De Europese Unie heeft onlangs een politiek akkoord bereikt over regelgeving voor toepassingen van artificial intelligence (AI). Wat kunnen organisaties op termijn gaan merken van deze nieuwe regels?
De ontwikkelingen rondom AI (ook wel kunstmatige intelligentie genoemd) gaan razendsnel, ook op de werkvloer. Zeker sinds er met ChatGPT (verdiepingsartikel) een gebruiksvriendelijke versie is voor het genereren van tekst heeft het gebruik een vlucht genomen. Maar deze 'generatieve AI' is maar één vorm van AI: de technologie kan op veel meer vlakken worden ingezet.
De snelle ontwikkelingen brengen echter ook zorgen met zich mee. Bijvoorbeeld over de risico's op het gebied van privacy en digitale veiligheid. Mede daarom werkt de Europese Unie aan regulering via een verordening, de AI Act. De kern is dat de regels ervoor moeten zorgen dat AI veilig en betrouwbaar is voor gebruikers en fundamentele rechten en democratie respecteert. Maar de verordening geeft ook regels aan organisaties om te profiteren van de mogelijkheden van AI en te werken aan innovaties. Inmiddels is er een voorlopig akkoord bereikt over deze regelgeving, maar de verwachting is dat de regels op z'n vroegst in 2025 in werking treden. Het Europese Parlement moet er namelijk nog over stemmen.
De regels van de AI Act maken onderscheid naar de impact van de AI-toepassing. Hoe meer impact, hoe strenger de regelgeving is. De AI-toepassingen die volgens de EU een te grote bedreiging vormen voor fundamentele rechten worden helemaal verboden. Voorbeelden zijn het ongericht verzamelen van gezichtsfoto's van het internet voor het opzetten van een database voor gezichtsherkenning. Maar ook systemen voor het herkennen van emoties op de werkvloer mogen niet.
Daarnaast zijn er strenge regels voor AI-toepassingen met een hoog risico. Daarbij gaat het om toepassingen waarbij een verkeerde AI-beslissing grote gevolgen kan hebben, zoals bij medische toepassingen. Dergelijke toepassingen moeten gaan voldoen aan een hele reeks voorschriften, bijvoorbeeld op het gebied van risicomanagement en cyberveiligheid. Voor AI-systemen die in de categorie 'beperkt risico' vallen, zoals chatbots, gelden vrij soepele regels. Die komen er vooral op neer dat de toepassingen transparant moeten zijn over dat er AI gebruikt wordt. Een beknopt overzicht van de regels vindt u in deze pdf.
In eerste instantie hebben de regels uiteraard impact op bijvoorbeeld softwareondernemingen die AI toepassen bij hun producten. Zij moeten ervoor gaan zorgen dat hun software voldoet aan de nieuwe regels. Het overtreden van de regelgeving kan uiteindelijk leiden tot fikse boetes, tot € 35 miljoen of 7,5% van de wereldwijde omzet van een concern. De EU laat de handhaving over aan lokale toezichthouders, dus in Nederland de Autoriteit Persoonsgegevens.
Tegelijkertijd is het ook voor afnemers van AI-toepassingen nuttig om al in kaart te gaan brengen of systemen die essentieel zijn voor de bedrijfsvoering wel voldoen aan de AI Act. En zo niet, is de leverancier bezig met aanpassingen? Of valt anders het contract tijdig op te zeggen als de verordening eenmaal in werking is getreden? Ook voor de ondernemingsraad is het zaak om alert te zijn op de ontwikkelingen rondom de wetgeving en bij het gebruik van AI op de werkvloer.