocaat in dienstbetrekking Stedin Groep

Waar te beginnen? Inventariseren en registreren

Afhankelijk van de rol van je organisatie kan de AI Act behoorlijk wat impact hebben. Om als bedrijfsjurist te kunnen adviseren over de verplichtingen die uit de verordening voor jouw organisatie voortvloeien, heb je eerst een inventarisatie nodig van de verschillende AI-systemen die de organisatie gebruikt en die de organisatie zelf ontwikkelt en/of op de markt brengt. Het is aan te raden om deze op te nemen in een register voor latere raadpleging. Mogelijk kan je aansluiting zoeken bij het verwerkingsregister, dat organisaties al ingericht hebben op grond van de algemene verordening gegevensbescherming (AVG). Let hierbij ook op het verschil tussen AI-systemen en AI-modellen voor algemene doeleinden. AI-modellen voor algemene doeleinden kunnen geïntegreerd worden in een verscheidenheid aan AI-systemen (voorbeeld: het AI-(taal)model GPT-4, ontwikkeld door OpenAI, is geïntegreerd in verschillende AI-systemen zoals ChatGPT, Microsoft Copilot en Bing Chat)). Hiervoor zijn in de verordening bijzondere bepalingen opgenomen: artikel 51 e.v. De informatie over de eigen ontwikkelde AI-systemen bevindt zich binnen je organisatie. De informatie over de AI-systemen die worden gebruikt in producten en (IT-)diensten, bevindt zich bij de leveranciers. Wanneer je organisatie beschikt over een inkoopafdeling, kan die afdeling je helpen de leveranciers aan te schrijven en te vragen om informatie aan te leveren over de AI die zij in hun producten en diensten verwerken. Daarbij is het verstandig om de leverancier te vragen in welke risico-categorie van de verordening hun AI-systeem (dat in een product of dienst is verwerkt) valt.

Classificeren

Om te weten welke verplichtingen uit de verordening van toepassing zijn, moet je weten in welke categorie een AI-systeem valt. De verordening kent de volgende risico-categorieën: laag risico, hoog risico en verboden AI-praktijken. In artikel 5 van de verordening worden de verboden AI praktijken opgesomd (onder meer misleiding, uitbuiting, social scoring). Hoog risico AI systemen houden verband met producten die vallen onder Bijlage I, of zijn vermeld in Bijlage III (tenzij er géén significant risico op schade voor de gezondheid, veiligheid of de grondrechten van natuurlijke personen is). Alle overige AI-systemen zijn ten slotte in beginsel als laag risico aan te merken.

Tijdlijn – Eerste deadline: staken verboden AI-systemen en AI-geletterdheid

Vanaf 2 februari 2025 moet het gebruik van verboden AI-systemen zijn gestaakt. Bij overschrijding van deze deadline volgt een waarschuwing, een andere non-monetaire maatregel, of er kan een boete (van 35 miljoen euro of maximaal 7% van de totale wereldwijde jaarlijkse omzet voor het voorafgaande boekjaar van een onderneming) worden opgelegd. Vanaf 2 februari 2025 geldt ook de verplichting voor aanbieders en gebruiksverantwoordelijken van AI-systemen om te zorgen voor een toereikend niveau van AI-geletterdheid bij hun personeel en andere personen die namens hen AI-systemen exploiteren en gebruiken (artikel 4 verordening). Daarbij moeten zij rekening houden met de technische kennis, ervaring, onderwijs en opleiding en de context waarin de AI-systemen zullen worden gebruikt. Ook moeten zij rekening houden met de personen op wie de AI-systemen invloed gaan hebben (klanten, werknemers). Vanaf 2 augustus 2025 treden vervolgens de verplichtingen voor AI-modellen voor algemene doeleinden in werking. Op 2 augustus 2026 moeten organisaties voldoen aan de bepalingen over laag risico en hoog risico AI-systemen (Bijlage III verordening). De sanctie hiervoor is 15 miljoen euro of 3% van de omzet. Overigens is voor bestaande hoog risico AI-systemen geregeld dat zij alleen onder de verordening vallen wanneer het ontwerp of het beoogde doel van het AI-systeem na de datum waarop de verordening van toepassing werd nog zijn gewijzigd. Voor AI-modellen voor algemene doeleinden die vóór 2 augustus 2025 in de handel zijn gebracht of in gebruik zijn genomen, en voor hoog risico AI-systemen die door de overheid al werden ingezet vóór 2 augustus 2027 gelden bijzondere termijnen (resp. 2027 en 2030).

Lees het volledige artikel op de website van NGB

Delen:

NGB

Het NGB is dé beroepsvereniging voor bedrijfsjuristen. Door opleidingen en bijeenkomsten stelt het NGB jou als bedrijfsjurist in staat je professionele kennis en kunde…

Meer berichten van partner

Scroll naar boven