Europese AI-verordening aangenomen

Geschreven op .

Op 21 mei 2024 heeft de Europese Raad het definitieve groene licht gegeven voor (wereldwijd) de eerste wet die kunstmatige intelligentie reguleert. De AI-verordening moet de ontwikkeling van veilige en betrouwbare kunstmatige intelligentie in de EU stimuleren en de fundamentele rechten van zijn burgers waarborgen. Twee jaar na de ondertekening zal de verordening in de gehele EU van kracht zijn, dus in (mei) 2026.

De AI-verordening classificeert verschillende typen AI naar het risiconiveau en stelt zwaardere eisen bij hogere risico's: bij een laag risico gelden milde verplichtingen rond met name de transparantie terwijl high-risksystemen of AI met zogenaamde 'systeemrisico's' geautoriseerd moeten worden voor toelating op de markt. De AI-verordening heeft (voor stand-alone AI-systemen) hoogrisico-toepassingsgebieden of -categorieën in een annex opgesomd vanuit de gedachte dat een annex snel kan worden aangepast als dat noodzakelijk blijkt.

De vier risiconiveaus (van hoog naar laag) zijn:
  1. Onacceptabel risico (verboden)
  2. Hoog risico (verplichtingen: o.a. logging, dataherkomst, risicobeheer, tussenkomst)
  3. Specifiek risico (waarschuwingsverplichting bij bijv. chatbots, deepfake, emotieherkenning)
  4. Laag risico (aanmeldingsplicht door fabrikant bij EU, vooral transparantie-eisen, verder eigen gedragscodes)
Toepassingsgebieden die in de hoge risicoklasse vallen behoeven altijd een conformiteits-assessment en staan opgesomd in Annex III (let op; jaarlijkse aanpassing!):
  • Biometrie (voor identificatie, categorisering of emotieherkenning bij personen)
  • Kritische infrastructuur (digitale netwerken, autoverkeer, nutsvoorzieningen)
  • Onderwijs en training (monitoring en beoordeling studenten)
  • Werkgelegenheid (selectie van werknemers en toewijzing van taken)
  • Toegang tot publieke of essentiële diensten (gezondheidszorg, kredietverstrekking, verzekering, noodhulpdiensten)
  • Rechtshandhaving (bepaling risico's, leugendetectie, bewijstoetsing, profilering)
  • Migratie, asiel en grensbewaking (leugendetectie, veiligheidsrisico-inschatting, asielstatuswaardigheidsbeoordeling, documentverificatie)
  • Judiciële en democratische processen (feitenbeoordeling, conflictoplossing, verkiezingsuitslag- of stemgedragsbeïnvloeding).

Verboden en uitzonderingen

De nieuwe AI-wet verbiedt uitdrukkelijk de volgende toepassingen:
  • systemen voor cognitieve gedragsbeïnvloeding;
  • social scoring (zoals de burgerschapspuntentelling in China, red.);
  • predictive policing (voorspellende opsporing) gebaseerd op profielen;
  • categorisering van mensen naar o.a. ras, religie of seksuele oriëntatie op basis van biometrische gegevens (elders ook 'algoritmische discriminatie' genoemd).
Systemen voor militaire toepassing en die met onderzoeksdoeleinden zijn uitgezonderd en worden dus niet door de AI-wet gereguleerd. Voor rechtshandhavingsinstanties gelden iets ruimere regels met betrekking tot biometrische identificatie van personen op afstand, een door handhavers vurig gewenste toepassingsmogelijkheid van AI.

Definitie van AI

Een van de belangrijkste zaken in een wet is de definitie van de begrippen, vooral bij een gevoelig, dynamisch, ethisch beladen en slecht begrepen onderwerp als AI. Artikel 3 van de AI-verordening geeft de volgende definitie van 'AI-systeem', het kernbegrip en onderwerp van de wet:
'AI-systeem': een machinegebaseerd systeem dat is ontworpen om met verschillende niveaus van autonomie te functioneren en dat na de implementatie een aanpassingsvermogen kan vertonen, en dat, voor expliciete of impliciete doelstellingen, uit de input die het ontvangt afleidt hoe outputs zoals deze kunnen worden gegenereerd; als voorspellingen, inhoud, aanbevelingen of beslissingen die fysieke of virtuele omgevingen kunnen beïnvloeden.

Praktische regels

Elke fabrikant van AI moet zich (vanaf 2026) houden aan de AI-wet om de grondrechten en de veiligheid van burgers te waarborgen. De wet formuleert eisen met betrekking tot transparantie (wat doet het systeem precies?), data, documentatie, traceerbaarheid, informatieverstrekking, menselijk toezicht, robuustheid en nauwkeurigheid. Een fabrikant van 'hoogrisico-AI' moet bijvoorbeeld zorgen dat een automatisch log bijhoudt welke beslissingen AI neemt (monitoring & tracing), waar data vandaan komt en hij moet dat volhouden zolang het systeem in bedrijf is. Een mens moet kunnen ingrijpen als dat nodig is. Risicobeheer en kwaliteitsborging zijn verplicht. Of AI aan wettelijke regels voldoet zal in een conformiteitsassessment moeten worden vastgesteld. Bij laag risico mag de fabrikant dat zelf doen (en gelden er minder regels), bij hoogrisicotoepassingen moet dat een aangemelde instantie zijn.

Handhaving en conformiteitsbeoordeling

Voor het toezicht wordt in de Europese Commissie een AI-bureau opgezet (met handhavingsbevoegdheden), er komt een wetenschappelijk panel van onafhankelijke deskundigen, een AI-Raad waarin lidstaten vertegenwoordigd zijn en een adviesforum voor belanghebbenden dat zorgdraagt voor technische expertise en advies. Per lidstaat zal er een conformiteitsbeoordelingsprocedure moeten komen, inclusief CE-markering.
In de lidstaten bestaan zorgen over de beschikbaarheid van expertise, over de doorlooptijden van beoordelingstrajecten en over de handhavingscapaciteit.

Verenigbaarheid met Machineverordening en andere wetgeving

In de toelichting op het wetsvoorstel van de AI-wet wordt in het kader van systemen met hoog risico ook van 'veiligheidscomponenten' gesproken die van AI kunnen zijn voorzien. De term 'veiligheidscomponenten' is een bekend begrip uit de Machineverordening, die reeds is voorbereid op de AI-wetgeving. In de inleidende teksten van het wetsvoorstel wordt gesproken over de verenigbaarheid van de bestaande beoordelingssystematiek van producten die onder het nieuwe wetgevingskader (NWK) vallen, zoals machines, medische hulpmiddelen en speelgoed. Deze CE-markeringsplichtige artikelen blijven wat betreft hun algemene veiligheid dus onder de betreffende productveiligheidsrichtlijnen vallen. Voor de typische eisen aan eventuele ingebouwde AI-systemen geldt de AI-verordening. De veilige integratie van AI-systemen in het betreffende eindproduct is al in de productrichtlijn geborgd.
De regelgeving rond producten die onder 'oude aanpak' vallen zoals luchtvaart en auto's is nog niet voorbereid op AI-wetgeving en eventuele beoordeling conform de nieuwe AI-wetgeving. Dat geldt ook voor de financiële dienstverlening en enkele andere sectoren.

Belanghebbenden: voor wie?

De AI-verordening onderscheidt aanbieder, importeur, distributeur en gebruiker. Daarnaast zijn er 'betrokkenen', die vrij terloops worden aangehaald. Het zwaartepunt ligt bewust anders dan bij bijvoorbeeld de Algemene Verordening Gegevensbescherming (AVG), omdat die wet vooral de rechten vanuit de individuele persoon behandelt, terwijl de AI-wet vooral een 'technische kaderwet' is. Het zal daarom de fabrikant zijn (of zijn vertegenwoordiger in Europa) die het meeste werk te doen heeft.

Periodieke herziening

Dat AI bij uitstek een onderwerp is dat zich razendsnel ontwikkelt blijkt uit lid (174), dat voorschrijft dat vijf jaar na de inwerkingtreding de AI-verordening moet worden herzien, en elke vier jaar daarna opnieuw. De lijst hoogrisicotoepassingen en de lijst van verboden praktijken moeten zelfs jaarlijks worden herzien. Op het moment van ontwikkelen van een AI-systeem kan nog niet elk gebruik worden voorzien. Dat moet ook de overweging zijn geweest bij het hanteren van de toepassing als criterium voor de risicoclassificatie in Annex III van de AI-verordening. Met de updateverplichting hoopt de wetgever de ontwikkelingen enigszins bij te houden.

Breed Europees doel

De Europese Commissie en de lidstaten zijn in 2021 reeds officieel overeengekomen dat AI een strategische prioriteit moet zijn in Europa en dat er stimuleringsprogramma's komen voor de ontwikkeling van kunstmatige intelligentie. AI moet van het lab naar de markt gebracht en regels moeten ervoor zorgen dat AI een 'goede maatschappelijke kracht' zal zijn. Bestaande programma's zoals de EU Cybersecurity Strategy en wetten zoals de Data Act en de Data Governance Act moeten daarbij zorgen voor de juiste infrastructuur. Met de AI-verordening heeft de Europese unie de basis gelegd voor de ontwikkeling en regulering van veilige en legale AI. Weliswaar geldt de wet slechts binnen de grenzen van de EU, maar gezien in- en exportbelangen en de omstandigheid dat de AI-verordening de eerste wet op dit gebied is, kan het de basis van een wereldwijde norm worden.

NEN werkt mee aan ISO/IEC 5338

Omdat de Europese AI-verordening een raamwet is die vooral doelen en eisen vastlegt, is gedetailleerde invulling (het 'hoe') vooralsnog aan de software-ontwikkelaars en gebruikers. Die opereerden nog op gevoel en naar de best beschikbare praktijkrichtlijnen of de reeds beschikbare norm ISO/IEC 5338 (Information technology – Artificial intelligence – AI system life cycle processes). Het Nederlands normalisatiebedrijf NEN streeft naar standaardisatie binnen de wettelijke kaders en werkt aan bijvoorbeeld het risicobeheer dat fabrikanten van highrisk-AI intern zullen moeten organiseren.
NEN roept belanghebbenden op om plaats te nemen in de normcommissie AI & Big Data om zo mee te kunnen beslissen over de praktische uitwerking van de verplichtingen in de AI-verordening.

Lees ook de volledige tekst van de EU AI-verordening (419 pagina's, Engels) 

Bronnen: persberichten Raad van de EU, NEN, Volkskrant
Home
fShare
Cookies zijn essentieel voor een goede werking van deveiligheidskundige.nl. Door op oké te klikken geeft u toestemming voor het gebruik van cookies op deze website.
Oké Niet oké