Europese AI Act treedt in werking
De Europese Unie werkt al geruime tijd aan wetgeving voor artificiële intelligentie. Eerder dit jaar werd een akkoord bereikt over hoe die AI Act er precies uit moet zien. De wetgeving werd midden juli gepubliceerd in EUR-Lex – het Europese equivalent van het Belgische staatsblad, zeg maar. Daardoor kan de wetgeving nu ook in werking treden. Een schokgolf zal dat echter niet meteen veroorzaken. De wet wordt namelijk uitgerold in verschillende fases, waarvan de eerste nu aanbreekt.
Van hoog naar laag risico
De AI Act zet eerst en vooral uiteen hoeveel risico aan welke soorten AI-systemen verbonden is. Systemen met een onacceptabel risico, zoals biometrische identificatie en sociale kredietsystemen zijn regelrecht verboden. Wel bestaat er een uitzondering voor veiligheidsdiensten: die mogen de technologie aanwenden om bijvoorbeeld naar vermiste personen te zoeken.
Systemen die een hoog risico inhouden zijn AI-tools die zich toespitsen op onderwijs, kritieke infrastructuur zoals vervoer, aanwerving van personeel en rechtspraak krijgen ook een aantal regels opgelegd. Zo moeten zij activiteiten loggen om de resultaten traceerbaar te maken, en worden ze verplicht om een menselijk toezicht in te bouwen. Bedrijven die aan systemen met beperkt risico bouwen, zoals chatbots, moeten zich transparanter opstellen en ervoor zorgen dat AI-content als dusdanig herkenbaar is.
Gefaseerde wetgeving
De AI Act gaat op 1 augustus in, en zal in eerste instantie een aantal AI-systemen verbannen. Bedrijven en personen die zo’n systeem met onacceptabel risico gebruiken, krijgen 6 maanden de tijd om het gebruik ervan te staken. Begin 2025 zouden de eerste effecten van de nieuwe wetgeving dus zichtbaar moeten zijn.
In april 2025 komen er bijkomende richtlijnen voor AI-ontwikkelaars. Hoe die eruit zullen zien, is nog niet geweten: ze moeten namelijk nog geschreven worden. De vraag is echter wie die regels precies gaat schrijven. De EU zou daarvoor verschillende consultancybedrijven hebben aangesproken. Dat levert een ietwat vervelende situatie op: AI-bedrijven zouden op die manier de wetgeving kunnen beïnvloeden, en dat is natuurlijk niet de bedoeling.
Over een jaar pas gaan de transparantieverplichtingen voor tools zoals ChatGPT, Gemini en Copilot in. De bedrijven zullen dan helder moeten communiceren over de werking van hun AI-systemen en eventuele problemen ermee.
Voor AI-systemen met een hoog risico geldt een iets langere deadline: meeste van die systemen moeten binnen de 24 maanden aan de nieuwe regels voldoen. Sommige systemen krijgen zelfs een jaar langer om in de pas te lopen. Dat valt op zich goed te verstaan: bij de wijzigingen die hier moeten gebeuren, kan niet over één nacht ijs gegaan worden.
Handhaving
De handhaving van de wet zal, zoals dat voor de GDPR ook het geval is, op het nationale vlak gebeuren. Daarvoor moeten Europese lidstaten voor augustus 2025 een toezichthouder aangeduid hebben. Wie dat in België zal worden, daar wordt eigenlijk nog niet over gesproken: de regering-De Croo zit momenteel in lopende zaken, en schuift de kwestie door naar de volgende regering. Op inbreuken van de AI Act staan flinke boetes. De boetebedragen zijn steeds een percentage van de globale jaaromzet van een bedrijf. Hoe hoog dat percentage ligt, hangt af van het type inbreuk. Voor het gebruiken van een verboden AI-systeem mogen bedrijven 7% van de jaaromzet afgeven. Anders bedragen de boetes 3% van de omzet. Indien een bedrijf verkeerde informatie meegeeft aan regulatoren, kost dat 1,5% van de omzet. Bedrijven hebben er dus alle belang bij om ervoor te zorgen dat hun werking overeenstemt met de Europese AI-wet.
Dit artikel verscheen eerder op 12 juli en werd bijgevuld met de meest recente informatie. Ook werd bijkomende informatie over de handhaving van de wet toegevoegd.