Wat is het, wat verbiedt het en wat kan niet zomaar meer? Stephan van Hugten informeert je over de impact van de AI-verordening op jouw bedrijfsvoering en te realiseren businessplannen.
2023 was het jaar van de definitieve doorbraak van allerlei AI-tools. Tegelijkertijd was het een jaar waarin de gemoederen hoog opliepen in de discussie over wat AI allemaal wel en niet mag doen. Moet het in staat zijn om alle data maar op te slurpen die het kan krijgen om vervolgens resultaten uit te spugen als een modern orakel van Delphi? Iedereen wist eigenlijk dat het antwoord "nee" zou zijn, maar de meeste mensen wisten niet wat er na die "nee" zou moeten komen.
In een verbijsterend snel tempo (voor een regeringsorgaan) is de EU de eerste grote overheid die uitgebreide regelgeving heeft gepresenteerd over hoe bedrijven binnen de EU AI moeten en kunnen gebruiken in hun producten en diensten. Eigenlijk werden de eerste stappen naar de nieuwe AI-verordening al in 2021 genomen, maar ik ben er stellig van overtuigd dat het afgelopen jaar het bewustzijn heeft versterkt dat er dringend behoefte was aan duidelijkheid over het onderwerp. Kunstenaars, acteurs en privacy-activisten kwamen de afgelopen maanden in opstand. Met miljarden aan investeringen op het spel kon de EU niet langer wachten.
De AI-verordening (verder AI Act genoemd) is een reeks van regels die EU-leden in staat moeten stellen om veilig investeringen te kunnen doen in AI-ondersteunde hulpmiddelen en algoritmen. Het ethisch ontwikkelen en toepassen van zgn. AI systemen worden hiermee gewaarborgd.
Als EU-verordening is de wet meteen van kracht geworden vanaf de acceptatie in december 2023. Het vertelt bedrijven niet zozeer wat ze wel en niet kunnen doen met AI, maar stelt regels voor de risico's die gepaard gaan met het gebruik van AI. Door risicocategorieën toe te wijzen aan AI-systemen creëert het een kader van wat de lidstaten van de EU onaanvaardbaar, hoog risico of anders gebruik van AI vinden. Hiermee hoopt de EU een robuust investeringsklimaat voor hightech te creëren, terwijl deze technologie niet in de knoei gaat komen met fundamentele mensenrechten.
Er zijn verschillende onaanvaardbare toepassingen van AI zoals bepaald in paragraaf 5.2.2 (Titel II) van de wet. Kort gezegd kan AI niet worden gebruikt om:
Door dit te doen, hebben de EU-lidstaten zich ertoe verbonden hun landen niet te laten veranderen in een Black Mirror-aflevering (bijv. Nosedive), hoewel er enkele uitzonderingen mogelijk zijn zoals voor het opsporen en arresteren van enkele, gerichte personen die verdacht worden van ernstige misdaden zoals terrorisme.
De meest interessante risicocategorie voor bedrijven is die van hoogrisicotoepassingen van AI. Hoewel paragraaf 5.2.3 (Titel III) hierop ingaat, geeft Bijlage III (verwijzend naar artikel 6) een (voorlopig) complete lijst van wat hoogrisico AI-toepassingen zijn. Ongeveer de helft hiervan is meer van toepassing op lagere overheden en gaat over gelijke toegang tot openbare diensten en infrastructuur. De andere helft is waar het interessant wordt.
Vanaf nu kunt je AI niet zomaar gebruiken om:
Als jouw bedrijf een systeem ontwikkelt of gebruikt een van de bovenstaande zaken raakt, moet jouw bedrijf voldoen aan een lijst met aanvullende eisen die besproken worden in Bijlage IV tot VI (zie ook artikel 11). Dit artikel kan helaas niet verder ingaan op de complete lijst (maar zie de laatste paragraaf).
Er zijn verschillende stappen die jouw bedrijf kan ondernemen om te zien of het voldoet aan de nieuwe AI-verordening. Zelfs als je er zeker van bent dat jouw bedrijf geen hoogrisicotoepassingen heeft, moet je dit kunnen bewijzen als dit ooit wordt gecontroleerd. Hiervoor zou je, ongeacht of je al AI gebruikt of niet, altijd de volgende stappen moeten willen ondernemen in het kader van een solide IT-strategie:
Als jouw bedrijf al AI-systemen gebruikt, kun je nog een paar extra stappen nemen.
Hoewel de AI-verordening niet precies aangeeft HOE te voldoen, roept het wel op tot de implementatie van een "robuust kwaliteitsmanagementsysteem" om de juiste toepassing en ontwikkeling van AI-systemen te waarborgen. Er bestaan een aantal ISO-normen die jouw bedrijf kunnen helpen bij het creëren van zo'n robuust managementsysteem, met specifieke richtlijnen voor de technologische sector. Hieronder volgt een lijst van toepasselijke ISO-normen:
Ondanks dat dit nu officiële regelgeving is, zijn er geen kant-en-klare oplossingen om te implementeren. Net als bij de AVG kan de implementatie verwarrend zijn en veel bedrijven zullen tot op het laatst wachten met implementeren als de toezichthouder handhaving aankondigt. Laat dit niet zover komen.
Als jouw bedrijf voorop wil lopen in het beheer en implementatie van AI, neem dan gerust contact met mij op via stephan@boltit.nl om te bespreken hoe we jou vanuit de kennis en expertise in ons Bolt brein het beste kunnen helpen.
Na meer dan tien jaar als ontwikkelaar werkzaam te zijn geweest, wilde Stephan mensen en organisaties laten zien hoe gigantisch de mogelijkheden van nieuwe technologie zijn. Hij werd product owner. Als schakel tussen het ontwikkelteam en de klant kan hij op een toegankelijke manier laten zien wat technologie voor een organisatie kan betekenen en welke keuzes daarmee gepaard gaan. Over het algemeen beschouwt hij zichzelf als een tech-optimist en ziet hij de nieuwste AI/ML-trends als een kans om workflows te verbeteren.
Deze website gebruikt cookies en verzamelt daarmee informatie over het gebruik van de website om deze te analyseren en om er voor te zorgen dat je voor jou relevante informatie en advertenties te zien krijgt. Door hiernaast op akkoord te klikken, geef je aan akkoord te zijn met het gebruik van cookies en het verzamelen van informatie aan de hand daarvan door ons en door derden.