AI-regelgeving en de impact op bedrijven in de grafische sector

Recent gaf Dr. Martin Schirmbacher, specialist in IT-recht, een presentatie over de AI Act en de gevolgen hiervan voor bedrijven in de grafische sector tijdens de IOP-bijeenkomst in Hamburg waar ook VIGC aanwezig was.

De AI Act, een Europese verordening die direct van toepassing is in alle lidstaten, is het eerste uitgebreide juridische kader ter wereld voor de regulering van Artificiële Intelligentie (AI). Deze wetgeving heeft tot doel het gebruik van AI in de EU te harmoniseren, de veiligheid en betrouwbaarheid van AI-systemen te waarborgen en fundamentele rechten te beschermen.

Wat houdt de AI-regelgeving in?

De AI Act is opgesteld om bedrijven een duidelijk kader te bieden bij het ontwikkelen, implementeren en gebruiken van AI-systemen. De regelgeving beoogt onder andere:

  • De regulering van hoogrisico-AI-systemen die een directe impact kunnen hebben op de veiligheid en rechten van mensen.
  • Het verbieden van schadelijke en misleidende AI-praktijken, zoals sociale kredietsystemen en manipulatieve AI-toepassingen.
  • Het opleggen van transparantie- en compliance-eisen aan aanbieders en gebruikers van AI.
  • Het stimuleren van innovatie en het scheppen van vertrouwen in betrouwbare AI-toepassingen.

De implementatie van de wet verloopt gefaseerd. Vanaf augustus 2024 is de wet in werking getreden, waarna de verschillende verplichtingen tussen 2025 en 2027 geleidelijk worden geïntroduceerd.

Indeling van AI-systemen op basis van risico

De AI-regelgeving maakt onderscheid tussen verschillende risicoklassen. Op basis van deze indeling worden specifieke verplichtingen opgelegd:

  1. Verboden AI-systemen
    Bepaalde AI-praktijken worden als te gevaarlijk beschouwd en zijn volledig verboden. Denk hierbij aan systemen die mensen manipuleren, zoals AI die emoties van werknemers op de werkvloer analyseert, of sociale kredietsystemen die individuen rangschikken op basis van gedrag.
  2. Hoogrisico-AI-systemen
    Systemen die een significante invloed kunnen hebben op de veiligheid of fundamentele rechten vallen in deze categorie. Dit omvat bijvoorbeeld AI die wordt gebruikt in de gezondheidszorg, onderwijs of HR-processen (zoals geautomatiseerde sollicitatieprocedures). Ook AI-componenten in machines en drukapparatuur kunnen onder deze categorie vallen.
  3. Beperkt risico
    Dit betreft systemen waarvoor transparantie-eisen gelden, zoals chatbots. Gebruikers moeten weten dat ze met een AI-systeem communiceren.
  4. Minimaal risico
    De meeste AI-toepassingen, zoals spamfilters en eenvoudige automatiseringstools, vallen in deze categorie en kennen geen specifieke verplichtingen.

Wie zijn verantwoordelijk volgens de AI-regelgeving?

De wetgeving richt zich op verschillende actoren binnen de AI-waardeketen, waaronder:

  • Aanbieders: Bedrijven of personen die AI-systemen ontwikkelen of distribueren.
  • Exploitanten (gebruikers): Organisaties die AI-toepassen in hun bedrijfsprocessen, bijvoorbeeld voor automatisering of dataverwerking.
  • Importeurs en distributeurs: Ondernemingen die AI-systemen van buiten de EU op de Europese markt brengen.
  • Gemachtigden: EU-vertegenwoordigers van aanbieders uit derde landen.
  • Generative AI-aanbieders (GPAI): Ontwikkelaars van grote AI-modellen, zoals ChatGPT of andere brede AI-toepassingen.

Wat betekent de AI-regelgeving voor bedrijven?

De wetgeving brengt concrete verplichtingen met zich mee voor bedrijven die AI gebruiken of aanbieden. Zo mogen bedrijven geen verboden AI-systemen implementeren, en moeten ze beschikken over voldoende AI-competentie. Dit houdt in dat ze een goed begrip moeten hebben van de technische werking van hun AI-systemen, de juridische kaders waarin ze opereren en de impact ervan op eindgebruikers.

Voor hoogrisico-AI-systemen gelden extra strenge eisen, zoals:

  • Continue monitoring en controle van het systeem.
  • Menselijke supervisie waar nodig.
  • Bewaren van logbestanden gedurende minimaal zes maanden.
  • Risicoanalyses en meldplichten bij afwijkingen.
  • Samenwerking met toezichthouders en mogelijke verplichting tot effectbeoordelingen met betrekking tot grondrechten.

Niet-naleving van deze verplichtingen kan leiden tot hoge boetes. Overtredingen kunnen worden bestraft met boetes tot 7% van de wereldwijde jaaromzet van een bedrijf, afhankelijk van de ernst van de inbreuk.

Hoe kunnen bedrijven zich voorbereiden?

Om aan de AI Act te voldoen, moeten bedrijven een interne AI-governancestrategie ontwikkelen. Dit omvat onder andere:

  1. Vooronderzoek en risicobeoordeling
    • Inventarisatie van alle AI-systemen binnen het bedrijf.
    • Indeling van deze systemen in risicoklassen.
    • Bepalen van de rol van het bedrijf in de AI-keten (aanbieder, exploitant, importeur).
  2. Risico- en gap-analyse
    • Controleren of bestaande processen voldoen aan de AI Act.
    • In kaart brengen van tekortkomingen en potentiële risico’s.
    • Koppeling met bestaande bedrijfsprocessen en nalevingsstrategieën (zoals GDPR).
  3. Implementatie en naleving
    • Aanpassen van interne controlesystemen.
    • Opstellen van een beleid voor het verantwoord gebruik van AI.
    • Bijwerken van contracten met leveranciers en partners.
    • Opleidingen en trainingen over de AI Act en verantwoord AI-gebruik.

Conclusie

De AI-regelgeving brengt aanzienlijke veranderingen met zich mee voor bedrijven die AI ontwikkelen, distribueren of gebruiken. Door de toenemende regulering moeten bedrijven proactief te werk gaan om compliance-risico’s te beperkenen boetes te voorkomen. Dit betekent dat ze hun AI-systemen kritisch moeten evalueren, risicobeheer moeten implementeren en intern moeten investeren in AI-expertise.

Het is van cruciaal belang dat bedrijven deze wetgeving niet onderschatten. Met de komst van nieuwe regels en strengere handhaving wordt AI-compliance een essentieel onderdeel van de bedrijfsstrategie. Door tijdig maatregelen te nemen, kunnen organisaties niet alleen boetes vermijden, maar ook een concurrentievoordeel behalen door transparant en verantwoord gebruik van AI.