Naleving van de AI-wet Deel 4: Essentiële strategieën

november 18, 2024

Nu onze AI Act blogserie ten einde komt, onderzoeken we in dit vierde en laatste deel een aantal van de belangrijkste strategieën die u kunt implementeren om met uw bedrijf voorop te blijven lopen en te voldoen aan de AI Act van de EU. 

Voor organisaties die AI-systemen ontwikkelen of inzetten, is het voorbereiden van compliance waarschijnlijk zowel een complex als veeleisend proces, in het bijzonder voor de organisaties die te maken hebben met hoog risico systemen. Maar compliance moet niet gezien worden als alleen een checklist met punten om af te vinken. Het is een kans om voorop te lopen bij verantwoordelijke AI-innovatie en zo vertrouwen op te bouwen bij zowel gebruikers als regelgevers. 

Door compliance te omarmen als katalysator voor een meer transparant gebruik van AI, kunnen bedrijven de regelgevende eisen omzetten in een concurrentievoordeel. 

Voordat we in de specifieke vereisten van de essentiële compliancestrategieën duiken, geven we eerst een kort overzicht van de belangrijkste punten die we eerder hebben besproken: 

De EU AI Act wordt in augustus 2026 van kracht

Er zijn bepaalde bepalingen die al eerder in werking treden, zoals het verbod op systemen die ongeoorloofde functies uitvoeren. Het is belangrijk dat organisaties ervoor zorgen dat ze zichzelf voldoende tijd en middelen gunnen om aan alle aspecten van de AI Act implementatiedeadlines te voldoen. 

Voor meer gedetailleerde tips over de deadlines, de risicogebaseerde classificatie en de nalevingsverplichtingen, kunt u de eerdere delen van deze blogserie lezen: 

Naleving van de AI Act blogserie

Laten we nu eens kijken naar een aantal essentiële strategieën die u kunt implementeren ter ondersteuning van uw naleving van de AI Act. 

Essentiële strategieën voor naleving van de AI Act 

1. Bewust maken en trainen van personeel

Alle organisaties die van plan zijn om AI-systemen te gaan gebruiken, in welke hoedanigheid dan ook, zouden wat tijd moeten besteden aan het overdenken van de potentiële impact van die systemen en aan het bewust maken en trainen van de werknemers. 

Training is essentieel om ervoor te zorgen dat alle teamleden hun rol voor de naleving begrijpen en goed toegerust zijn om de vereisten van de AI Act te implementeren. 

Een compleet trainingsprogramma moet de belangrijkste vereisten van de AI Act uitleggen en rolspecifieke informatie opnemen. AI-ontwikkelaars hebben bijvoorbeeld een grondigere technische training nodig, waar Compliance Officers zich meer kunnen richten op de documentatie en wettelijke verplichtingen. 

Het trainingsprogramma voor de werknemers moet toegesneden zijn op de specifieke risico’s die horen bij het soort gegevens dat verwerkt wordt en het beoogde gebruik van het systeem. Bijvoorbeeld: werknemers die werken met systemen die een grotere impact hebben op individuen, zoals systemen die beslissingen nemen over de kredietwaardigheid, hebben wellicht een meer uitgebreide training nodig dan werknemers die verantwoordelijk zijn voor minder gevoelige functies. 

2. Zorg voor een sterke governance 

Voor organisaties die systemen leveren of inzetten die geclassificeerd zijn als hoog risico of als General Purpose AI (GPAI), is het zorgen voor een sterke governance essentieel om naleving aan te tonen en te onderhouden. Zonder bepaalde elementen zullen organisaties met de specifieke vereisten van de AI Act worstelen en wellicht niet de benodigde nalevingsdocumentatie bijhouden. 

Om deze sterke basis van governance op te bouwen en te behouden, dienen organisaties goed te letten op de volgende belangrijke gebieden: 

  • Implementeren van effectieve risico- en kwaliteitsbeheersystemen 
    Deze systemen zijn van cruciaal belang voor het toezicht op en het minimaliseren van de risico’s en om ervoor te zorgen dat problemen zo snel mogelijk vastgesteld en opgelost kunnen worden 
  • Zorgen voor robuuste cyberbeveiliging en gegevensbescherming, zodat gevoelige persoonsgegevens beveiligd en beschermd zijn tegen datalekken 
  • Ontwikkelen van verantwoordelijkheidsstructuren met duidelijke lijnen van verantwoordelijkheid, zodat de inspanningen op het gebied van naleving goed gecoördineerd en effectief zijn 

Monitoren van de AI-systemen op een regelmatige en doorlopende basis, en rapporteren over de prestaties en nalevingsstatus 

Het belang van robuuste cyberbeveiliging en gegevensbescherming 

Om te voldoen aan de strenge vereisten van de AI Act, dienen organisaties prioriteit te geven aan een sterke cyberbeveiliging en gegevensbescherming. Dit houdt in dat er effectieve risico- en kwaliteitsbeheersystemen worden ingevoerd, tot in de kern van uw activiteiten.  

Zonder deze praktijken lukt het organisaties wellicht niet om te voldoen aan de specifieke vereisten van de AI Act en zal het lastig worden om de overige vereiste nalevingsdocumentatie op te leveren en bij te houden. 

Wat betreft de cyberbeveiliging moet de uitvoering bestaan uit het implementeren van een robuuste infrastructuurbeveiliging met strikte toegangscontroles, een gedetailleerd plan hoe te reageren op een incident, en het regelmatig uitvoeren van beveiligingsaudits om kwetsbaarheden op te sporen. 

Wat betreft de vereisten voor gegevensbescherming van de AI Act, komen deze op een aantal gebieden en wat betreft belangrijke principes overeen met de Algemene Verordening Gegevensbescherming (AVG), met name wat betreft transparantie en verantwoordelijkheid. 

Waar de AVG gericht is op het beschermen van persoonsgegevens, gaat de AI Act over de bredere ontwikkeling en regulering van AI-systemen. Dit omvat niet alleen het beveiligen van persoonsgegevens, maar ook het beheersen van de algehele AI-risico’s om zo de eerlijkheid te waarborgen, schade te voorkomen en transparantie te stimuleren. 

U kunt de principes van de AVG en de huidige gegevensbeschermingspraktijken gebruiken als ondersteuning van de naleving van de AI Act door ‘Privacy by Design’ te integreren in uw AI-systemen, impact assessments uit te voeren voor AI-toepassingen met een hoog risico, en door een duidelijke documentatie bij te houden van de gegevensbeschermingsactiviteiten. 

3. Bereid u voor op de komende richtlijnen en templates 

Beschikbaar in de komende maanden – De EU ontwikkelt specifieke praktijkcodes en documentatietemplates om organisaties te helpen om te voldoen aan hun nalevingsverplichtingen.  

We zullen hierover updates geven in toekomstige blogposts zodra deze beschikbaar komen. 

4. U houden aan de ethische AI-principes en -praktijken

Hoewel de richtlijnen en praktische toepassingen van de AI Act nog gedefinieerd moeten worden, zijn de kernprincipes al duidelijk en weergegeven in verschillende verantwoordelijke en ethische AI-kaders. Voor organisaties die overwegen significant gebruik te maken van AI – met name als daar persoonsgegevens bij betrokken zijn of als het invloed heeft op individuen – is het van cruciaal belang om te begrijpen hoe een AI-systeem werkt, wat het beoogde doel is en wat de beperkingen ervan zijn. Deze aspecten documenteren is niet alleen in lijn met best practices, maar is ook een goede basis voor verantwoordelijkheid. 

Organisaties moeten er ook voor zorgen dat ze de transparantievereisten naleven onder de bestaande privacywetgeving, naast de specifieke vereisten van de AI Act. 

Daarnaast is het essentieel om een risicobeoordeling uit te voeren wat betreft de mogelijke impact van het AI-systeem op zowel individuen die het gebruiken als op de verantwoordelijkheid en reputatie van de organisatie mocht er iets misgaan. Deze proactieve benadering van AI-governance is zeer nuttig en kan voor het grootste deel geïmplementeerd worden zonder dat het nodig is dit toe te spitsen op specifieke regelgeving. 

5. Maak gebruik van de hulp van een expert  

Er zijn bepaalde middelen beschikbaar die u kunnen helpen bij uw nalevingstraject. 

De EU AI Act Compliance Checker is een tool die is ontworpen om organisaties te helpen verifiëren dat het AI-systeem voldoet aan de regelgevende vereisten. 

Maar let op: de nuances van de AI Act zijn complex. We raden daarom alle organisaties die twijfelen aan de reikwijdte van hun verplichtingen aan om het advies van een professional in te winnen. 

De belangrijkste punten 

  • Om naleving van de AI Act te garanderen, moeten organisaties zich richten op kritieke gebieden, zoals het trainen van medewerkers, een robuuste governance en sterke cyberbeveiliging en gegevensbeschermingsmaatregelen 
  • Het opnemen van ethische AI-principes en het behouden van de transparantie zijn essentiële factoren waar bedrijven rekening mee moeten houden bij het ontwikkelen van AI-systemen, vooral voor systemen die impact hebben op individuen en die persoonsgegevens verwerken 
  • Hoewel de praktische richtlijnen voor de Act nog moeten verschijnen, kunnen bedrijven deze strategieën al proactief implementeren en zich voorbereiden op toekomstige updates   

Samenvattend: Vooruitlopen op de AI-wetgeving draait niet enkel om compliance – het is een kans om vertrouwen op te bouwen en koploper te worden op het gebied van verantwoordelijke AI-innovaties. 

Het DPO Centre heeft een volledige AI Audit en Impact Assessment service ontwikkeld. Als u ondersteuning nodig heeft bij het starten of met zelfvertrouwen voortzetten van uw AI-nalevingsinspanningen, neem dan contact met ons op

Dit hebt u misschien gemist… 

Volg het DPO Centre op LinkedIn voor meer nieuws en inzichten over gegevensbescherming 

NALEVING-VAN-DE-AI-ACT-WAT-U-MOET-WETEN
Scroll naar boven