Compliance met de AI Act Deel 3: Wie moet deze regels naleven en wat zijn de verplichtingen precies?

oktober 23, 2024

De European Artificial Intelligence Act (AI Act) is op 1 augustus 2024 officieel in werking getreden – een keerpunt in de regulatie van AI-technologieën. In deel 3 van onze blogserie verkennen we wat voor impact de AI Act heeft, zowel binnen als buiten de Europese Economische Ruimte (EER), en schetsen we de belangrijkste complianceverplichtingen waar organisaties aan moeten voldoen.

De AI Act treedt volledig in werking in augustus 2026, 24 maanden na de officiële publicatie ervan, hoewel bepaalde bepalingen al eerder van kracht worden. Bijvoorbeeld, een verbod op onacceptabel risicovolle AI-systemen is al vanaf februari 2025 van toepassing. Voor een gedetailleerd begrip van de implementatietijdlijn van de AI Act, en voor meer informatie over de risicogebaseerde classificatie van AI-systemen, verwijzen we u graag naar Deel 1 en Deel 2  van onze blogserie:

Naleving van de AI Act: Wat u moet weten

Naleving van de AI Act Deel 2: Wat is een activiteit met een ‘hoog risico’? 

Laten we nu eens kijken naar wie er precies moet voldoen aan de AI Act en de belangrijkste vereisten waar organisaties mogelijk mee aan de slag moeten om compliance ermee te garanderen.

Wie moeten zich aan de AI Act houden?

Net als bij de Algemene Verordening Gegevensbescherming (AVG), heeft de AI Act een extraterritoriaal bereik. Daardoor is het een belangrijke wet met wereldwijde implicaties en dat betekent dat de bepalingen ervan van toepassing zijn op alle marketing, inzet en gebruik van een AI-systeem door een organisatie in de EU, zelfs als dat systeem ontwikkeld en bediend wordt buiten de EU.

Bijvoorbeeld: als een AI-systeem dat gehost wordt in de VS gegevens of beslissingen genereert die impact hebben op individuen of bedrijven in een van de 27 Europese Lidstaten, dan moet dat systeem voldoen aan de AI Act.

Het doel van dit extraterritoriale bereik is de garantie dat de fundamentele rechten van inwoners van de EU gerespecteerd worden, ongeacht de internationale grenzen. Deze aanpak wil een norm voor ethische AI-praktijken promoten, en moedigt alle organisaties aan om een hoge standaard van aansprakelijkheid en transparantie te hanteren.

Wat zijn de belangrijkste verplichtingen omtrent compliance waar u rekening mee moet houden?

De complianceverplichtingen voor organisaties worden bepaald door twee belangrijke factoren:

  1. Het risiconiveau van het AI-systeem
  2. De rol van de organisatie in de toeleveringsketen

De risicoclassificatie van AI-systemen wordt verder uitgelegd in Deel 2 van onze blogserie. Laten we daarom eens kijken naar de verschillende categorieën van rollen die organisaties kunnen spelen en de specifieke verplichtingen voor elke categorie

Definiëren van de rol van uw organisatie

Onder de AI Act heeft een organisatie een van zes afzonderlijke rollen, en elke rol komt met een eigen pakket aan verplichtingen. De rollen zijn Aanbieder, Gebruiksverantwoordelijke, Distributeur, Importeur, Gemachtigde vertegenwoordiger en Productfabrikant.

  • Aanbieder
    Een aanbieder is een individu dat of organisatie die een AI-systeem ontwikkelt en op de markt brengt. Aanbieders moeten ervoor zorgen dat het systeem voldoet aan de noodzakelijke vereisten van de AI Act (de complianceverplichtingen van aanbieders worden hieronder uitgewerkt).
  • Gebruiksverantwoordelijke
    Een gebruiksverantwoordelijke is een individu dat of organisatie die een AI-systeem gebruikt dat ontwikkeld is door een aanbieder. De verantwoordelijkheden van een gebruiksverantwoordelijke onder de AI Act zijn minimaal als het AI-systeem zonder wijzigingen wordt gebruikt. Maar als de gebruiksverantwoordelijke het systeem significant aanpast of het onder een eigen naam of handelsmerk gebruikt, nemen zij de verantwoordelijkheden van de aanbieder aan. Dit betekent dat zij dan moeten garanderen dat het AI-systeem voldoet aan de relevante regelgeving en standaarden, op vergelijkbare wijze als de originele aanbieder.
  • Distributeur
    Een distributeur is een individu of organisatie in de toeleveringsketen, anders dan de aanbieder of importeur, en maakt het AI-systeem beschikbaar op de Europese markt.
  • Importeur
    Een importeur is een natuurlijk persoon of rechtspersoon in de EU die een AI-systeem met een naam of handelsmerk van een bedrijf of individu van buiten de EU naar de Europese markt brengt.
  • Productfabrikant
    Een individu dat of organisatie die een AI-systeem op de Europese markt introduceert of laat werken als een integraal onderdeel van een ander product en die het voorziet van de eigen naam of handelsmerk.
  • Gemachtigde vertegenwoordiger
    Een gemachtigde vertegenwoordiger is een individu of organisatie in de EU die formeel is aangewezen door een aanbieder buiten de EU.

De vertegenwoordiger neemt namens de aanbieder de verantwoordelijkheid op zich voor het beheren van en voldoen aan de wettelijke vereisten en documenten die op basis van de AI Act verplicht zijn. Dit lijkt op de rol van de AVG-vertegenwoordiger, hoewel de documenten die beheerd moeten worden wat meer gedetailleerd en uitgebreid zijn dan de documenten die onder de AVG verplicht zijn. Dat komt doordat de AI Act te maken heeft met complexe regelgevende vereisten voor AI-systemen, waarbij een breed scala aan technische, operationele en veiligheidsaspecten aan bod komt.

Aanbieders en gebruiksverantwoordelijken

Als organisatie dient u zorgvuldig te beoordelen of u onder de categorie Aanbieder of Gebruiksverantwoordelijke valt, aangezien dit een significante impact heeft op uw complianceverplichtingen. Het is belangrijk om te controleren of uw methode van het inzetten van een AI-systeem u niet per ongeluk als Aanbieder verantwoordelijk maakt.

De aanbieder heeft te maken met de meeste verplichtingen, maar ook de gebruiksverantwoordelijke heeft bepaalde verantwoordelijkheden.

Aanbieders én gebruiksverantwoordelijken van AI-systemen moeten voldoen aan de volgende vereisten:

AI-geletterdheid – Aanbieders en gebruiksverantwoordelijken moeten garanderen dat al het personeel en alle agenten die werken met de AI-systemen over het juiste niveau van AI-kennis beschikken. Deze vereiste is afhankelijk van iemands rol en de bijbehorende risico’s en vergelijkbaar met de vereiste van verplichte gegevensbeschermingstraining onder de AVG.

Transparantie – Aanbieders en gebruiksverantwoordelijken dienen ervoor te zorgen dat elk AI-systeem dat contact heeft met een individu (aangeduid met de term ‘natuurlijk persoon’) voldoet aan de transparantieverplichtingen, zoals het duidelijk markeren van content die is gegenereerd of gemanipuleerd door AI.

Registratie – Aanbieders en gebruiksverantwoordelijken moeten het AI-systeem registreren in de database van de EU. Dit proces is vergelijkbaar met de gegevensbeschermingsregistratie bij een toezichthoudende autoriteit.

Complianceverplichtingen voor aanbieders

De rol van een aanbieder is om een aantal redenen het zwaarst gereguleerd. Aanbieders zijn verantwoordelijk voor het ontwerpen, ontwikkelen en op de markt brengen van een AI-systeem. Zij beheren de creatie en operatie van deze systemen. Daarom spelen zij een cruciale rol bij het garanderen dat hun systeem voldoet aan de vereiste standaarden voor veiligheid, effectiviteit en ethische overwegingen.

Transparantie en verantwoordelijkheid zijn de belangrijkste principes van de AI Act.

Aanbieders moeten garanderen dat hun AI-systemen gemakkelijk te begrijpen zijn en ze moeten duidelijk de functionaliteiten, beperkingen en potentiële risico’s van het systeem communiceren. Deze transparantie helpt de gebruiker om goed te begrijpen wat hij kan verwachten en hoe hij het AI-systeem veilig en effectief kan gebruiken.

Dit zijn de essentiële complianceverplichtingen voor aanbieders:

  • Instellen van een risicomanagementsysteem – Implementeer een gestructureerd proces om het AI-systeem regelmatig te beoordelen, waarbij risico’s worden geïdentificeerd, geëvalueerd en geminimaliseerd
  • Implementeren van effectief gegevenskwaliteitsbeheer –  Ontwikkel duidelijke procedures en processen voor het beheren van trainingsgegevens. Daaronder valt o.a. zorgen voor diversiteit en het opstellen van protocollen voor gegevensverwerking en gegevensbescherming
  • Voorbereiden van technische documentatie – Creëer gedetailleerde en toegankelijke documentatie over het ontwerp, de functionaliteit en de prestaties van het AI-systeem zodat de gebruiker dit alles goed kan begrijpen vóórdat het op de markt komt
  • Beheren van gebeurtenissenlogs – Stel automatische logsystemen in om de activiteiten van en, indien deze ontstaan, problemen met het AI-systeem te kunnen volgen
  • Creëren van gebruiksdocumentatie voor gebruiksverantwoordelijken – Voorzie gebruiksverantwoordelijken van duidelijke en uitgebreide handleidingen voor het gebruik van het AI-systeem (en de gebruiksverantwoordelijken moeten de documentatie bijhouden die relevant is voor hun gebruik van het systeem, mocht dit hiervan afwijken)
  • Instellen van menselijk toezicht – Ontwerp het AI-systeem zo dat er menselijk toezicht en interventies mogelijk zijn (dit heeft ook impact op de gebruiksverantwoordelijken)
  • Garanderen van nauwkeurigheid en robuustheid – Bevestig dat het AI-systeem wat betreft de activiteiten betrouwbaar en robuust is, en geschikt voor het beoogde doel
  • Implementeren van cyberbeveiligingsmaatregelen – Integreer sterke cyberbeveiligingspraktijken om het AI-systeem tegen potentiële dreigingen te beschermen
  • Behouden van een kwaliteitsmanagementsysteem – Stel een kwaliteitsmanagementsysteem in om toezicht te houden op de doorlopende ontwikkeling van het AI-systeem
  • Aanpakken van problemen en conformiteit – Pak problemen met het AI-systeem snel aan en trek systemen terug die niet voldoen aan de compliancenormen (dit heeft ook impact op de gebruiksverantwoordelijken)
  • Voltooien van documentatie en beoordelingen – Zorg ervoor dat alle vereiste documentatie en conformiteitsbeoordelingen nauwkeurig afgerond worden en minimaal 10 jaar bewaard worden
  • Aanwijzen van een vertegenwoordiger – Wijs indien nodig een individu of entiteit aan ter ondersteuning van de complianceverplichtingen en die fungeert als het contactpunt tussen de aanbieder en de regelgevende autoriteiten. Dit is met name van belang als de aanbieder zich buiten de wetgevende jurisdictie bevindt.
  • Samenwerken met de toezichthoudende autoriteiten – Wees bereid om samen te werken met regelgevende instanties, bied de gevraagde informatie en assisteer bij inspecties of audits om de compliance aan te tonen

Opleggen van verantwoordelijkheden voor importeurs en distributeurs – Zorg ervoor dat alle partijen in de AI-toeleveringsketen op de hoogte zijn van de compliancenormen en zich hieraan houden, inclusief het voltooien van de conformiteitsbeoordelingen

Samenvatting

De AI Act is een belangrijke wet en stelt de eerste wereldwijde standaard in voor de verantwoordelijke ontwikkeling en inzet van systemen met kunstmatige intelligentie.

Zoals meestal het geval is met nieuwe regelgeving, is de AI-wetgeving van de EU aanleiding geweest tot zorgen en debat bij veel verschillende belanghebbenden, waaronder brancheverenigingen, techbedrijven en juridische professionals. Hun zorgen zijn een echo van de initiële kritiek waarmee ook de introductie van de Algemene Verordening Gegevensbescherming (AVG) gepaard ging, namelijk dat het potentiële moeilijkheden met zich meebrengt voor organisaties en bedrijven die de bepalingen ervan interpreteren en implementeren.

Echter, ondanks de complexiteit kent de AI Act, niet veel anders dan de AVG, een gestructureerde aanpak die de implementatie ervan beter beheersbaar maakt. Er is een duidelijke definitie voor elk van de zes rollen in de AI-toeleveringsketen (Aanbieder, Gebruiksverantwoordelijke, Distributeur, Importeur, Gemachtigde vertegenwoordiger en Productfabrikant). Elke rol kent eigen, specifieke complianceverplichtingen, waarbij de rol van aanbieder de belangrijkste verantwoordelijkheden heeft.

Wanneer de AI Act in augustus 2026 volledig in werking treedt, is het essentieel dat organisaties op de hoogte zijn van de complianceverplichtingen en hoe deze van toepassing zijn.

Compliance met de AI Act kan dienen als manier om zich op de markt te onderscheiden. Organisaties die zich goed aan de regels houden kunnen die compliance inzetten als unique selling point en daarmee klanten en partners trekken die een grote waarde hechten aan verantwoordelijke en ethische AI-praktijken.

De volgende keer…

Het laatste deel van onze blogserie, Deel 4: Strategieën voor het bereiken van compliance met de AI Act, staat al op de planning. In deze blogpost maken we kennis met een aantal van de best practices die u kunt volgen om aan de compliancevereisten te voldoen.

Neem in de tussentijd contact met ons op als u advies nodig heeft op het gebied van gegevensbescherming en AI-praktijken.

Misschien gemist…

Volg voor meer nieuws en inzichten over gegevensbescherming The DPO Centre op LinkedIn

Wie moet deze regels naleven en wat zijn de verplichtingen precies?
Scroll naar boven