De AI Act uitgelegd: de eerste regels gelden (1/10)

De AI Act is in het leven geroepen om de ontwikkeling en het gebruik van AI-systemen te reguleren en meer productveiligheid te borgen. U kunt hier onze eerdere blogreeks lezen over AI en de AI Act. Zoals aangekondigd zullen de regels uit de AI Act in verschillende fasen gaan gelden. Sinds 2 februari 2025 zijn de eerste twee hoofdstukken van de AI Act van toepassing. Daarmee gelden de algemene bepalingen, inclusief de definities. Om te weten of de AI Act voor uw organisatie van belang is, is het namelijk noodzakelijk te weten of gebruikte systemen kwalificeren als AI-systemen in de zin van deze nieuwe wet. Naast de definities geldt ook al de verplichting tot AI-geletterdheid en ook zijn sommige AI-praktijken op dit moment al verboden. Wij lichten deze nieuwe regels toe in dit artikel.

In de praktijk wordt een AI-systeem doorgaans omschreven als een systeem dat in staat is taken uit te voeren waarvoor over het algemeen menselijke intelligentie nodig is. De juridische definitie in de AI Act is een stuk ingewikkelder en luidt als volgt: “een op een machine gebaseerd systeem dat is ontworpen om met verschillende niveaus van autonomie te werken en dat na het inzetten ervan aanpassingsvermogen kan vertonen, en dat, voor expliciete of impliciete doelstellingen, uit de ontvangen input afleidt hoe output te genereren zoals voorspellingen, inhoud, aanbevelingen of beslissingen die van invloed kunnen zijn op fysieke of virtuele omgevingen.”

Gelukkig heeft de Europese Commissie op 6 februari 2025 (concept)richtsnoeren gepubliceerd over deze definitie (zie hier). In de richtsnoeren licht de Europese Commissie de verschillende onderdelen uit de definitie toe:

• Zo houdt ‘machine gebaseerd’ in dat het systeem moet zijn ontwikkeld met en moet draaien op machines en dit omvat zowel de hardware- als de softwarecomponenten die het AI-systeem laten functioneren. Denk aan geheugen, opslagapparaten, netwerkeenheden, maar ook de computercodes, programma’s en besturingssystemen.
• Het element ‘verschillende niveaus van autonomie’ houdt in dat het systeem moet zijn ontworpen om te werken met een zekere mate van onafhankelijkheid van menselijk handelingen en zonder menselijke tussenkomst.
• Dat het systeem ‘aanpassingsvermogen kan vertonen’ verwijst naar het zelflerende vermogen van het systeem waardoor het gedrag van het systeem tijdens het gebruik ervan kan veranderen, op basis van nog steeds dezelfde inputdata. Het gebruik van de term ‘kan’ geeft aan dat het niet noodzakelijk is dat een AI-systeem zelflerend vermogen bezit. Het vermogen van een systeem om automatisch te leren, nieuwe patronen te ontdekken of verbanden vast te stellen die verder gaan dan waarop het aanvankelijk is getraind, is aldus een bijgevolg en geen doorslaggevende voorwaarde om te bepalen of een systeem een AI-systeem is.
• Met ‘expliciete of impliciete doelstellingen’ wordt bedoeld dat het systeem moet zijn ontworpen om te werken volgens expliciet en duidelijk geformuleerde doelen die door de ontwikkelaar rechtstreeks in het systeem zijn gecodeerd. Deze doelstellingen kunnen ook impliciet worden afgeleid uit het gedrag of uit onderliggende aannames van het systeem, bijvoorbeeld uit de trainingsdata of uit de interactie van het systeem met zijn omgeving.
• Het onderdeel ‘uit de ontvangen input afleidt hoe output te generen’ betekent dat het systeem moet beschikken over het vermogen om af te kunnen leiden. Het gaat daarbij om afleidingsvermogen in de gebruiksfase, dus output generen op basis van input, maar ook in de ontwikkelfase en dus de technieken die worden gebruikt om het systeem op te bouwen. Voorbeelden van AI-technieken die over afleidingsvermogen beschikken zijn: machine learning, (un)supervised learning, deep learning en logic- and knowledge-based approaches.
• Tot slot moet het gaan om output, zoals voorspellingen, inhoud, aanbevelingen of beslissingen, ‘die van invloed kunnen zijn op fysieke of virtuele omgevingen’. Dit benadrukt dat het systeem niet passief moet zijn, maar dat het een actieve invloed moet hebben op de omgeving waarin het wordt ingezet. De invloed van een AI-systeem kan zich zowel uitstrekken tot tastbare, fysieke objecten (bijvoorbeeld een robotarm) als tot virtuele omgevingen (zoals gegevensstromen).

Kortom, de definitie is ruim en hieronder kunnen veel verschillende systemen vallen. De Europese Commissie benoemt ook een paar voorbeelden van systemen die niet voldoen aan deze elementen en dat zijn eenvoudige beslisregels, handmatig geprogrammeerde softwareprogramma’s en klassieke statistische modellen.

Wanneer is vastgesteld dat een systeem kwalificeert als AI-systeem, dan is de AI Act van toepassing en geldt al sinds 2 februari 2025 voor alle AI-systemen de verplichting tot AI-geletterdheid. AI-geletterdheid wordt in de AI Act gedefinieerd als: “vaardigheden, kennis en begrip die aanbieders, gebruiksverantwoordelijken en betrokken personen in staat stellen geïnformeerd AI-systemen in te zetten en zich bewuster te worden van de kansen en risico’s van AI en de mogelijke schade die zij kan veroorzaken.”

AI-geletterdheid houdt kort gezegd in dat aanbieders én gebruikers van AI-systemen maatregelen moeten nemen om, zoveel als mogelijk, te zorgen voor een toereikend niveau van vaardigheden, kennis en begrip over AI. Dit gaat over het creëren van bewustwording over de kansen, mogelijkheden, risico’s en ethische vraagstukken rondom AI. Die verplichting geldt ten aanzien van medewerkers en andere personen die namens uw organisatie de AI-systemen exploiteren en gebruiken. Hierbij dient rekening te worden gehouden met hun technische kennis, ervaring, onderwijs en opleiding en de context waarin de AI-systemen worden gebruikt, evenals de (groep) personen ten aanzien van wie de AI-systemen zullen worden ingezet.

De Autoriteit Persoonsgegevens (“AP”) benadrukt in haar document ‘aan de slag met AI-geletterdheid’ dat AI-geletterdheid essentieel is voor het versterken van maatschappelijke weerbaarheid in de omgang met algoritmes en AI. Het wordt dan ook gezien als de ‘bouwsteen’ voor een verantwoord gebruik van AI en volgens de AP dient AI-geletterdheid ervoor te zorgen dat burgers in staat zijn AI met vertrouwen én kritisch inzicht in te kunnen zetten.

Het is momenteel nog onduidelijk wanneer een ‘toereikend niveau’ exact is bereikt. Vanuit het AI-bureau en de Europese Commissie zijn nog geen richtsnoeren gepubliceerd waarmee de verplichting tot AI-geletterdheid ingekleurd wordt. Ook de AP benadrukt in haar document dat er geen ‘one size fits all-set’ aan maatregelen is die zorgen voor een toereikend niveau en dus biedt de AP wel handvatten aan voor een zogenoemd meerjarig actieplan voor AI-geletterdheid.

AI-geletterdheid is namelijk een doorlopend proces, waarvoor de AP vier stappen heeft vastgesteld:

1. Identificeren: o.a. bepalen behoeften en uitdagingen, registreren AI-systemen en bijbehoren risicoclassificering, identificeren kennisniveau

2. Doelen bepalen: o.a. vaststellen concrete en meetbare doelen, prioriteren in risico’s van AI-systemen, bepalen concrete maatregelen voor belangrijkste risico’s

3. Uitvoeren: o.a. implementeren van strategieën en acties, training en awareness, agendering bestuurlijke lagen

4. Evalueren: o.a. AI-geletterdheid opnemen in periodieke analyses, nalopen maatregelen op effectiviteit, managementrapportages.

De AP benadrukt dat AI-geletterdheid een preventieve werking heeft om zo te kunnen voldoen aan de relevante wet- en regelgeving, waaronder de AI Act. De voornaamste boodschap luidt dat organisaties zich proactief dienen in te zetten om AI-geletterdheid een centrale plek binnen de organisatie te geven. Het betreft dan ook tevens een bestuurdersaangelegenheid.

Naast de verplichting tot AI-geletterdheid zijn sinds 2 februari 2025 ook bepaalde AI-praktijken al verboden. Hoewel voor sommige organisaties het misschien lijkt dat zij geen gebruik maken van verboden AI, kan dat soms toch wel het geval zijn. De AI Act beschrijft op dit moment acht verboden AI-praktijken en de Europese Commissie heeft ook op 4 februari 2025 (concept)richtsnoeren gepubliceerd over deze verboden AI-praktijken (zie hier). In de volgende blogs van deze reeks zullen wij deze acht praktijken toelichten. Er zal steeds moeten worden getoetst of (het gebruik van) een AI-systeem valt onder een van deze verboden AI-praktijken. De Europese Commissie beoordeelt overigens eenmaal per jaar of de lijst van verboden AI-praktijken moet worden gewijzigd. Er kunnen in de aankomende jaren dus nog verboden praktijken bijkomen, of juist wegvallen.

Het is van belang dat u zo snel mogelijk vaststelt dat zich binnen uw organisatie geen verboden AI-praktijken voordoen. Is daar wel sprake van, dan kan dit worden beboet met forse geldboetes die kunnen oplopen tot 35 miljoen euro of 7 % van de totale omzet. Het feit dat op dit moment nog geen aangewezen toezichthouder voor de verboden AI-praktijken is, betekent niet dat er nog niets tegen kan worden gedaan. De verboden zijn immers rechtstreeks van toepassing sinds 2 februari 2025 en een overtreding van de AI Act betreft dan ook een onrechtmatige daad. Burgers of ondernemingen die daardoor schade leiden, kunnen aldus op dit moment al een procedure starten.^[1]

Kortom, het voldoen aan de AI Act vraagt om een gestructureerde aanpak binnen uw organisatie. Wij helpen u graag door AI-systemen binnen uw organisatie in kaart te brengen, te classificeren en de reeds bestaande verplichtingen met u uit te voeren. Dit doen wij samen met een externe partner en dit doen wij in drie stappen: een kennissessie, een AI-scan en vervolgens de implementatie. Daarmee hebben wij al geanticipeerd op de stappen die nu ook door de AP worden voorgeschreven.

Heeft uw organisatie hulp nodig bij het uitvoeren van deze stappen, dan biedt het Holla AI-team aldus de AI-scan aan. Heeft u hierover vragen? Neem dan contact met ons op. Wij helpen u graag verder en houd onze website in de gaten voor de andere artikelen uit onze blogreeks.