
Het is een verordening en geen richtlijn (zoals bijvoorbeeld de CSRD). Dat betekent dat de AI Act direct werking heeft in alle lidstaten en niet in nationale wetgeving hoeft te worden omgezet. Ieder bedrijf heeft er dus direct mee te maken. Wel geldt er een termijn waarbinnen geen sancties worden opgelegd. Zo hebben organisaties vanaf nu zes maanden om het gebruik van verboden systemen te staken.
Verbod, hoog risico of algemeen
Onder verboden AI-toepassingen vallen onder meer systemen die personen een bepaalde score toekennen op het gebied van sociale status of betrouwbaarheid en systemen die op basis van openbare beelden biometrische gegevens verzamelen. De meeste aandacht gaat uit naar zogeheten ‘hoogrisicotoepassingen’. Daaronder vallen alle toepassingen die automatisch individuele gegevens analyseren om daarmee zicht te krijgen op iemands werksituatie, economische situatie, gezondheid, gedrag, locatie en voorkeuren. Zulke systemen moeten aan eisen voldoen op het gebied van dataveiligheid en menselijk toezicht. De regels voor hoogrisicosystemen worden over enkele maanden van kracht.
Tot slot kent de verordening nog (lichtere) voorwaarden voor het gebruik van meer algemene AI-toepassingen zoals ChatGPT.
Onterecht gevoel van paraatheid
Volgens ADC vatten veel organisaties de regels te makkelijk op. “Veel organisaties denken aan deze eis te voldoen vanwege hun ervaring met eerdere regelgeving. Door deze denkwijze kan het zo zijn dat organisaties de verboden AI-praktijken onbewust nog gebruiken. Organisaties hebben een onterecht gevoel van paraatheid. Dat heeft gevolgen voor hun compliance”, zegt chief technology officer Casper Rutjes van ADC.
Organisaties hebben vaak nog geen controlesystemen en richtlijnen om het verantwoord gebruik van AI-praktijken te waarborgen en het risicomanagement optimaal uit te voeren. “Zeker omdat steeds meer software geleidelijk AI-functionaliteiten uitrolt in updates en het niet duidelijk is of, waar en in hoeverre AI wordt ingezet. Dit leidt tot risico’s, zoals non-compliance, potentieel hoge boetes en zelfs reputatieschade.”
Boetes voor het overtreden van de verordening kunnen oplopen tot € 35 miljoen.
Meer privacy en veiligheid
Consumenten hebben volgens ADC alleen voordelen van de nieuwe regels. “AI-praktijken die de autonomie, privacy of veiligheid van burgers in gevaar brengen, zijn vanaf nu verboden. In de verordening is een specifieke lijst opgesteld wat niet meer mag. Dit komt neer op een verbod op discriminatie, uitbuiting van kwetsbaarheden, bedreigingen voor de persoonlijke veiligheid, en het veroorzaken van machts-, hulpbronnen- of invloedsonbalans. Het verbod verhoogt dus de privacy en veiligheid van burgers.”
Organisatie op orde brengen
De AI Act schrijft niet alleen voor wat wel en niet mag, maar ook dat organisaties moeten werken aan de AI-geletterdheid. “Vaak laten organisaties hun AI-geletterdheid alleen door specialisten verankeren, zoals data scientists. Maar omdat steeds meer werknemers AI gebruiken, is het cruciaal dat zij ook weten hoe ze AI effectief gebruiken en wat de risico’s zijn. Het opbouwen van AI-geletterdheid is niet langer optioneel; het is noodzakelijk om compliant en relevant te blijven”, aldus Rutjes.
Geef een reactie