Al in april 2021 heeft de Europese Commissie een voorstel van Verordening inzake artificiële intelligentie gepubliceerd, intussen gekend als de Artificial Intelligence Act (“AIA”). De AIA zou de eerste globale wetgeving zijn die horizontale regels vastlegt voor de ontwikkeling, het op de markt brengen en het gebruik van AI-systemen.
Wat?
De technologie van artificiële intelligentie ("AI") speelt een centrale rol in de digitale transformatie, omdat zij een brede waaier aan economische en maatschappelijke voordelen oplevert voor een groot aantal (private en publieke) sectoren. AI maakt bijvoorbeeld automatisering, slimme besluitvorming, voorspellingen, betere klantervaringen en efficiënt onderzoek mogelijk.
De AIA maakt deel uit van de ruimere Europese AI-strategie en het Europees pakket inzake AI, waarmee de EU een wereldleider wil worden in de ontwikkeling van veilige, betrouwbare en ethische AI. De AIA legt verplichtingen op aan verschillende actoren die zijn betrokken bij de ontwikkeling, het op de markt brengen en het gebruik van AI-systemen, afhankelijk van de omvang en intensiteit van het risico dat het AI-systeem met zich meebrengt.
Verplichtingen?
- De AIA gaat uit van een risicogebaseerde aanpak en introduceert een classificatie van verschillende AI-systemen. Verschillende "risiconiveaus" (minimaal, beperkt, hoog en onaanvaardbaar risico) gaan gepaard met verschillende eisen en verplichtingen.
Zo kunnen AI-systemen met een hoog risico alleen door aanbieders op de EU-markt worden gebracht als zij voldoen aan diverse strenge dwingende eisen (zoals het doorlopen van een conformiteitsbeoordelingsprocedure, het beschikken over een kwaliteitsmanagementsysteem en technische documentatie). Daarnaast kunnen zulke AI-systemen met een hoog risico enkel in gebruik worden genomen onder bepaalde voorwaarden (zoals het gebruik van het AI-systeem in overeenstemming met gebruiksvoorwaarden of het uitvoeren van een fundamental rights impact assessment). Zo zullen bijvoorbeeld een CV-screeningtool en een AI-gebaseerd beoordelingssysteem voor kredietaanvragen als AI-systemen met hoog risico beschouwd worden.
- De AIA verbiedt AI-systemen die een onaanvaardbaar risico inhouden, zoals (i) AI-gebaseerde social scoring (onder bepaalde voorwaarden), en (ii) real-time biometrische systemen voor identificatie op afstand in openbare ruimten.
- AI-systemen die bedoeld zijn om te interageren met mensen, systemen voor emotieherkenning en biometrische categoriseringssystemen, en AI-systemen die worden gebruikt om beeld-, audio- of video-inhoud te genereren of te manipuleren (bijvoorbeeld deep fakes), zullen aan geharmoniseerde transparantieregels worden onderworpen.
- Daarnaast gelden eveneens transparantie- en andere specifieke verplichtingen in de context van generatieve AI (bijvoorbeeld ChatGPT en DALL-E) en foundation models (bijvoorbeeld GPT-4).
- De AIA voorziet in de oprichting van een nieuw Europees Comité voor Artificiële Intelligentie (“Comité”), bestaande uit onder andere vertegenwoordiger(s) van elke nationale toezichthoudende autoriteit, de Europese toezichthouder voor gegevensbescherming, de Europese Commissie ENISA en FRA. Het Comité zal onder meer bevoegd zijn om adviezen, aanbevelingen en richtsnoeren uit te brengen over de uitvoering van de wetgeving en zal bijdragen aan een vlotte samenwerking tussen de nationale toezichthoudende autoriteiten en de Commissie. Net als de nationale toezichthoudende autoriteiten in het kader van de AVG, houden de nationale AI-autoriteiten toezicht op de toepassing en de tenuitvoerlegging van de AIA. Spanje is België al een stap voor en heeft reeds een dergelijke toezichthoudende AI-autoriteit opgericht.
Wie?
De AIA heeft een ruim toepassingsgebied en zal van toepassing zijn op:
- aanbieders: ontwikkelen of beschikken over een AI-systeem dat is ontwikkeld met het oog op het – al dan niet tegen betaling – in de handel brengen of in gebruik stellen onder de eigen naam of merknaam;
- gebruikers/implementeerders: gebruiken een AI-systeem onder eigen verantwoordelijkheid, tenzij het AI-systeem wordt gebruikt in het kader van een persoonlijke niet-beroepsactiviteit; en
- gemachtigden: verkregen een schriftelijke machtiging van een aanbieder van een AI-systeem om namens hem de verplichtingen en procedures van de AIA respectievelijk na te komen en uit te voeren.
Daarnaast legt de AIA eveneens bepaalde verplichtingen op aan importeurs en distributeurs van AI-systemen, en aan fabrikanten van producten.
Net als de Algemene Verordening Gegevensbescherming, zal de AIA een extraterritoriale werking hebben. Een “Brussel-effect” valt dan ook te verwachten, en lijkt zich zelfs reeds te manifesteren, gelet op de recente executive order van president Biden en de Bletchley Declaration van de landen die de AI Safety Summit in het Verenigd Koninkrijk bijwoonden in november 2023.
Sancties?
De niet-naleving van de AIA kan verschillende sancties tot gevolg hebben. Zo kan een nationale toezichthoudende autoriteit corrigerende maatregelen nemen (zoals het uit de handel halen van het AI-systeem). Daarnaast moeten de lidstaten eveneens administratieve boetes vastleggen binnen de drempels vastgelegd in de AIA (maximaal tot 40 miljoen euro of 7% van de wereldwijde jaaromzet). Ten slotte moeten de lidstaten ook (effectieve, evenredige en afschrikwekkende) straffen bepalen en afdwingen.
Wanneer?
Op 8 december 2023 werd tijdens de vijfde ronde van de trialoog tussen de Europese Commissie, de Raad en het Europees Parlement een politiek akkoord bereikt over het voorstel van AIA. Het voorstel moet nog wel officieel worden aangenomen. Hou er wel rekening mee dat de meeste bepalingen van de AIA pas in werking zullen treden na een periode van 24 maanden (behalve bijvoorbeeld governance-bepalingen).
Welke actie onderneemt u best nu al?
Gelet op onder meer (i) het aantal verplichtingen dat de AIA oplegt aan onderworpen entiteiten, en (ii) de hoge administratieve boetes die de entiteiten boven het hoofd hangen bij niet-naleving van de AIA, raden wij u aan om meteen actie te ondernemen en om reeds in overeenstemming met de AIA te handelen. Zo kan u bijvoorbeeld al een inventaris opstellen van uw AI-systemen met de bijhorende risico-analyses, de noodzakelijke beleid-sets opstellen, of de vereisten van de AIA implementeren bij de (verdere) ontwikkeling van uw AI-systemen.
Ons team staat alvast klaar om jullie met een multidisciplinaire aanpak hierin bij te staan. Zo kunnen wij jullie adviseren en bijstaan in het maken van de nodige analyses en op te stellen documentatie.