Bram Volbeda – Business Consultant
Snellere en nauwkeurigere diagnoses in de gezondheidszorg of inbreuk op privacy door gezichtsher-kenningstechnologie? De opkomst van AI brengt zowel positieve als negatieve impact. De AI Act is een Europese Verordening die het gebruik van AI, Algoritmes en Machine Learning beperkt, en eist dat risico’s voor mens en maatschappij worden geminimaliseerd. De AI Act is bedoeld dit (beter) te reguleren. In deze blog wordt besproken wát de AI Act inhoudt en wat dit voor jouw organisatie betekent.
De nieuwe regels gelden voor iedereen die AI (1) ontwikkelt, (2) op de markt brengt of (3) inzet. De definitie uit de AI Act volgt die van de OECD (Organisation for Economic Co-operation and Development) en komt neer op:
“Een autonoom systeem dat gebaseerd op input van buitenaf een uitvoer genereert (zoals een besluit, aanbeveling, tekst of afbeelding), waarbij die uitvoer direct invloed heeft op de omgeving”.
De gebruikte technologie – neurale netwerken, machine learning, statistiek, expertsystemen of zelfs maar een Excelfilter – is in deze definitie niet relevant. Kernbegrip hierbij is “autonomie”, oftewel zonder volledig onder menselijke beheersing te staan.
De EU heeft met de AI Act een wereldprimeur; het is de eerste set aan regulaties die de risico’s van het gebruik van AI proberen in te perken én het gebruik ervan in bepaalde toepassingen aan banden legt of verbiedt. De EU erkent echter tegelijkertijd ook het belang van een gunstig economisch klimaat om een van de wereldleiders te blijven op het gebied van AI-innovatie.
Het doel van de AI Act is dat mensen en bedrijven in de EU kunnen rekenen op veilige, transparante, traceerbare, niet-discriminerende en milieuvriendelijke AI-systemen die onder toezicht staan van mensen.
LET OP: de AI Act is een verordening en heeft (lees: krijgt) daarmee dus directe werking in de Lidstaten. Vergelijk dit met de AVG die slechts een Nederlandse vertaling is van de GDPR , waarmee de GDPR zijn directe werking dus gestalte geeft.
Het is goed om te weten dat de AI Act onderscheidt gaat maken op basis van waar het AI-systeem voor wordt gebruikt. De AI Act identificeert hiertoe 3 risicovormen van AI:
Als een AI-systeem telt als hoog risico, dan moet het volgende geregeld zijn:
De extra regulaties hebben vooral een groot effect op de transparantie van deze modellen:
Belangrijk is dat volgens de wetgeving zowel de leveranciers (’providers’) als uitvoerders (’deployers’) eraan moeten gaan voldoen als het gaat om generatieve AI; modellen zoals het immens populaire ChatGPT.
Organisaties moeten gaan bepalen of hun AI-systemen een zogenaamd “High Risk” profiel hebben. Na de voorvraag (is het systeem überhaupt een AI) zijn er 3 opvolgende overwegingen die langsgelopen moeten worden:
Als de AI systemen in een van deze categorieën vallen behoeven ze goedgekeuring voordat ze gebruikt mogen worden. Deze goedkeuring zal worden gedaan door instanties die door de nationale overheden als marktregulators worden aangewezen, en worden ook geregistreerd in een EU-database.
Er zijn echter 4 uitzonderingen die maken dat een AI toch weer niet als “High Risk” wordt gekwalificeerd:
Uitstapje:
Er wordt nog onderzocht in hoeverre de AI Act (indirect) invloed heeft op de MDR (Medical Devices Regulation). Wetenschappelijk onderzoek speelt een cruciale rol bij het ontwikkelen van nieuwe medische hulpmiddelen. Hierbij kan AI gebruikt worden. Om de AI gebruiken zal het gevoed moetren worden met data. Indien dit klinische data betreft, dan is de kans klein dat het onder de AI Act valt. Ook als echte patiëntengegevens worden gebruikt kan bepaald worden dat het niet onder de AI Act valt, zoals het maar niet commercieel op de markt wordt gezet. Is dat wel het geval, dan is een CE-markering verplicht. En om die te krijgen zal de gebruikte AI moeten worden beoordeeld aan de hand van de regels van de AI Act.
Op 9 december 2023 hebben de Europese organen het voorstel voor de AI Act aangenomen. Er zullen echter nog verschillende tekstuele aanpassing gaan plaatsvinden en nog wat tegenstellingen van Lidstaten gladgestreken moeten worden. Daarna moet het nog in de verschillende talen worden verrtaald (en beoordeeld). Tot slot zal het in de Europese Staatscourant geplaatst moeten worden. De verwachting die men heeft is dat dit uiterlijk eind februari 2024 gereed is.
Er zal een transitieperiode gaan gelden voor met name de als “High Risk” gekwalificeerde AI’s van twee jaar. Gebaseerd op deze informatie kan logischerwijs de AI Act vanaf begin 2026 op zijn vroegst in effect zal gaan treden.
Een logische eerste stap is onderzoeken of jouw organisatie AI applicaties gebruikt in haar processen en om hier een inventarisatie van te maken. Met de inventarisatie in hand is het goed om te evalueren of één of meerdere applicaties geclassificeerd worden als ‘high-risk’ volgens de AI Act. Daarna stel je een voor alleen de ‘high-risk’ applicaties een voor AI op maat gemaakte DPIA op. Zo handelt uw organisatie altijd risicogebaseerd en zorgt u ervoor dat u compliant blijft met de AI Act.
Vervolgens kan er een plan worden opgesteld waarmee de integriteit en de vertrouwelijkheid van informatie gewaarborgd blijft en waarmee risico’s worden geminimaliseerd. Een manier om dit gestructureerd te doen en continu te blijven verbeteren (de wereld om ons heen verandert immers ook continu) is door een norm te implementeren.
Met de keuze voor een “Professional-as-a-Service”-rol kun je ook rekenen op andere expertise. Ons security team fungeert als een back-up voor complexe vraagstukken. Kies je voor een CISO? In de praktijk werkt deze vaak nauw samen met een Privacy Officer of Functionaris Gegevensbescherming. We beschikken over beide. Ons privacyteam beheert daarnaast een 24/7 datalek-telefoonlijn. Hiermee wordt dus ook buiten werktijden altijd aan de wettelijke meldingstermijn van 72 uur voldaan.
Benieuwd naar ons team en hoe we jouw organisatie effectief kunnen ondersteunen? Neem contact met ons op.
Blog geschreven door Bram Volbeda, Business Consultant
Volg onze Seminar over de nieuwe Cyber Securtiy eisen en zorg ervoor dat je bedrijf klaar is voor de nieuwe NIS2-richtlijnen.