Europese AI Act legt ook afnemers regels op
De Europese verordening met regels voor artificial intelligence (AI) zal naar verwachting de komende twee jaar geleidelijk in werking treden. Deze zogeheten AI Act bevat een hoop regels voor de makers van AI-toepassingen, maar óók voor een deel van de afnemers.
De Europese AI Act heeft zo'n beetje de laatste politieke horde genomen. Nadat eind vorig jaar al een politiek akkoord is bereikt, heeft het Europees Parlement op 13 maart met grote meerderheid ingestemd met de voorlopige tekst van de verordening. De Europese lidstaten moeten nu nog hun definitieve akkoord geven, wat naar verwachting in mei zal gebeuren. Vervolgens worden de regels uit de AI Act geleidelijk ingevoerd. Waarschijnlijk is de volledige verordening vanaf medio 2026 van kracht.
Strengere regels bij hoger risico
De ontwikkelingen rondom AI gaan razendsnel, en dat brengt ook zorgen en risico's met zich mee. Daarom werkt de EU aan regulering, via een verordening. De regels moeten ervoor zorgen dat AI veilig en betrouwbaar is voor gebruikers en fundamentele rechten en democratie respecteert. De AI Act verbiedt toepassingen die volgens de EU een te grote bedreiging vormen voor de fundamentele rechten. Voorbeelden zijn het ongericht verzamelen van gezichtsfoto's van het internet voor het opzetten van een database voor gezichtsherkenning. Maar ook systemen voor het herkennen van emoties op de werkvloer mogen niet. Deze verboden gaan overigens al een halfjaar na het definitief vaststellen van de AI Act in.
Daarnaast maakt de verordening onderscheid in het risico dat een AI-toepassing met zich meebrengt. Hoe hoger het risico, hoe strenger de regels. AI-toepassingen op medisch gebied vallen bijvoorbeeld in de categorie 'hoog risico', met strenge voorschriften. Chatbots voor klantenservice krijgen bijvoorbeeld het label 'beperkt risico', en daarvoor zijn de regels veel soepeler. Een beknopt overzicht van de verschillende toepassingen en risicogroepen, staat in deze Engelstalige pdf.
Afnemer moet mogelijk ook aan de bak
Het idee is dat makers van AI-toepassingen dankzij de AI Act kaders hebben waar hun producten aan moeten voldoen, en dat afnemers er op kunnen vertrouwen dat de software veilig werkt. Leveranciers van AI-toepassingen krijgen dus te maken met flink wat regels, zeker de makers van toepassingen in de categorie 'hoog risico'. Zij moeten ervoor zorgen dat hun systemen voldoen aan tal van voorschriften, onder meer op het gebied van risicomanagement en cyberveiligheid.
Maar de afnemers van AI-toepassingen kunnen ook weer niet achterover leunen en ervan uitgaan dat de leverancier het allemaal wel regelt. Aan afnemers van AI-toepassingen met een hoog risico legt de AI Act namelijk ook regels op, zij het minder dan aan de makers ervan. Het gaat hier dan overigens om de organisatie die de AI-toepassing professioneel implementeert, niet om wettelijke plichten voor de werknemer als eindgebruiker. In artikel 29 van de verordening (zie deze pdf vanaf pagina 137) staat bijvoorbeeld dat de afnemer technische en organisatorische maatregelen moet nemen om de AI-toepassing volgens de voorschriften van de leverancier te kunnen gebruiken. Ook moeten zij ervoor zorgen dat er altijd menselijke controle is, door werknemers die daar voldoende voor opgeleid zijn.
Werknemers informeren
Verder zet de verordening uiteen dat werkgevers die AI-toepassingen met een hoog risico willen inzetten op de werkvloer, dat ook moeten melden aan betrokken werknemers en hun vertegenwoordigers. Hierbij is het dus ook aan de ondernemingsraad van een organisatie om alert te zijn op de ontwikkelingen. Voor organisaties zelf geldt dat zij er ook verstandig aan doen niet alleen maar af te wachten waar hun AI-leverancier mee komt. De Nederlandse AI Coalitie, een samenwerkingsverband tussen de overheid en (vertegenwoordigers van) het bedrijfsleven, raadt organisaties bijvoorbeeld aan om nu al te inventariseren welke AI-systemen zij gebruiken, en in welke risicocategorie die systemen vallen. Aan de hand daarvan is het mogelijk ook nodig om technische aanpassingen te doen of personeel te gaan trainen.