De AI-verordening is wereldwijd de eerste uitgebreide wet over kunstmatige intelligentie. In deze wet staan regels voor het verantwoord ontwikkelen en gebruiken van AI door bedrijven, overheden en andere organisaties.
De eerste eisen gelden vanaf februari 2025. Sommige toepassingen van AI worden verboden. De Nederlandse Autoriteit Persoonsgegevens raadt ontwikkelaars en organisaties en bedrijven die gebruik maken van AI aan zich nu alvast voor te bereiden op de bepalingen van de nieuwe wet.
Risico’s inventariseren
Voor ontwikkelaars en gebruikers van AI is het van belang te inventariseren welke AI-systemen zij aanbieden of zelf gebruiken.
Er zijn verschillende risicogroepen. Het kan gaan om AI-systemen die straks verboden zijn, systemen met een hoog risico, of systemen met een beperkt risico.
- Verboden AI. Ontwikkelaars moeten deze systemen uit de handel nemen en organisaties die ze gebruiken moeten daarmee stoppen. De bepalingen over verboden AI zijn vanaf februari 2025 al van kracht. De kans is groot dat organisaties met deze systemen nu al de wet overtreden, bijvoorbeeld wetgeving op het gebied van gelijke behandeling, privacy, of arbeidswetgeving. Vanaf augustus 2025 moeten organisaties die verboden AI ontwikkelen of inzetten rekening houden met forse boetes. De Autoriteit Persoonsgegevens zegt de komende tijd meer duidelijkheid te geven over welke systemen wel en niet onder het verbod vallen.
- AI met een hoog risico. Deze systemen moeten voldoen aan eisen zoals risicobeheer, de kwaliteit van de gebruikte data, technische documentatie en registratie, transparantie en menselijk toezicht. Er is ook een keurmerk verplicht voor deze systemen. Gebruikers van AI-systemen kunnen al informeren bij de aanbieder of deze voorbereidingen treft om het AI-systeem te laten voldoen aan de eisen. Voor overheden of uitvoerders van publieke taken gelden soms aanvullende vereisten. Dat kan bijvoorbeeld een ‘grondrechteneffectbeoordeling’ zijn. Lukt het niet om aan deze eisen te voldoen, dan mogen ontwikkelaars deze systemen niet aanbieden en mogen organisaties ze niet gebruiken.
- AI met een beperkt risico. Voor systemen die bedoeld zijn om met personen in contact te komen of die inhoud genereren, zoals deepfakes, gelden transparantieverplichtingen. Als deze systemen worden aangeboden of gebruikt, moeten mensen daarover worden geïnformeerd. Ontwikkelaars moeten hun systemen zo ontwerpen dat dit kan, en organisaties die de systemen inzetten moeten mensen daadwerkelijk op de hoogte brengen. Gebruikers van AI-systemen doen er goed aan te informeren bij de aanbieder hoe het daarmee staat.
Kennisplicht vanaf februari 2025
Vanaf februari 2025 geldt ook de eis dat organisaties die AI-systemen inzetten, voldoende kennis in huis moeten hebben over AI. Het kennisniveau per medewerker moet aansluiten bij de context waarin de AI-systemen worden gebruikt en hoe de systemen personen kunnen raken.
De AI-kennisplicht betekent dat een organisatie moet weten dat een AI-systeem vooroordelen kan bevatten of essentiële informatie kan negeren. Daardoor kan bijvoorbeeld een sollicitant onterecht wel of juist niet worden voorgedragen.
Een baliemedewerker bij een gemeente die AI-systemen gebruikt om de identiteit van burgers te verifiëren, moet beseffen dat deze systemen vaak niet even goed werken voor iedereen. En dat diegene de uitkomsten van dit soort AI-systemen dus niet blindelings kan volgen.
Ondernemingsraad en AI
De Sociaal-Economische Raad (SER) adviseert ondernemingsraden het gesprek aan te gaan met de bestuurder over de impact van technologische ontwikkelingen, zoals AI. De or behoort te weten welke besluiten gaan vallen met betrekking tot de inzet van technologie en de gevolgen die dat kan hebben voor de medewerkers.
De Autoriteit Persoonsgegevens heeft een stappenplan ontwikkeld voor ontwikkelaars en gebruikers over de acties die zij moeten nemen om aan de AI-verordening te voldoen.
