De AI Act is vandaag gepubliceerd in het Publicatieblad van de Europese Unie. Voor ondernemingen die gebruik maken van artificiële intelligentie in hun bedrijfsprocessen is de klok begonnen met aftellen. Op 1 augustus 2024 treedt de AI Act in werking en binnen de 2 jaar moeten de meeste verplichtingen voor ondernemingen nageleefd worden. In deze newsflash worden de belangrijkste krachtlijnen en actiepunten voor ondernemingen uiteengezet.
1) Opmars van artificiële intelligentie in bedrijfsprocessen
Artificiële intelligentie (AI) lijkt de laatste tijd alomtegenwoordig te zijn. Zo kondigde een softwarebedrijf recent aan dat zij naar een 4-dagen werkweek kon omschakelen, onder meer dankzij efficiëntieverhoging door AI. Volgens de cijfers van Eurostat is België bij de koplopers in de EU met 14 % van de respondenten die aangaven in 2023 gebruik te hebben gemaakt van AI binnen hun onderneming. Daarmee ligt België ruim boven het Europees gemiddelde van 8%. Dit bleek ook uitde Claeys & Engels HR Beaconwaar eveneens 14% van de bevraagden aangaven reeds AI te hebben gebruikt.
2) Doel van de AI Act
Het doel van de AI Act is om binnen Europa een uniform rechtskader te creëren voor de ontwikkeling, het in de handel brengen, het in gebruik stellen en het gebruik van AI-systemen. De AI Act wil de introductie van mensgerichte en betrouwbare AI bevorderen en zorgen voor een hoge mate van bescherming van de gezondheid, de veiligheid en de grondrechten zoals opgenomen in het Handvest van de Europese Unie.
3) Risico gebaseerde aanpak
Om dat doel te verwezenlijken, wordt een risicogebaseerde aanpak gevolgd in de AI Act. Zo worden de toepasselijke regels afgestemd op de ernst en de omvang van de risico's die AI systemen met zich meebrengen.
De AI Act verbiedt vooreerst enkele onaanvaardbare praktijken op het gebied van AI. Zo wordt het gebruik van AI-systemen om emoties af te leiden van personen op de werkplek in principe verboden. Dit verbod gaat al in vanaf februari 2025.
Vervolgens zijn er een aantal AI-systemen die gekwalificeerd worden als 'hoog risico'. Deze AI-systemen moeten voldoen aan een aantal dwingende vereisten. Veel AI-systemen die gebruikt worden voor HR doeleinden, zullen onder de hoog risico categorie vallen. In een context van rekrutering gaat dit bijvoorbeeld om AI-systemen die gebruikt worden voor het werven of selecteren van natuurlijke personen, met name voor het plaatsen van gerichte vacatures, het analyseren en filteren van sollicitaties en het beoordelen van kandidaten.
Tot slot zijn er AI-systemen die bij een gebrek aan transparantie een beperkt risico inhouden. Onder deze categorie vallen bijvoorbeeld AI-systemen die dienen om de taal van eerder opgestelde documenten te verbeteren of vragen te beantwoorden (bijvoorbeeld met ChatGPT). Ondernemingen zullen in deze context aan de betrokkene kenbaar moeten maken dat de content AI gegenereerd is.
4) Actoren onder de AI Act
De AI Act bevat verschillende verplichtingen naargelang een organisatie kwalificeert als aanbieder, importeur, distributeur, fabrikant van producten, gemachtigde of zogenaamde gebruiksverantwoordelijke (deployer, hierna 'gebruiker'). Werkgevers zijn in de meeste gevallen te kwalificeren als gebruikers.
Echter kan een kwalificatie als aanbieder (provider) niet worden uitgesloten. Dit zal bijvoorbeeld het geval zijn wanneer een onderneming niet louter gebruik maakt van een bestaand AI-systeem, maar een bestaand AI-systeem verder laat ontwikkelen en ter beschikking stelt voor gebruik onder eigen naam. De drempel tussen gebruikers en aanbieders kan klein zijn, maar de gevolgen op het vlak van verplichtingen zijn dat niet.
5) Verplichtingen aanbieders en gebruikers
De meeste verplichtingen onder de AI Act gelden voor de aanbieders van AI-systemen en dit geldt des te meer wanneer het om hoog risico AI-systemen gaat. In het bijzonder moeten aanbieders in dat geval:
- voorzien in systemen voor risicobeheer en kwaliteitsbeheer doorheen de levenscyclus van het systeem,
- data governance maatregelen nemen,
- technische documentatie en automatische logging voorzien,
- gebruiksinstructies ten aanzien van gebruikers voorzien,
- menselijk toezicht opnemen in het design van het systeem, en
- waarborgen voorzien van nauwkeurigheid, robuustheid en cyberbeveiliging.
Gebruikers van hoog risico AI-systemen hebben de navolgende verplichtingen:
- passende technische en organisatorische maatregelen nemen om te waarborgen dat zij de AI-systemen gebruiken overeenkomstig de gebruiksaanwijzingen.
- Opdragen van het menselijk toezicht op de AI-systemen aan personen die over de nodige bekwaamheid, opleiding en autoriteit beschikken en voldoende ondersteuning krijgen.
- Wanneer gebruikers controle hebben over de inputdata moeten zij ervoor zorgen dat deze relevant en voldoende representatief is.
- Gebruikers moeten eveneens de werking van het AI-systeem monitoren en logs bewaren voor ten minste 6 maanden.
Werkgevers zullen voor het gebruik van een AI-systeem op de werkplek de werknemersvertegenwoordigers en betrokken werknemers moeten informeren dat zij zullen worden onderworpen aan het gebruik van een AI-systeem met een hoog risico.
Daarnaast moeten ondernemingen maatregelen nemen om een voldoende niveau van AI-geletterdheid te verzekeren bij de personen die in aanraking komen met de AI-systemen. Deze verplichting gaat reeds in vanaf februari 2025.
6) Handhaving
Het toezicht op de AI Act zal worden uitgeoefend door verschillende autoriteiten. Op Europees niveau zullen de AI-Office en de AI-Board deze rol op zich nemen en tevens adviezen en aanbevelingen publiceren. Op nationaal niveau gaan er een of meer lokale autoriteiten toezien op de handhaving. Deze kunnen binnen de bestaande gegevensbeschermingsautoriteiten worden opgericht, maar dat is niet noodzakelijk.
Schending van de bepalingen omtrent de verboden AI-systemen kan leiden tot boetes van 35 miljoen EUR of 7% van de jaaromzet van een onderneming. Andere overtredingen kunnen leiden tot boetes tot 15 miljoen EUR of 3% van de jaaromzet van een onderneming. Het verstrekken van onjuiste, onvolledige of misleidende informatie aan autoriteiten kan leiden tot boetes tot 7,5 miljoen euro of 1% van de jaaromzet van een onderneming. Deze boetes kunnen lager zijn voor kmo's en startups.
7) Graduele toepassing in de tijd
Er zijn alvast enkele data om te noteren wat betreft de toepassing van de AI Act voor ondernemingen die optreden als aanbieder of gebruiker. Na de publicatie van de AI Act op12 juli 2024treedt de AI Act in werking inaugustus 2024.
Begin vandaag met de voorbereiding
Het is cruciaal om tijdig te beginnen met de voorbereiding op de AI Act. Ondernemingen brengen best nu al in kaart welke AI-systemen zij zelf en hun partners gebruiken. Per AI-systeem dient de onderneming te controleren hoe zij gekwalificeerd wordt onder de AI Act, met name als aanbieder of gebruiker.
Vervolgens moet nagegaan worden binnen welke risicocategorie het AI-systeem valt. Deze oefening gebeurt best voor februari 2025 aangezien dan de regels met betrekking tot verboden AI-systemen van kracht gaan.
Aan de hand van dit overzicht kan de onderneming haar verplichtingen in kaart brengen en een actieplan opstellen om tijdig over te gaan tot implementatie. De meeste verplichtingen zijn van kracht vanaf augustus 2026. Er gelden echter overgangsmaatregelen voor bepaalde AI-systemen.
Aarzel bij verdere vragen niet om contact op te nemen met één van de leden van ons Data & Privacy Team!
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.