In onze reeks blogartikelen over Naleving van de AI-wet gaan we na wat u moet weten over de aankomende wettelijke verplichtingen bij het gebruik van bepaalde kunstmatige intelligentie (AI)-technologie onder de baanbrekende AI-wet van de EU.
Of u nu een organisatie bent die AI-gestuurde chatbots gebruikt om vragen van klanten af te handelen, of een organisatie die voorspellende algoritmen ontwikkelt voor kredietrisico’s of beeldherkenningssoftware voor beveiligingsdoeleinden, de AI-wet kan van invloed zijn op de wijze waarop u gegevens verwerkt.
In verband met naleving zijn inzicht in de vereisten van de AI-wet en de aspecten die op uw organisatie van toepassing zijn van uitermate groot belang.
In onze vierdelige blogreeks behandelen we de volgende onderdelen:
- Deadlines en tijdlijn
- Wat is een activiteit met een hoog risico?
- Op wie is de AI-wet van toepassing?
- Beleid in verband met naleving van de AI-wet
Voldoen aan de AI-wet deel 1: Tijdlijn en belangrijke deadlines
De AI-wet is op 21 mei 2024 definitief door de Europese Raad goedgekeurd. De wet wordt over een periode van twee jaar gefaseerd ingevoerd, zodat organisaties de tijd hebben om de nodige aanpassingen te doen om aan de wet te kunnen voldoen.
De wetgeving is van toepassing op de binnen de EU actieve publieke en private organisaties die AI-systemen binnen de interne markt van de EU ontwikkelen, inzetten of gebruiken. Dit betreft bedrijven, instellingen, overheidsinstanties, onderzoeksorganisaties en alle andere bij AI-gerelateerde activiteiten betrokken organisaties.
Hoe werken de AI-wet en de AVG samen?
David Smith, DPO en AI Sector Lead licht dit toe:
In veel gevallen zullen de AI-wet en de AVG elkaar aanvullen. De AI-wet betreft in feite productveiligheidswetgeving, bedoeld om een verantwoorde en niet-schadelijke inzet van AI-systemen te waarborgen. De AVG is op beginselen gebaseerde wetgeving, die fundamentele privacyrechten van mensen beschermt.
Wanneer treedt de AI-wet in werking?
De definitieve tekst van de AI Act wordt in het Publicatieblad van de Europese Unie gepubliceerd en treedt 20 dagen na publicatie officieel in werking – op 1 augustus 2024.
De nieuwe wet zal vervolgens twee jaar later van kracht zijn, op 1 augustus 2026, met enkele aanvullende en eerdere deadlines voor specifieke bepalingen.
De EU-Commissie heeft ook het EU AI Office opgericht. Vanaf 16 juni 2024 zal het AI-Bureau de implementatie van de AI Act in alle lidstaten ondersteunen.
Hier volgt een tijdlijn met de belangrijkste data en deadlines van de gefaseerde uitrol:
De AI-wet treedt in werking (verwacht eind juni/begin juli 2024)***
- 6 maanden later
(1 augustus 2024)
Het verbod op AI-systemen met onaanvaardbare risico’s geldt zes maanden nadat de AI-wet in werking is getreden.
Verboden AI-praktijken zijn praktijken die geacht worden onaanvaardbare risico’s voor de gezondheid en veiligheid of fundamentele mensenrechten met zich mee te brengen. In ons volgende blogartikel gaan we dieper in op verboden AI-toepassingen.
Nu de deadline voor naleving van AI-systemen met onaanvaardbare risico’s in aantocht is, dienen organisaties hun risicoblootstelling in verband hiermee zo snel mogelijk in beschouwing te nemen.
- 9 maanden later
(1 februari 2025)
Het AI Office zal de laatste hand leggen aan de gedragscodes, waarin de verplichtingen voor ontwikkelaars en uitvoerders van AI-systemen worden opgenomen. Deze codes zullen vrijwillige richtsnoeren bieden voor een verantwoorde ontwikkeling en toepassing van AI.
- 12 maanden later
(1 mei 2025)
De regels voor aanbieders van General Purpose AI (GPAI) worden van kracht en organisaties dienen hun werkwijzen op deze nieuwe regels af te stemmen. GPAI heeft betrekking op geavanceerde AI-systemen die een breed scala aan taken kunnen uitvoeren. Hieronder vallen ook high compute-modellen welke zijn getraind met 10^25 FLOPS, zoals ChatGPT.
Daarnaast vindt 12 maanden na de inwerkingtreding van de AI-wet de eerste jaarlijkse evaluatie door de Europese Commissie van het overzicht met verboden AI-toepassingen plaats.
- 18 maanden later
(1 februari 2026)
De Europese Commissie zal voor AI-aanbieders met een hoog risico uitvoeringsmaatregelen uitvaardigen. Dit betekent dat organisaties die gebruik maken van AI-systemen met een hoog risico een standaardmodel moeten volgen om toezicht te houden op de AI-systemen na inzet ervan.
Het monitoringplan zorgt ervoor dat problemen of risico’s onmiddellijk worden vastgesteld en aangepakt.
- 24 maanden later
(1 augustus 2026)
De overige onderdelen van de AI-wet worden van kracht, met inbegrip van voorschriften voor AI-systemen met een hoog risico zoals opgenomen in bijlage III* van de AI-wet. Deze systemen zijn onder andere gerelateerd aan biometrie en omvatten technologie zoals vingerafdrukherkenning, gezichtsherkenning, irisscanning en stemverificatie.
In ons volgende blogartikel gaan we dieper in op AI-systemen met een hoog risico.
- 36 maanden later
(1 augustus 2027)
De voorschriften voor AI-systemen met hoog risico in bijlage I** worden van kracht.
*EU-wet inzake kunstmatige intelligentie Bijlage III
**EU-wet inzake kunstmatige intelligentie Bijlage I
***bijgewerkt op 22 juli 2024
Binnenkort…
Naleving van de wet AI deel 2: Wat is een activiteit met een ‘hoog risico’?
In ons volgende blogartikel leest u alles wat u moet weten over verboden AI-toepassingen en wat onder een activiteit met een hoog risico valt.
Mocht u in de tussentijd advies nodig hebben over gegevensbescherming, dan zal ons team van deskundige ’Functionarissen Gegevensbescherming (DPO’s) u graag helpen. We bieden een breed scala aan uitbestede privacydiensten, waaronder ondersteuning bij AI-beheer.
Volg The DPO Centre op LinkedIn voor meer nieuws over en inzicht in gegevensbescherming
