Sinds 1 augustus is de AI Act officieel van kracht in de Europese Unie, wat nieuwe juridische uitdagingen met zich meebrengt voor bedrijven die AI gebruiken.
De AI Act streeft ernaar een balans te vinden tussen het stimuleren van innovatie door middel van AI en het waarborgen van bescherming tegen de potentiële risico’s die het gebruik van AI met zich meebrengt. Tegen die achtergrond legt de nieuwe Europese verordening bepaalde verplichtingen op die variëren afhankelijk van het risiconiveau dat aan de gebruikte AI-systemen verbonden zijn. In deze blogpost helpen we je op weg om ervoor te zorgen dat jouw onderneming weet waaraan te voldoen onder de nieuwe regelgeving.
Identificeer welke AI-systemen jouw bedrijf allemaal gebruikt
De eerste oefening die je best maakt, is het in kaart brengen van alle AI-systemen die binnen je onderneming worden gebruikt. Afhankelijk van het risiconiveau van een AI-systeem, gelden andere regels. We overlopen de verschillende categorieën hieronder.
Laag risico
Voor AI-systemen waar slechts een laag risico aan verbonden is, gelden enkel transparantie- en informatievereisten. AI-algoritmen die op platforms zoals Spotify of Netflix suggesties doen voor muziek of films op basis van je geschiedenis vallen onder deze categorie. Maar ook ChatGPT of een tijdregistratiesysteem op basis van AI, waarvan jouw bedrijf mogelijk al gebruik maakt, kwalificeert als een laag risico systeem.
Aanbieders van AI-systemen moeten er in elk geval voor zorgen dat mensen die het systeem gebruiken, weten dat ze met een AI-systeem te maken hebben. Maakt je website bijvoorbeeld gebruikt van een AI gedreven chatbot? Dan moet een disclaimer voorzien zijn. Vooraleer je onderneming gebruik maakt van een bepaalde AI-toepassing, controleer je dus best of de aanbieder van het AI-systeem daarvoor gezorgd heeft. Aanbieders van AI-systemen die audio- beeld- video- of tekstinhoud genereren moeten hun output ook markeren als kunstmatig. Als AI slechts een ondersteunende functie vervult of als de bewerkingen door AI niet substantieel zijn, dan is een expliciete vermelding evenwel niet nodig.
Gebruikt je onderneming AI-toepassingen die emoties herkent of biometrische gegevens verwerkt? Dan moet je de betrokken personen informeren over de concrete werking van het AI-systeem. Bij het gebruik van deep fake content moet je dan weer bekend maken dat het om kunstmatige content gaat.
Hoog risico AI
AI-toepassingen die een belangrijke impact kunnen hebben op de “rechten en vrijheden” van personen of de veiligheid van de samenleving worden gekwalificeerd als hoog risico AI. Een voorbeeld van een AI-systeem met hoog risico is een AI-toepassing die zou worden gebruikt voor het beheer van het luchtverkeer. Fouten in het systeem zouden immers kunnen leiden tot ernstige ongelukken.
Als het AI-systeem de uitkomst van de menselijke besluitvorming echter niet wezenlijk beïnvloed, dan wordt het systeem toch niet als hoog risico AI beschouwd. Als het AI-systeem bijvoorbeeld enkel een beperkte procedurele taak uitvoert, dan zal er geen sprake van een hoog risico.
AI-toepassingen met een hoog risico zijn niet verboden, maar moeten naast de transparantie- en informatieverplichtingen die gelden voor laag risico AI voldoen aan strikte eisen en moeten grondig gecontroleerd worden voor ze worden ingezet.
Zo moeten aanbieders van deze AI-toepassingen een risicobeheersysteem opzetten. Dit betekent dat ze de redelijkerwijs te voorzien risico’s moeten inschatten en analyseren, en passende maatregelen moeten vaststellen om deze risico’s te beheersen. Daarnaast moeten de datasets die worden gebruikt om AI-modellen voor hoog risico systemen te trainen, voldoen aan strikte kwaliteitsnormen. De AI-Act vereist ook expliciet dat er altijd menselijk toezicht mogelijk moet zijn op deze systemen.
Wanneer je als onderneming hoog risico AI wil gebruiken, ben je verplicht je werknemers hier vooraf over te informeren. Als “gebruikersverantwoordelijke” sta je er verder voor in dat het menselijk toezicht op het AI-systeem wordt uitgevoerd door mensen die over de nodige bekwaamheid, opleiding en autoriteit beschikken en moet je passende maatregelen nemen om te waarborgen dat het systeem gebruikt wordt in overeenstemming met haar gebruiksaanwijzingen.
Het is onmogelijk om in deze blogpost alle vereisten voor hoog risico AI volledig te behandelen, maar laat het duidelijk zijn dat de AI Act het gebruik van hoog risico AI nauwgezet heeft willen regelen.
Verboden AI
De AI-Act verbiedt bovendien het gebruik van bepaalde AI-systemen.
Zo mag een AI-systeem menselijk gedrag niet op een onmerkbare manier manipuleren. In de AI-Act wordt dit “het gebruik van subliminale technieken” genoemd. Een AI-systeem dat subtiele visuele signalen in advertenties zou verwerken om consumenten onbewust te beïnvloeden om producten te kopen die ze anders niet zouden kopen, is dus verboden.
Verder is het ook verboden AI in te zetten om het gedrag van mensen systematisch te evalueren en hen op basis daarvan te bestraffen of te belonen (ook “social crediting” genaamd). Een sociale kredietscore zoals in China waarbij burgers met behulp van AI strafpunten krijgen wanneer zij bijvoorbeeld schulden te laat betalen of verkeersregels niet naleven en op basis daarvan al dan niet toegang krijgen tot bepaalde diensten of rechten is, gelukkig maar, niet toegelaten binnen de Europese Unie.
De AI Act verbiedt ook het gebruik van AI voor biometrische identificatie op afstand in openbare ruimten. Denk hierbij aan een AI-systeem dat gezichtsherkenningstechnologie gebruikt om iedereen die een bepaalde openbare ruimte binnenstapt te identificeren.
Nogal evident is ook AI die kwetsbare groepen zoals kinderen of mensen met een beperking manipuleert verboden. Een speelgoedrobot die kinderen verleidt om persoonlijke informatie te delen zonder dat zij daarvan de implicaties begrijpen is bijvoorbeeld niet toegestaan.
Dergelijke AI-toepassingen mogen dus in elk geval niet gebruikt worden door je onderneming, maar wellicht was je dit ook niet van plan.
Sensibilisering
Om aan bovenstaande verplichtingen te voldoen is het belangrijk dat ook alle medewerkers op de hoogte zijn van de verplichtingen voor het bedrijf en de impact daarvan op hun dagelijkse werkzaamheden. Bewustwording creëren is een must.
Een duidelijke interne communicatie over de nieuwe AI Act en de manier waarop je bedrijf zich concreet zal confirmeren aan de opgelegde verplichtingen is eerste goede stap. Maar een AI-training met een bijhorend uitgeschreven AI-beleid is wellicht de meest doeltreffende bewustwordingscampagne.
Conclusie
Het gebruik van AI brengt voortaan ook juridische verplichtingen met zich mee. Gebruikt je onderneming al AI-toepassingen maar hield je tot nu toe nog geen rekening met de verplichtingen overeenkomstig de AI Act? Dan begin je daar best alsnog zo snel mogelijk mee. Op die manier zorg je ervoor dat AI op een ethisch verantwoorde en veilige manier wordt ingezet binnen je organisatie.
Vragen over de juridische implicaties van AI-gebruik? We helpen je graag verder.