AI in actie: En uw organisatie in actie! (12/12)

Er lijkt geen maat te staan op de opkomst van Artificial Intelligence (‘AI’). Door de opkomst van ChatGPT is AI in een korte tijd bekend geworden bij een breed publiek, maar AI omvat veel meer dan chatbots. Denk aan toepassingen op het gebied van gezondheid (zoals het detecteren van kanker), werkgelegenheid, videogames en jouw YouTube feed. AI komt terug in bijna alle facetten van het dagelijkse leven. Reden genoeg dus om stil te staan bij het juridisch kader van AI. In deze blogreeks behandelt het Holla AI-team verschillende juridische vraagstukken op het gebied van AI. Onderstaande blog is (voor nu) de laatste blog van deze reeks en vat voor u samen wat uw organisatie nu al kan doen om AI te ontwikkelen en in te zetten in overeenstemming met de juridische kaders.

Er zijn al regels…

Op dit moment bestaat er nog geen specifieke wetgeving op het gebied van AI, maar deze wetgeving is wel in aantocht: de AI-verordening, ook wel de AI Act genoemd, waarover wij schreven in onze eerste blog van deze reeks. Als uw organisatie AI-systemen ontwikkelt of gebruikt, is het van belang om te anticiperen op deze nieuwe regels, maar er zijn ook al bestaande juridische kaders die van toepassing zijn op AI-systemen. In onze blogreeks hebben wij deze kaders behandeld:

• Algemene Verordening Gegevensbescherming (‘AVG’): wanneer een AI-systeem persoonsgegevens verwerkt, is de AVG van toepassing. Wanneer dat het geval is, en welke regels er dan gelden, beschreven wij in onze tweede blog.
• (IT-)contractenrecht: in de basis is AI een softwaresysteem dat geleverd wordt door een IT-leverancier. In dat kader is het van belang rekening te houden met het contractenrecht en meer specifiek de zorgplicht die op de IT-leverancier rust. Lees hierover meer in onze derde blog.
• Aansprakelijkheidsrecht: hoewel naast de AI-verordening ook een AI-aansprakelijkheidsrichtlijn in ontwikkeling is, waarover wij schreven in onze vierde blog, dient ook rekening te worden gehouden met (het regelen van) aansprakelijkheid bij AI-systemen in bijvoorbeeld de contracten met uw leverancier of afnemer.
• Auteursrechten: bij de ontwikkeling en inzet van AI-systemen bestaat er een risico op auteursrechtinbreuken. Het is dan ook belangrijk om de bescherming van auteursrechten in acht te nemen. Waar rekening mee moet worden gehouden en wanneer sprake is van een auteursrechtinbreuk, behandelen wij in onze vijfde blog.
• Mededingingsrecht en consumentenbescherming: regels ten aanzien van eerlijke concurrentie en de bescherming van consumenten bieden ook kaders bij de ontwikkeling en de inzet van AI-systemen, bijvoorbeeld voor prijsalgoritmen. Lees hierover meer in onze zesde blog.
• Arbeidsrecht: wanneer AI-systemen worden gebruikt op de werkvloer, bijvoorbeeld ChatGPT, is het van belang rekening te houden met de reeds geldende regels op het gebied van het arbeidsrecht, zoals wij omschreven in onze zevende blog. Denk hierbij aan het instructierecht van de werkgever.
• Verordening medische hulpmiddelen (‘MDR’) en de wet op de geneeskundige behandelingsovereenkomst (‘WGBO’): wanneer een AI-systeem kwalificeert als een medisch hulpmiddel of wordt ingezet in het kader van de zorgverlening, dan gelden de regels uit de MDR en WGBO. Onze achtste blog gaat over het gebruik van AI binnen de gezondheidszorg.
• Mensenrechten: AI-systemen kunnen ook een grote impact hebben op mensenrechten, bijvoorbeeld op het verbod op discriminatie en het recht op informatie. Voor de bescherming van fundamentele mensenrechten zijn regels neergelegd in de Nederlandse grondwet en in Europese verdragen. In onze tiende blog behandelen wij het spanningsveld tussen mensenrechten en AI.
• Productveiligheidsregelgeving: er gelden voor veel (software)producten regels op het gebied van productveiligheid. De CE-markering en het certificeringsproces zijn al bestaande processen waarmee kan worden aangegeven of producten voldoen aan Europese regelgeving. Wat dit betekent of gaat betekenen voor AI-systemen, beschreven wij in onze elfde blog.

Naast deze juridische kaders, zijn er nog tal van andere regels, normen, gedragscodes en natuurlijk ethische aspecten waarmee rekening moet worden gehouden bij de ontwikkeling en inzet van AI. Het concrete juridische kader is ook afhankelijk van de sector waarbinnen uw organisatie opereert. Mocht u hierover vragen hebben, dan kunt u ons AI-team uiteraard altijd benaderen.

Anticiperen op de AI-verordening

Ten aanzien van veel bestaande regels wordt in de aankomende AI-verordening een verdiepingsslag gemaakt. Daarnaast zal de AI-verordening naar alle waarschijnlijkheid enkele nieuwe, belangrijke verplichtingen in het leven roepen. Een paar hiervan hebben wij nader uitgewerkt:

• Klimaat: in onze negende blog schreven wij over de verplichtingen die gaan gelden voor AI-systemen in het kader van de klimaatimpact.
• Risicobeoordelingen: het (verplicht) uitvoeren van risicobeoordelingen ten aanzien van AI-systemen (en algoritmen), zoals de FRIA (en IAMA). Lees hierover meer in onze tiende blog.
• Conformiteit: de elfde blog gaat over het behalen van de CE-markering en het uitvoeren van de conformiteitsbeoordeling.

Verder gaan verplichtingen gelden op het gebied van transparantie, documentatie, specificatie en menselijk toezicht. Gezien de omvang van het aantal nieuwe verplichtingen, is het raadzaam tijdig te anticiperen op de AI-verordening. Lees hierover meer in onze eerste blog.

Wat kunt u nu doen?

Op dit moment kan uw organisatie voor het gebruik van AI-systemen (en algoritmen) al de volgende stappen ondernemen:

1. breng de AI-systemen binnen uw organisatie in kaart: welke systemen worden gebruikt, hoe werken de systemen, door wie worden de systemen gebruikt, waar worden deze systemen ingezet (bijvoorbeeld op de werkvloer, richting klanten of richting patiënten)? Ook een chatbot op uw website is vaak al een AI-systeem;
2. toets of het systeem valt onder de AVG, WGBO en/of MDR;
3. stel vast welke rol uw organisatie heeft onder de AVG, WGBO en/of MDR;
4. toets aan de reeds bestaande regels, waaronder dus ook op het gebied van het contractenrecht, auteursrecht, mededingingsrecht, arbeidsrecht, etc.;
5. anticipeer op de AI-verordening: stel rollen en risiconiveaus vast en bepaal welke gaan verplichtingen gelden:

a. voer de nodige assessments uit, zoals de DPIA en IAMA(/FRIA); b. stel een beleid op om te bepalen hoe uw organisatie omgaat met bestaande en toekomstige AI-systemen; c. zorg voor transparantie: uw organisatie moet kunnen uitleggen hoe het systeem werkt en waarom het noodzakelijk is binnen uw organisatie.

Heeft uw organisatie hulp nodig bij het uitvoeren van deze stappen, dan biedt het Holla AI-team een AI-compliance scan aan. Heeft u hierover vragen? Neem dan contact met ons op. Wij helpen u graag verder.