AI
Meer over adviseur
Marc van Westerlaak
adviseur Public Affairs en Beleid
Navigeer naar
Inspireren
AI Act uitgelegd
Wat is de AI Act?
Risico classificaties
Verplichtingen
Voorbereiden op implementatie AI-act
Aandachtspunten gebruikers AI systemen

Inspireren

Waar de een de toepassingen en mogelijkheden die AI biedt al (deels) omarmt, ervaart een ander nog de nodige terughoudendheid. Dat kan zijn omdat er vragen zijn over hoe AI op een praktische, ethische en verantwoorde manier in te zetten in de adviespraktijk. Of omdat nog niet voldoende duidelijk is hoe AI kan helpen bij zaken zoals actief klantbeheer, het verhogen van klanttevredenheid en het optimaliseren van operationele processen. Maar ook omdat het aan tijd, capaciteit of vertrouwen in deze nog vrij jonge technologie ontbreekt.

De komende tijd willen we vanuit de vereniging samen met alle leden onderzoeken hoe AI ons kan helpen. Hoe zet je de eerste stappen, op welke manier kan je er je voordeel mee doen en wat zijn de verwachtingen voor de toekomst? Om daar meer gevoel bij te krijgen, willen we inspirerende voorbeelden verzamelen van hoe leden AI in de praktijk inzetten en wat hun ervaringen daarbij zijn.

Maak jij al gebruik van AI, bijvoorbeeld voor het uit handen nemen van eenvoudigere, vaak tijdrovende en repeterende werkzaamheden of anderszins? Deel je ervaringen dan met ons en je collega's. Dat kan heel eenvoudig door een mailtje te sturen naar s.wulms@adfiz.nl of te bellen met 06-2476 2976.

AI Act uitgelegd

Wat is de AI Act en wat betekent het voor jou?

De AI Act stelt regels voor alle autonoom handelende computersystemen en algoritmes die beslissingen nemen, content genereren of mensen assisteren. Het doel van de AI Act is dat mensen en bedrijven in de EU kunnen rekenen op veilige, transparante, traceerbare, niet-discriminerende en milieuvriendelijke AI-systemen die onder toezicht staan van mensen. Alle inzet van AI (oftewel: autonoom werkende computers en algoritmes) valt onder de AI Act.

De verordening volgt een risicogebaseerde benadering en stelt verplichtingen voor aanbieders en gebruikers afhankelijk van het risiconiveau dat een AI-systeem met zich meebrengt. Een paar belangrijke kenmerken:

  • De AI Act maakt onderscheid tussen hoog en laag risico. Strenge regels gelden voor hoog risico toepassingen, zoals bij toepassing bij veiligheid of bij selectieprocessen zoals recruitment.
  • Niet alleen ontwikkelaars maar ook gebruikers van AI vallen onder de verordening. Iedereen die gebruik maakt van AI zal moeten kunnen aantonen dat deze aan de regels voldoet. De eisen vanuit de AI Act zijn wel strenger voor ontwikkelaars.
  • De AI Act is van toepassing op alle sectoren, waaronder de financiële sector. Het gaat net als bij de AVG dus om horizontale wetgeving die over de sectoren heen voor alle bedrijven geldt. Tegelijk zal de uitwerking van de regels sectorspecifiek zijn en is het toezicht belegd bij de nationale toezichthouder van de betreffende sector. Voor de financiële dienstverlening is dat de AFM.
  • Voor ondernemingen die AI toepassingen ontwikkelen komt er de mogelijkheid om te toetsen of wordt voldaan aan de nieuwe regels. Nederland richt daarvoor net als in andere landen een zogenaamde regulatory sandbox. Dit moet nog verder worden uitgewerkt en ook de nadere regels en standaarden moeten nog vorm krijgen.

Welke risico classificaties kent de AI Act?

De AI act kent verschillende risico-classificaties en AI toepassingen moeten op basis daarvan worden ingedeeld. Afhankelijk van de classificatie gelden verplichtingen:

  • Onaanvaardbaar risico (verboden). AI-systemen voor bijvoorbeeld schadelijke manipulatie, onterechte social scoring en emotieherkenning op het werk hebben een onaanvaardbaar risico en zullen worden verboden. 
  • Hoog risico (strenge eisen). Er is een lijst met toepassingen die worden beschouwd als risicovol voor fundamentele rechten, veiligheid en gezondheid. Deze toepassingen moeten aan strenge eisen voldoen.
  • Beperkt risico (specifieke transparantie verplichtingen). De makers van AI-systemen die content genereren, zoals ChatGPT, moeten dit markeren als gegenereerd of gemanipuleerd, en deepfakes moeten als zodanig bekend worden gemaakt. Ook bij de inzet van bijvoorbeeld chatbots moet duidelijk worden dat je met AI te maken hebt.
  • Minimaal risico (geen aparte eisen). Er zijn veel AI-systemen die niet worden gereguleerd. Bij AI die niet in een van de bovenstaande categorieën valt gelden er geen eisen omdat de risico’s laag of nihil zijn. Ontwikkelaars of organisaties kunnen wel vrijwillige gedragscodes opstellen en naleven. Voorbeelden hiervan zijn AI in videogames of spamfilters. 

Welke specifieke verplichtingen gelden voor toepassingen met een hoog risico classificatie?

In de AI Act zijn twee toepassingen in de financiële sector in de lijst (annex iii) opgenomen als hoog risico waarvoor een stringent regelkader geldt: 

  • AI systemen die gebruikt worden voor bepaling van kredietwaardigheid van natuurlijke personen
  • Voor AI systemen die gebruikt worden voor risicobeoordeling en prijsstelling in het kader van levensverzekeringen en ziektekostenverzekeringen.

Deze toepassingen zijn onderworpen aan strenge verplichtingen voordat zij in de handel kunnen worden gebracht:

  • adequate risicobeoordelings- en mitigatiesystemen
  • hoge kwaliteit van de datasets die het systeem voeden om risico's en discriminerende resultaten tot een minimum te beperken
  • logboekregistratie van activiteiten om de traceerbaarheid van de resultaten te waarborgen
  • gedetailleerde documentatie met alle informatie die de autoriteiten nodig hebben over het systeem en het doel ervan om de naleving ervan te beoordelen
  • duidelijke en adequate informatie voor de exploitant
  • passende maatregelen voor menselijk toezicht om het risico tot een minimum te beperken
  • hoge mate van robuustheid, veiligheid en nauwkeurigheid

Hoe kunnen ondernemingen zich voorbereiden op de implementatie van de AI-Act?

Aandachtspunten voor ontwikkelaars van AI systemen:

  • Op basis van het beoogde gebruik beoordelen in welke risico-categorie het AI systeem valt.
  • Beoordeel of het AI systeem voldoet aan de vereisten van die risico-categorie (hoog/laag)
  • In geval van een hoog-risico AI systeem is, voorbereidingen treffen zodat het compliant is met de vereisten die de AI-Act stelt.
  • Wanneer onduidelijk is hoe de AI-Act uitgelegd moet worden voor jouw AI systeem (of een bepaald aspect daarvan) is het mogelijk om gebruik te maken van een regulatory sandbox. Dit moet voor Nederland nog verder worden uitgewerkt door de toezichthouder (AFM/DNB)

Aandachtspunten voor afnemers/gebruikers van AI systemen:

  • Inventariseer welke AI systemen je organisatie gebruikt; vraag leveranciers van software of er AI is verwerkt in de software.
  • Beoordeel vervolgens of AI systemen worden gebruikt die in de verboden of hoog-risico categorie vallen; vraag zo nodig je leverancier van software om verklaringen/garanties dat er geen verboden en/of hoog-risico AI systemen worden ingezet.
  • Wanneer je gebruik maakt van een verboden AI systeem, faseer dit uit. Ga op zoek naar alternatieven en beëindig het gebruik van dit AI systeem.
  • Wanneer je gebruik maakt van een hoog-risico AI systeem, beoordelen of het AI systeem aan de vereisten voldoet. Daar waar het AI systeem niet aan een vereiste voldoet, zet je een traject in gang om ervoor te zorgen dat het AI systeem aan de vereisten gaat voldoen. Leg deze verplichting zo mogelijk bij de leverancier van het AI systeem.
  • Pas je inkoopvoorwaarden aan. Zorg dat een leverancier van hardware/software transparant is over de AI systemen die het wil gaan leveren en de risico-categorie waar het AI systeem in valt. Waarborg ook dat het AI systeem aan de vereisten blijft voldoen. De leverancier zou dit gedurende het gehele gebruik van het AI systeem moeten monitoren (post-market surveillance) en het AI systeem zo nodig aanpassen.