Blog Layout

AI Act

8 juni 2024

The Artificial Intelligence (AI) Act

Wat is de AI Act?

De AI Act is een wet die AI in de EU reguleert. AI is een populair onderwerp en van groot belang vanwege de brede toepassingen die het heeft. AI is eenvoudig te gebruiken en kost (op het gebied van geld) niets, want je betaalt met je data en kan je organisatie helpen verbeteren.

 

De snelle ontwikkeling en integratie van AI-systemen brengen echter ook uitdagingen en risico's met zich mee, zoals privacy kwesties en veiligheidsproblemen. Je betaalt bijvoorbeeld vaak met je data, zoals we al zeiden. Als je bekend bent met AI, machine learning (ML) en algoritmes, dan weet je dat de data die je in een AI (chat)bot stopt, gebruikt wordt om de algoritmes in te leren en te verbeteren. Regulering is dus een goed idee om ervoor te zorgen dat AI op een verantwoorde en ethische manier wordt ontwikkeld en toegepast.

 

Daarom heeft de Europese Raad op 21 mei 2024 de AI Act goedgekeurd (Endendijk, 2024). Deze wet is belangrijk, want het kan een internationale norm stellen voor de regulering van AI (AI Act, 2024). De AI Act heeft tot doel een evenwicht te vinden tussen innovatie en de privacy, rechten en veiligheid van burgers te waarborgen. De AI Act stelt regels voor bedrijven en ontwikkelaars om gebruikers te beschermen. Er zijn ook regels voor de gebruikers zelf.

 

Waarom komt de AI Act?
Het Europees Parlement wil dat AI-systemen in de EU veilig, transparant, traceerbaar, niet-discriminerend en milieuvriendelijk zijn, dus moeten ze onder toezicht staan van mensen, om zo schadelijke uitkomsten te beperken. Wij mensen zijn natuurlijk wel degelijk objectief... Dit besluit is best logisch, want kunstmatige intelligente (AI) is geen kunstmatig bewustzijn, dus voor enigszins een beetje ethiek moeten we toch bij mensen zijn. Bovendien heeft iedereen een eigen mening over AI en daarmee ook een eigen definitie. Om die reden streeft het Europees Parlement naar een technologie-neutrale en uniforme definitie voor AI die toepasbaar is op toekomstige AI-systemen. 

 

Belangrijkste bepalingen in de AI-Act.


Risiconiveaus
Er komen risiconiveaus en eisen voor het gebruik van AI. De nieuwe regels stellen verplichtingen vast voor aanbieders en gebruikers, afhankelijk van het risiconiveau van AI. Veel AI-systemen zijn niet gevaarlijk, maar ze moeten wel worden beoordeeld. Risiconiveaus zijn:

Onacceptabel risico: AI-systemen met een onaanvaardbaar risico zijn systemen die als een bedreiging voor mensen worden beschouwd en worden daarom verboden. Deze omvatten:

  • Cognitieve gedragsmanipulatie: AI-systemen die het gedrag van mensen of kwetsbare groepen beïnvloeden, zoals speelgoed dat kinderen aanmoedigt om gevaarlijk gedrag te vertonen.
  • Sociale classificatie: AI-systemen die mensen classificeren op basis van hun gedrag, sociaaleconomische status of persoonlijke kenmerken.
  • Biometrische identificatie en categorisatie: Systemen zoals gezichtsherkenning die individuen identificeren en categoriseren.


Er zijn uitzonderingen die kunnen worden toegestaan voor het handhaven van bepaalde wetten en politieonderzoek. Bijvoorbeeld het gebruik van biometrische identificatiesystemen op afstand, waarbij je, na een korte vertraging, wordt geïdentificeerd, zal in een aantal gevallen worden toegestaan bij het onderzoeken van ernstige misdrijven en alleen als de rechtbank het goedkeurt.

Hoog risico: AI-systemen die de veiligheid of fundamentele rechten negatief beïnvloeden worden als hoog risico beschouwd. Dit omvat onder andere AI in speelgoed, auto's, medische apparaten en belangrijke infrastructuur. Deze systemen moeten geregistreerd worden in een EU-database en worden beoordeeld voor en tijdens hun levenscyclus. AI-systemen die de veiligheid of de grondrechten in negatief beïnvloeden, worden als zeer gevaarlijk beschouwd en in twee categorieën onderverdeeld:

1)   AI-systemen die in producten worden gebruikt die onder de EU-wetgeving voor productveiligheid vallen. Hieronder vallen speelgoed, vliegtuigen, auto's, medische apparatuur en liften.

2)   AI-systemen die in een EU-database moeten worden geregistreerd, omdat zij worden gebruikt in specifieke en belangrijke gebieden. Deze omvat AI bij/in:

·     Het beheer en de exploitatie van kritieke infrastructuur.

·     Onderwijs en beroepsopleiding

·     Werk, het beheer van werknemers en toegang tot zelfstandig ondernemerschap

·     Het gebruik van essentiële particuliere diensten en overheidsdiensten en -uitkeringen.

·     Rechtshandhaving

·     Beheer van migratie, asiel en grenscontrole

·     Bijstand bij juridische interpretatie en toepassing van de wet.


Transparantie-eisen
Niet alle AI valt onder een bepaald risiconiveau. Het gebruik van Generatieve AI, zoals ChatGPT, is niet onder een bepaald risiconiveau, maar moet wel aan transparantie-eisen en EU-auteurswetgeving voldoen, waaronder het bekend maken dat de inhoud door AI is gegenereerd of gemodificeerd, AI inrichten dat het geen illegale inhoud genereert en samenvattingen publiceren die zijn gebruikt om het model te trainen/ in te leren . Ook moeten AI-modellen zoals GPT-4 goed worden geëvalueerd en ernstige problemen moeten gemeld worden aan de Europese Commissie.


Ondersteuning van innovatie
De wet geeft niet alleen regels, maar ook mogelijkheden. Nationale autoriteiten moeten bedrijven namelijk een testomgeving bieden die lijkt op de echte wereld. Dit maakt het mogelijk voor bedrijven en start-ups om AI-modellen te ontwikkelen en te testen voordat ze op de markt komen. Maak hier dus vooral aanspraak op bij de overheid 😊.

 

Tijdlijn AI Act
De Artificial Intelligence ( AI) Act zal 24 maanden na inwerkingtreding van kracht zijn, maar sommige onderdelen van de wet zijn eerder van toepassing.

  • Het verbod op AI-systemen met onacceptabele risico's gaat zes maanden na de inwerkingtreding in.
  • De gedragscodes zullen negen maanden na inwerkingtreding van kracht zijn.
  • Regels voor AI-systemen die aan transparantie-eisen moeten voldoen, worden 12 maanden na inwerkingtreding van kracht.
  • Hoogrisicosystemen krijgen meer tijd om aan de eisen te voldoen, namelijk 36 maanden na de inwerkingtreding (High-level Summary Of The AI Act | EU Artificial Intelligence Act, z.d.), (EU AI Act: First Regulation On Artificial Intelligence | Topics | European Parliament, 2023).


Wat betekent dit voor mijn bedrijf?

De AI Act zal dus nieuwe regels met zich meebrengen en dit betekent dat organisaties in Nederland hun AI-praktijken grondig moeten herzien en mogelijk aanpassen om te voldoen aan de nieuwe EU-regelgeving. Dit vraagt om een investering in risicobeoordeling, transparantie en naleving, maar het kan ook kansen bieden voor innovatie en groei. Als bedrijven voldoen aan de AI Act, kunnen ze het vertrouwen van consumenten en zakelijke partners vergroten, wat kan leiden tot betere klantrelaties en zakelijke kansen. Net zoals veiligheidscertificaten dit doen. Bovendien kan de AI Act, net als de GDPR, een internationale standaard worden. Dit kan ertoe leiden dat bedrijven die zich aan de AI Act houden, een betere positie kunnen innemen op internationale markten die vergelijkbare regelgeving aannemen.

Neem vooral de volgende aandachtsgebieden mee ter voorbereidingen op de AI Act.

 

·     Compliance en Regelgeving

Bedrijven dienen hun bestaande AI-systemen te herzien en aan te passen om aan de nieuwe regelgeving te voldoen. Dit betekent dat je de risico's moet beoordelen en de transparantie-eisen moet naleven. Bedrijven moeten weten wat het risiconiveau is van hun AI-systemen en zich houden aan de bijbehorende verplichtingen, zoals het registreren van hoog risico AI-systemen en het implementeren van maatregelen om risico's te minimaliseren. Ik weet dat het veel geld kost om systemen en processen aan te passen om aan de AI Act te voldoen. Maar ik wil benadrukken dat niet-naleving kan leiden tot boetes en andere sancties, wat grotere financiële consequenties kan hebben. Maak vooral een kosten-batenanalyse ;). 

 

Dit alles is niet iets wat je zomaar even doet. Daarom krijgen bedrijven een bepaalde tijd, zoals beschreven in ‘Tijdlijn AI Act’, om zich aan te passen aan de nieuwe regelgeving. Er moet tijdig worden begonnen met de aanpassingen om zo de deadlines te halen. Het is het beste om ook samen te werken met nationale toezichthoudende autoriteiten om naleving te waarborgen en voorbereid te zijn op mogelijke audits en inspecties.


 

·     Transparantie en Verantwoording

Er moet duidelijkheid zijn over de werking van de AI-systemen die binnen het bedrijf in gebruik zijn, inclusief het waarborgen van menselijk toezicht om zo schadelijke resultaten te voorkomen. Het is belangrijk dat bedrijven ook open en transparant zijn over het gebruik van AI, vooral als het gaat om generatieve AI-systemen zoals ChatGPT. Wanneer gebruikers interactie hebben met AI-gegenereerde content, moeten zij hiervan op de hoogte gesteld worden.

 

·     Verboden op bepaalde AI-systemen

Bedrijven moeten risicovolle AI-toepassingen/systemen, die onder de nieuwe wet verboden zijn, niet gebruiken. Bijvoorbeeld AI-systemen die gedragsmanipulatie en sociale scoring meten, zijn niet toegestaan onder de AI Act. Aan AI-systemen die in sectoren zoals gezondheidszorg, transport en rechtshandhaving worden gebruikt, zullen strenge eisen gesteld worden. Op deze systemen moeten dan ook uitgebreide tests en certificeringen worden uitgevoerd.

 

Het is van belang te vermelden dat deze punten helpen AI Act aware te worden en daarmee een begin te maken met compliant te worden. Als je de bovenstaande punten volgt, ben je niet automatisch AI Act compliant. Als je nog twijfelt of de AI die je gebruikt onder de AI Act valt, kun je de AI Act compliance checker gebruiken. Natuurlijk staan wij bij Cyberus ook altijd klaar om je te helpen!

 

References:

AI Act. (2024, 30 april). Shaping Europe’s Digital Future. https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai#:~:text=The%20AI%20Act%20is%20the%20first%2Dever%20comprehensive%20legal%20framework,powerful%20and%20impactful%20AI%20models.

Endendijk, L. (2024, 28 mei). Europese AI Act goedgekeurd. Digitale Overheid. https://www.digitaleoverheid.nl/nieuws/europese-ai-act-goedgekeurd/

EU AI Act: first regulation on artificial intelligence | Topics | European Parliament. (2023, 6 augustus). Topics | European Parliament. https://www.europarl.europa.eu/topics/en/article/20230601STO93804/eu-ai-act-first-regulation-on-artificial-intelligence

High-level summary of the AI Act | EU Artificial Intelligence Act. (z.d.). https://artificialintelligenceact.eu/high-level-summary/

 

AI in Cybersecurity

5 oktober 2024
AI in Cybersecurity

Zero Trust: Wat is het en waarom zou ik het gebruiken?

25 augustus 2024
Zero Trust: Wat is het en waarom zou ik het gebruiken?

Security Behavior & Culture

11 augustus 2024
Security Behavior & Culture

Digital Services Act

14 juli 2024
Digital Services Act (DSA)

Cyber Resilience Act

2 juli 2024
Cyber Resilience Act (CRA)

Digital Operation Resilicience Act (DORA)

21 juni 2024
Digital Operation Resilicience Act (DORA)

NIS2

14 juni 2024
NIS2... wat moet ik ermee?

Cyberus Beach Party

9 juni 2024
Cyberus Beach Event 

Information Security

7 juni 2024
Help! Wat kan ik zelf doen voor het verbeteren van mijn informatiebeveiliging? 

CISM vs CISSP

7 april 2024
CISM vs CISSP aan welke certificering heb je meer als cyber security consultant?
Meer posts
Share by: