Op 21 mei 2024 ondertekende de Raad van de Europese Unie (de Raad) formeel het laatste ontwerp van de Artificial Intelligence Act (AI Act) van de Europese Unie (EU). Dit betekent dat ’s werelds eerste AI-wet naar verwachting over een maand (gefaseerd) in werking zal treden. De AI-act moet ervoor gaan zorgen dat AI-systemen die op de EU-markt worden gebruikt, veilig zijn en de rechten en waarden van de EU respecteren, of die nou wel of niet in de Europese Unie zijn ontwikkeld. EU-burgers zijn hiermee beter beschermd tegen de risico’s die AI-systemen met zich mee kunnen brengen, bijvoorbeeld tegen discriminerende systemen, of falende apparatuur.
Petra Claessen, voorzitter BTG, ziet in de AI-act een goed signaal vanuit Brussel om complexe IT-zaken in Europees verband aan te pakken. “Met deze verordening toont de Europese Unie daadkracht in het reguleren van nieuwe technologische ontwikkelingen. Dit benadrukt het belang van een sterke Europese Unie, waarvoor we op 6 juni onze stem uitbrengen. Op diezelfde dag organiseren we ons BTG Business Event, wat de essentie van internationale samenwerking onderstreept. BTG is actief binnen en buiten onze landsgrenzen, met deelname in Intug en Euwena, waar BTG voorzitterschap voert. Samen met onze KMBG Groep fungeren we als brug naar Mission Critical & Business Critical, zowel nationaal als internationaal. Op deze manier behartigen we de belangen van onze gebruikers en partners op doeltreffende wijze.”
Ook staatssecretaris Alexandra van Huffelen is blij met de AI-verordening: “Veel Nederlandse voorstellen zijn tijdens de onderhandelingen binnen de Europese Raad uiteindelijk overgenomen. Deze voorstellen richtten zich vooral op het beschermen van mensenrechten (zoals voorstellen voor meer transparantie, en manieren om je recht te halen), het stimuleren van innovatie, het verbeteren van de capaciteiten van uitvoeringsorganisaties (zoals in rechtshandhaving) om hun taken uit te voeren, en toezicht. Nederland loopt al voor met het toepassen van de AI-verordening dankzij het algoritmeregister, het algoritmekader en het opzetten van toezicht op algoritmen.”
Wat zal er gebeuren zodra de AI-wet in werking treedt?
Zodra de AI-wet van toepassing wordt, zal deze een hele reeks nieuwe verplichtingen introduceren voor bedrijven die AI-systemen en General Purpose AI (GPAI)-modellen in de EU leveren, distribueren, importeren en gebruiken, met hoge boetes tot wel 35 euro. miljoen of zeven procent van de totale wereldwijde jaaromzet, afhankelijk van welke hoger is.
De eisen van de AI-wet zullen gefaseerd van toepassing worden, te rekenen vanaf de datum waarop de AI-wet in werking treedt (dwz 20 dagen na publicatie in het Publicatieblad van de EU):
- Na zes maanden, waarschijnlijk vóór eind 2024, zullen bepaalde toepassingen van AI (bijvoorbeeld AI-systemen die de kwetsbaarheden van individuen uitbuiten, het ongericht schrapen van gezichtsbeelden van internet of CCTV-beelden om databases voor gezichtsherkenning te creëren) in de EU verboden worden.
- Na een jaar, waarschijnlijk in het tweede kwartaal van 2025, zullen de vereisten met betrekking tot AI-modellen (GPAI) voor algemene doeleinden van kracht worden.
- Na twee jaar, waarschijnlijk in het tweede kwartaal van 2026, zullen de meeste regels voor AI-systemen met een hoog risico en AI-systemen met een specifiek transparantierisico van toepassing worden.
- Na drie jaar zullen er beperkte regels gelden voor AI-systemen met een hoog risico.
Er komt een extra respijtperiode voor AI-systemen en GPAI-modellen die al op de markt zijn op het moment dat de relevante vereisten van kracht worden. GPAI-modellen die in deze categorie vallen, krijgen nog eens twee jaar de tijd om aan de eisen te voldoen (dwz aanbieders van GPAI-modellen die vóór het tweede kwartaal van 2025 op de markt zijn gebracht, zullen waarschijnlijk in het tweede kwartaal van 2027 aan de eisen moeten voldoen).
- Exploitanten van risicovolle AI-systemen die in de EU worden aangeboden voordat de relevante eisen van toepassing worden (dat wil zeggen vóór het tweede kwartaal van 2026) zullen alleen aan de AI-wet hoeven te voldoen in het geval van een aanzienlijke ontwerpwijziging (bijvoorbeeld veranderingen in de het beoogde doel van het AI-systeem).
Als uitzondering hierop geldt dat als het in de EU aangeboden risicovolle AI-systeem bedoeld is om door de overheid te worden gebruikt, de aanbieders en exploitanten binnen zes jaar na de inwerkingtreding van de AI-wet aan de regels moeten voldoen ( dat wil zeggen rond het tweede kwartaal van 2030), ongeacht of er een significante ontwerpwijziging heeft plaatsgevonden of niet.
Voor meer informatie over de reikwijdte en vereisten van de AI-wet kunt u onze FAQ raadplegen over 10 dingen die u moet weten over de EU AI-wet .
Wat moeten bedrijven nu doen?
Bedrijven moeten beginnen met het uitvoeren van initiële beoordelingen om te bepalen of zij onder de AI-wet vallen. Bedrijven die mogelijk onder de reikwijdte van de AI-wet vallen, moeten gaan nadenken over het voldoen aan de eisen uit de AI-wet, bijvoorbeeld door een AI-governancebeleid op te stellen en intern rollen en verantwoordelijkheden toe te wijzen.
Dit is ook een goed moment om je voor te bereiden op de nieuwe verplichtingen voor aanbieders van GPAI-modellen, die in het tweede kwartaal van 2025 van toepassing zullen worden. In het bijzonder zullen aanbieders een samenvatting moeten publiceren van de inhoud die wordt gebruikt voor het trainen van hun GPAI-model. Aanbieders moeten toezicht houden op de activiteiten van het nieuwe EU AI-bureau, dat een sjabloon zal uitbrengen dat als leidraad zal dienen voor de openbaarmakingen die aanbieders zullen moeten doen.
De Europese Commissie heeft een AI-pact gelanceerd om bedrijven te helpen bij de implementatie van de AI Act-maatregelen. De activiteiten zijn georganiseerd rond het creëren van een netwerk om deelnemers aan te moedigen best practices en praktische informatie uit te wisselen, en ook om aanbieders en aanbieders van AI specifiek te ondersteunen bij het voldoen aan de relevante eisen.