Maakt u binnen uw onderneming gebruik van AI?
- On 02/12/2024
Dit is wat de AI act voor u verandert.
Vanaf 2 augustus 2024 trad de EU AI Act officieel in werking. Dit is een baanbrekende wetgeving: het is de eerste uitgebreide AI-wet ter wereld. De AI act (AI-wet) zal in fasen worden toegepast. Hierdoor krijgen organisaties de tijd om zich aan te passen aan de nieuwe regels en vereisten. De volledige wet zal toepasbaar zijn binnen 2 jaar.
1. Doel van de AI-wet
Het doel van de AI-wet is duidelijk: de AI-wet wil een veilige en betrouwbare toepassing van AI-technologieën bevorderen. Innovatie en ethiek staan hierbij centraal: terwijl het technologische vooruitgang stimuleert, wil het de grondrechten van mensen beschermen en risico’s goed beheren.
Men zorgt er dus met de invoering van deze wetgeving voor dat we in Europa kunnen gebruik maken van al het bijzonders dat AI te bieden heeft, zonder te grote risico’s te lopen.
De AI-wet legt dus uniforme regels vast voor het gebruik van AI in de Europese Unie. Hiermee wil de EU een consistent kader creëren dat aansluit bij de bestaande regelgeving zoals de Algemene Verordening Gegevensbescherming (AVG), de Digital Services Act (DSA), de Digital Markets Act (DMA), de Data Act en de Data Governance Act. Door deze samenvoeging ontstaat een overzichtelijk raamwerk voor digitale technologie.
2. Wat verandert er?
De wet introduceert specifieke regels, zoals:
- Aanpak van risico’s die specifiek worden gecreëerd door AI;
- Opstellen van lijsten met hoog-risico toepassingen;
- Handhaving nadat een bepaald AI-systeem in de handel is gebracht;
- Governance op Europees en nationaal niveau;
- …
De AI-wet hanteert een risicogebaseerde benadering door AI-systemen te classificeren op basis van risico’s. Dit resulteert in vier categorieën, elk met eigen verplichtingen en toezicht:
- Minimaal risico
Dit omvat eenvoudige AI-toepassingen zoals spamfilters en videogames. Voor deze categorie is geen specifieke regelgeving vereist. - Beperkt risico
AI-systemen zoals chatbots en deepfakes vallen hieronder. Voor deze systemen geldt een transparantieverplichting; gebruikers moeten weten dat ze met AI te maken hebben, tenzij dit vanzelfsprekend is. - Hoog risico
AI-systemen die worden gebruikt in sectoren zoals transport, gezondheidszorg en rechtshandhaving behoren tot deze categorie. Deze systemen moeten aan strenge eisen voldoen, waaronder risicobeoordelingen, het gebruik van hoogwaardige datasets en menselijk toezicht. - Onaanvaardbaar risico
AI-toepassingen die schadelijk kunnen zijn voor de samenleving. Een voorbeeld hiervan is een sociaal scoresysteem. Deze toepassingen worden volledig verboden in de EU.
3. Voor wie geldt de AI-wet?
De AI-wet richt zich op iedereen die AI-systemen ontwikkelt, aanbiedt, importeert, distribueert of gebruikt binnen de EU. Dit omvat zowel grote bedrijven als startups en ook particulieren. Organisaties die hoogrisico-AI inzetten, worden geconfronteerd met strikte verplichtingen op het gebied van risicobeheer, transparantie en governance.
Voor eindgebruikers, zoals particulieren en kleinere bedrijven, brengt de AI Act vooral voordelen met zich mee: de wet zet in op meer transparantie en veiligheid. Denk bijvoorbeeld aan het gebruik van AI-tools zoals M365 Copilot of geavanceerde chatbots, thuis of op het werk. Deze toepassingen vallen doorgaans onder de categorie “beperkt risico” en moeten volgens de AI-wet voldoen aan de nieuwe transparantie-eisen.
4. Wat moet u nu als onderneming doen?
Als u AI-systemen ontwikkelt of gebruikt, moet u nu actie ondernemen om te voldoen aan de regels van de AI-wet. Afhankelijk van het risiconiveau waarin uw AI-toepassing valt, zijn er verschillende stappen die u moet ondernemen:
1. Identificeer het risiconiveau van uw AI-systemen
Met het risiconiveau van uw AI-toepassingen hangen verplichtingen samen. Zo weet u welke regels op uw organisatie van toepassing zijn.
- Inventarisatie: Breng alle AI-systemen in kaart die uw organisatie heeft ontwikkeld, gebruikt of gedistribueerd. Stel vast of deze onder de AI-wet vallen.
- Documentatie: Houd een uitgebreide inventaris bij van alle AI-systemen. Deze inventaris dient om risico’s te identificeren en beheersen, en vormt de basis voor toekomstige audits.
- Classificatie: Onderzoek of uw AI-systemen behoren tot de categorieën “minimaal”, “beperkt”, “hoog” of “onaanvaardbaar risico”, zoals gedefinieerd door de AI-wet.
2. Waarborg de kwaliteit en veiligheid van datasets
Voor hoogrisico AI-systemen gelden strenge eisen met betrekking tot de datasets en de prestaties van het systeem:
- Datakwaliteit: Gebruik hoogwaardige, representatieve datasets om uw AI-systemen te trainen. Adequate representatie helpt om vooroordelen en ongelijkheden te minimaliseren.
- Logboeken: Houd een logboek bij van alle activiteiten die verband houden met de werking van het AI-systeem. Deze traceerbaarheid is verplicht om naleving te waarborgen.
- Cyberbeveiliging: Implementeer robuuste maatregelen om de nauwkeurigheid, veiligheid en betrouwbaarheid van uw AI-systemen te beschermen tegen cyberdreigingen en datalekken.
3. Zorg voor documentatie en menselijk toezicht
Indien uw AI-systemen als hoogrisico geïdentificeerd zijn, dient u uitgebreid te documenteren en een beleid opstellen om aan de regelgeving te voldoen:
- Technische specificaties:
Documenteer de technische kenmerken van het systeem, inclusief de gebruikte algoritmen, testresultaten en prestatieniveaus. Meer info over wat hier precies in moet vindt u hier terug: EU artificial intelligence act. - Risicobeoordelingen:
Stel een grondige beoordeling op van risico’s die voortvloeien uit het gebruik van het systeem, inclusief mitigerende maatregelen. U ontwikkelt een “Risk management system”. - Menselijke controle:
Waarborg dat AI-systemen onder menselijke supervisie blijven. Geef duidelijke richtlijnen voor menselijke tussenkomst wanneer nodig. - Governance:
Stel een intern beleid op dat richtlijnen biedt voor de verantwoording, risicobeheer, kwaliteitsbewaking en monitoring van AI-systemen binnen uw organisatie.
4. Stop verboden toepassingen
Stop onmiddellijk met systemen die onder de categorie “onaanvaardbaar risico” vallen. AI-systemen die door de AI Act hieronder zijn geclassificeerd, zijn verboden binnen de EU. Dit omvat toepassingen zoals sociale scoresystemen en technologieën die subliminale manipulatie gebruiken. Organisaties moeten onmiddellijk stoppen met de ontwikkeling of het gebruik van dergelijke systemen.
Handhaving en boetes
De handhaving van de AI Act is een gezamenlijke inspanning van de lidstaten en de Europese Commissie. De Commissie heeft exclusieve bevoegdheid gekregen om toezicht te houden op de naleving van de regels en kan aanzienlijke boetes opleggen bij overtredingen. De boetes worden toegekend op basis van de risicocategorie van het AI-systeem. Bijkomend dienen de lidstaten consistent rekening te houden met de belangen van KMO’s en start-ups.
Mogelijke risico’s van AI
Het gebruik van AI binnen uw bedrijf roept tal van vragen op over veiligheid, privacy en wetgeving. Ook al biedt AI een enorm grote mogelijkheid tot kansen en uitdagingen, tegelijk is het belangrijk aandacht te hebben voor juridische en technische risico’s zoals GDPR, auteursrechten en beveiliging.
Datalek
Risico
Een groot risico dat een onderneming kan kennen bij het gebruik van AI is het lekken van bedrijfsgeheimen. AI-systemen leren namelijk van grote hoeveelheden data. Ze gebruiken dan ook de data die de gebruiker zelf ingeeft om hun kennis bij te werken. Indien uw werknemer bijvoorbeeld een vraag stelt aan bv chatgpt, informatie verschaft over uw bedrijf, of documenten doorstuurt, voedt het het systeem. Deze gegevens komen in de dataset die AI gebruikt om antwoorden te genereren voor andere gebruikers, en mogelijks dus ook voor concurrenten/buitenstaanders. Om deze reden is het van belang uw werknemers te vragen geen bedrijfsgegevens/klantengegevens/bedrijfsgeheimen door te geven aan AI zoals Chatgpt.
Oplossing
Wat kan een onderneming ondernemen om de risico’s van AI te beperken in de praktijk voor de werknemers?
Als onderneming is het belangrijk om u te beschermen tegen de mogelijke lekken van bedrijfsgegevens via AI. Om deze reden kunnen wij u dan ook adviseren om een AI-beleid uit te werken binnen uw organisatie/onderneming waarin het intern gebruik van AI wordt geregeld. Zo kan u als onderneming bepalen welke AI-tool uw werknemers mogen gebruiken en welke tools er volledig worden verboden/uitgesloten. Hierin kan ook best worden opgenomen met welk account hier kan worden ingelogd en tot slot welke gegevens er al dan niet gedeeld mogen worden.
Een bijkomende mogelijkheid hierin is het trainen van uw werknemers. Geef hen mee op welke manier ze veilig kunnen omgaan met AI-tools. U kan zelf een seminarie geven of uw werknemers hierover een opleiding laten volgen.
Tot slot is het ook van belang om deze regels op te nemen in uw GDPR compliance documentatie.
Copyright, eigendoms- en auteursrechten
AI-systemen evolueren razendsnel dankzij de enorme hoeveelheid input die zij dagelijks ontvangen van gebruikers wereldwijd. Deze technologieën kunnen inmiddels zelfstandig nieuwe werken of zelfs uitvindingen genereren. Dit roept belangrijke vragen op over auteursrechten en intellectuele eigendomsrechten. Hoe moeten deze situaties juridisch worden geïnterpreteerd? Volgens de huidige wetgeving kunnen auteursrechten enkel worden toegekend aan creaties van natuurlijke personen. Dit betekent dat wanneer een werk volledig wordt gegenereerd door een AI-systeem zonder menselijke tussenkomst, dit werk niet onder de bescherming van het auteursrecht valt. Daarentegen is er wél ruimte voor auteursrechtelijke bescherming wanneer er sprake is van creatieve input van een mens. Bijvoorbeeld: als een persoon een AI-systeem gebruikt als hulpmiddel en daarbij zelf creatieve keuzes maakt, kan het resultaat onder bepaalde omstandigheden worden beschouwd als een door een mens gemaakte creatie.
Conclusie
AI-tools bieden ondernemingen een waardevolle en innovatieve ondersteuning in het dagelijkse werkproces. Deze technologieën zijn bijzonder aantrekkelijk voor werknemers vanwege hun efficiëntie en veelzijdigheid. Toch brengt het gebruik ervan ook specifieke risico’s en juridische aandachtspunten met zich mee.
Als onderneming is het van cruciaal belang om werknemers te informeren over de toepasselijke wetgeving, de risico’s verbonden aan het gebruik van AI en de interne regels die hierop van toepassing zijn. Door duidelijke richtlijnen en beleidskaders te implementeren, kan het gebruik van AI binnen de organisatie op een veilige en verantwoorde manier worden geïntegreerd.
Gezien de snelle en voortdurende ontwikkelingen binnen de AI-technologie, is het essentieel om dit thema op korte termijn op te pakken. Het erkennen van de ernst en complexiteit van deze ontwikkelingen is van belang, aangezien de AI-sector voorlopig niet zal stabiliseren. Voor een toekomstbestendige werkomgeving is een proactieve aanpak dan ook onmisbaar.
Heeft u vragen over wat deze wet voor uw organisatie betekent of wenst u een beleid uit te werken? Neem contact op met ons team van experts. Refibo bv beantwoordt graag al uw vragen over dit onderwerp. Contacteer ons gerust telefonisch op het nummer +32 9 223 31 54 of per mail op het mailadres studiedienst@refibo.be.