De Europe AI Act – Een juridisch kader voor gebruik van artificiële intelligentie systemen

Over artificiële intelligentie (of “AI”) is de laatste tijd bijzonder veel te doen. Het gebruik van AI-systemen (zoals het bekende Chat GPT) is op korte tijd algemeen verspreid geraakt en de mogelijkheden ervan lijken eindeloos. Aan het gebruik van zulke systemen zitten echter ook belangrijke (bijvoorbeeld ethische en privacy) risico’s.

De Europese Unie heeft daarom beslist om een wetgevend kader te creëren voor het gebruik van “AI systemen”. Op 1 augustus 2024 is de “Artificial Intelligence Act” (kortweg de “AI Act”) officieel in werking getreden. De AI act is een “Verordening”, dat is Europese wetgeving die rechtstreeks van toepassing is in de ganse Europese Unie.

Wat zijn AI-systemen eigenlijk?

De AI Act hanteert een brede definitie van AI-systemen. Het betreft alle systemen die “machine-based” zijn en dus kunnen leren van data om zich aan te passen aan nieuwe informatie. Dit omvat een scala aan technologieën, van eenvoudige algoritmes tot zeer complexe machine learning-modellen.

De AI Act verdeelt AI-systemen in verschillende categorieën, rekening houdend met het risiconiveau:

• Systemen met een “onaanvaardbaar risico”: dit zijn systemen die bijvoorbeeld op basis van sociaal gedrag of emoties mensen gaan evalueren (zogenaamde “social scoring”). De Europese wetgever vindt dat zulke systemen een flagrante inbreuk zijn op de fundamentele rechten van haar burgers en heeft daarom beslist dat zulke systemen verboden worden.
• “Hoog risico” systemen: In deze categorie vallen AI-systemen die gebruikt worden voor bepaalde kritieke sectoren (kritieke infrastructuur, onderwijs, human resources, financiële sector,…). Voor deze categorie van AI systemen geldt dat ze toegelaten zijn, maar wel onderworpen worden aan strikte regels.
• “General Purpose AI” (of “GPAI”) systemen. Dit zijn AI systemen die in verschillende sectoren toepassingen vinden. Omwille van hun algemene toepassingen en de omvang ervan, wordt ook dit type van AI systemen gereguleerd.
• Tenslotte zijn er de AI systemen met een “beperkt risico”. In deze categorie vallen de intussen bekende chatbots of personal assistants. Voor het gebruik van zulke systemen moet het duidelijk zijn dat de gebruiker met een machine converseert.

Deze classificatie laat toe om de regels per type van AI-systeem te gaan bepalen op basis van het risico.

Toepassingsgebied?

De AI Act is van toepassing op:

• Aanbieders van AI systemen binnen de EU (ongeacht of de aanbieder zelf in de EU gevestigd of is daarbuiten).
• Gebruikers van AI systemen binnen de EU.

Net zoals met de GDPR heeft de Europese wetgever dus nu ook ondernemingen in het vizier genomen die buiten de EU gevestigd zijn, maar hun AI systemen op de EU markt willen brengen.

Inwerkingtreding?

De inwerkingtreding van de AI Act is stapsgewijs. Enkele belangrijke data zijn:

• Vanaf 2 februari 2025 zullen AI-systemen met een onaanvaardbaar risico verboden worden binnen de Europese Unie.
• Vanaf 2 augustus 2025 (dus 12 maanden na de inwerkingtreding van de AI Act) zullen er regels rond het gebruik van GPAI systemen in werking treden.
• Vanaf 2 augustus 2027 (36 maanden na inwerkingtreding van de AI Act) treden ook de verplichtingen voor de “hoge risico” AI Systemen finaal in werking.

Het doel van de AI Act is om de wetgeving mee te laten evolueren met de technologie – updates en aanpassingen zullen dan ook noodzakelijk zijn.

Afdwingbaarheid?

De EU hoopt met deze AI Act dezelfde minimum standaard voor het gebruik van AI-systemen te creëren zoals ze dit eerder op vlak van privacy (met de bekende “GDPR”) heeft gedaan.

Bedoeling is dan ook om – net zoals bij de GDPR –de wetgeving afdwingbaar te maken ten aanzien van ondernemingen die zich niet aan de nieuwe regels houden. In navolging van diezelfde GDPR komt er een in elke lidstaat een “AI regulator” die op de regels toeziet (en boetes kan uitdelen). Voor de grote omvangrijke “GPAI systemen”, komt er een EU regulator om deze gepast te kunnen monitoren.

Afhankelijk van het type inbreuk kunnen boetes uitgereikt worden tot een bepaald percentage van de jaarlijkse wereldwijde omzet. Zo zullen de boetes voor een overtreding van de zwaarste categorie inbreuken kunnen oplopen tot 35.000.000 EUR of 7% van de wereldwijde jaarlijkse omzet.

De ervaring met de GDPR leert dat zulke boetes ook effectief uitgedeeld worden en het de EU menens is met het beschermen van haar burgers.

Wat houdt deze wetgeving nu concreet in voor ondernemers?

Ondernemers zullen moeten nagaan welke AI systemen binnen hun onderneming (bewust of onbewust) gebruikt worden (en onder welke categorie deze systemen onder de AI Act zullen kwalificeren).

Op basis van die analyse kan dan nagegaan worden welke (interne) regels ingevoerd dienen te worden, bijvoorbeeld over hoe werknemers met AI systemen dienen om te gaan en hierover de nodige training te geven.

Concreet zullen ondernemingen tegen februari 2025 maatregelen moeten nemen om een toereikend niveau van kennis rond AI te hebben voor werknemers die omgaan met AI systemen.

Onze experts van PKF BOFIDI Legal kunnen jou hierin uiteraard ondersteunen en begeleiden. Neem gerust contact op met ons team via info@pkfbofidilegal.com.

Dit artikel werd geschreven door Tim Fransen.