Europese verordening inzake artificiële intelligentie

Met de formele goedkeuring op 21 mei 2024 en de inwerkingtreding op 1 augustus 2024 markeert de Europese verordening inzake artificiële intelligentie (EU 2024/1689), ook wel de “AI Act” genoemd, een mijlpaal in de regulering van kunstmatige intelligentie. Als eerste alomvattend en horizontaal regelgevend kader stelt deze verordening regels vast die van toepassing zijn op uiteenlopende sectoren en activiteiten. Het doel: de ontwikkeling en het gebruik van AI-systemen binnen de EU op verantwoorde en veilige wijze in goede banen leiden. Hoewel de meeste bepalingen pas twee jaar na de inwerkingtreding van kracht worden (2 augustus 2026), treden sommige al vroeger of later in werking.

Artificiële intelligentie

De AI Act definieert een artificiële intelligentiesysteem (AI systeem) als een op een machine gebaseerd systeem dat:

• ontworpen is om met verschillende niveaus van autonomie te functioneren,

• aanpassingsvermogen kan vertonen na ingebruikname,

• en op basis van ontvangen input bepaalt hoe het output genereert, zoals:

• voorspellingen,

• inhoud,

• aanbevelingen,

• of beslissingen die invloed kunnen hebben op fysieke of virtuele omgevingen.

Concreet kunnen AI-systemen ingezet worden in uiteenlopende toepassingen, zoals:

• virtuele assistenten (bijv. Siri, Alexa, Google Assistant),

• algoritmes voor contentaanbeveling op streamingplatforms,

• systemen voor gezichtsherkenning,

• en automatische vertaaldiensten.

Een AI-systeem omvat daarbij alle noodzakelijke onderdelen om een of meerdere AI modellen in de praktijk doeltreffend te gebruiken, inclusief de IT-infrastructuur zoals de gebruikersinterface.

Toepassingsgebied

De AI Act legt een reeks verplichtingen op aan verschillende publieke en private actoren die betrokken zijn bij de ontwikkeling, verspreiding of het gebruik van AI-systemen. Deze verplichtingen gelden voor:

• aanbieders: ontwikkelaars van een AI-systeem of een AI-model voor algemene doeleinden,

• gebruiksverantwoordelijken: gebruikers van een AI-systeem, behalve wanneer het gebruik plaatsvindt in een persoonlijke, niet-professionele context,

• importeurs en distributeurs van AI-systemen,

• productfabrikanten van AI-systemen.

Deze regels zijn van toepassing op partijen binnen én buiten de EU, op voorwaarde dat:

• het AI-systeem op de Europese markt wordt gebracht,

• of de resultaten van het systeem binnen de EU worden gebruikt.

De AI Act geldt niet voor AI-systemen die worden gebruikt:

• voor wetenschappelijk onderzoek en ontwikkeling,

• voor militaire, defensie- of nationale veiligheidsdoeleinden,

• in het kader van persoonlijke, niet-professionele activiteiten.

Risico gebaseerde aanpak

De AI Act deelt AI-systemen in volgens vier risiconiveaus, met bijhorende verplichtingen.

Onaanvaardbaar risico: AI-systemen die fundamentele rechten ernstig kunnen schaden zijn verboden sinds 2 februari 2025. Het gaat onder meer om:

• sociale scoring op basis van gedrag of persoonlijke kenmerken,

• AI-systemen die bedoeld zijn om te worden gebruikt om de emotionele toestand van natuurlijke personen in situaties die verband houden met de werkplek en het onderwijs te detecteren,

• manipulatie van kwetsbare groepen (zoals AI-gestuurd speelgoed dat gevaarlijk gedrag uitlokt bij kinderen),

• voorspellende politietoepassingen puur op basis van profilering,

• het zonder toestemming en niet-gericht verzamelen van gezichtsbeelden (“scraping”),

• biometrische categorisering die kan leiden tot conclusies over de politieke overtuiging of seksuele geaardheid,

Hoog risico: Deze AI-systemen kunnen aanzienlijke gevolgen hebben voor de veiligheid, gezondheid of grondrechten van personen in de EU. Ze zijn slechts toegelaten mits naleving van strikte regels zoals risicobeoordeling, transparantie, en menselijk toezicht. Voorbeelden zijn AI-systemen die worden gebruikt:

• bij rekrutering of het screenen van sollicitaties,

• om beslissingen te nemen die een invloed hebben op de arbeidsvoorwaarden, de bevordering of beëindiging van de arbeidsrelatie,

• voor het beoordelen van de kredietwaardigheid van consumenten.

Beperkt risico (ook wel ‘transparantierisico’ genoemd): Deze systemen vereisen vooral duidelijke communicatie naar de gebruiker toe. Voorbeelden zijn:

• chatbots die duidelijk moeten maken dat men met een machine spreekt,

• deepfakes en andere door AI gegenereerde content (tekst, beeld, audio) die als zodanig aangeduid moeten zijn.

Minimaal risico: De meeste AI-systemen die momenteel in de EU gebruikt worden vallen onder deze categorie. Zij brengen geen noemenswaardige risico’s met zich mee en zijn vrij van bijkomende verplichtingen. Voorbeelden zijn:

• AI in videospelletjes,

• spamfilters in e-mailprogramma’s.

General purpose AI (GPAI): Voor generatieve AI-modellen, zoals grote taalmodellen of systemen die beelden of geluid genereren, gelden vanaf 2 augustus 2025 transparantie- en minimale documentatieverplichtingen. Deze modellen worden steeds vaker geïntegreerd in andere AI-toepassingen, waardoor hun regulering essentieel is. De AI Act laat ook ruimte voor aanpassingen naarmate deze technologie zich verder ontwikkelt.

Op de werkvloer

De AI Act dwingt ook werkgevers om na te denken en desgevallend actie te ondernemen omtrent het gebruik van AI. Allereerst zal een grondige analyse zich opdringen, waarna een informatieplicht alsook opleidingsplicht kan opduiken.

Analyseren

Analyseer welke AI-toepassingen binnen de onderneming gebruikt worden. Als uit deze analyse blijkt dat er AI-toepassingen worden gebruikt die onder de risico-categorie ‘onaanvaardbaar risico’ vallen dan mag je deze sinds 2 februari 2025 niet meer gebruiken.

Informeren

Werkgevers die een AI-systeem met een hoog risico op de werkvloer willen inzetten, moeten vooraf hun werknemers en werknemersvertegenwoordigers informeren. Zij moeten duidelijk maken dat het AI-systeem op hen van toepassing zal zijn. Deze informatie moet, waar nodig, worden gedeeld volgens de geldende Europese en nationale regels en procedures voor werknemersinformatie en overleg.

Deze verplichting geldt naast de strenge verplichtingen die voor gebruikers van ‘hoog risico AI’ gelden:

• Zorgvuldig technische en organisatorische maatregelen nemen om ervoor te zorgen dat de AI-systemen gebruikt worden zoals aangegeven in de gebruiksaanwijzingen,

• Toezicht op de werking van de AI-systemen toevertrouwen aan personen met de juiste vaardigheden, training en bevoegdheid, en zorgen voor voldoende ondersteuning,

• Zorgen dat de inputdata relevant en voldoende representatief is wanneer zij controle hebben over deze data,

• Het AI-systeem regelmatig monitoren en logs minstens 6 maanden bewaren, tenzij anders wettelijk bepaald.

Houd ook rekening met de bestaande AVG / GDPR regelgeving die bepaalt dat personen niet mogen worden onderworpen aan volledig geautomatiseerde beslissingen, er moet steeds sprake zijn van een menselijke tussenkomst die een betekenisvolle controle uitoefent op de beslissing.

Opleiden

Aanbieders en gebruikers van AI-systemen moeten ervoor zorgen dat hun personeel - en anderen die namens hen met AI werken – voldoende vertrouwd zijn met artificiële intelligentie. Ze nemen daarom passende maatregelen om het kennisniveau op peil te brengen, rekening houdend met iemands technische achtergrond, ervaring, opleiding en de concrete werkomgeving. Ook wordt aandacht besteed aan de mensen of doelgroepen op wie de AI-systemen van toepassing zijn. Niet iedereen moet hetzelfde niveau van AI geletterdheid bereiken, een IT’er die verantwoordelijk is voor de ontwikkeling of implementatie van AI-systemen binnen de onderneming zal een grondigere (technische) kennis nodig hebben dan bijvoorbeeld iemand van de marketingafdeling die voornamelijk een beroep doet op generatieve AI. Deze verplichting is van toepassing sinds 2 februari 2025.

Om hieraan tegemoet te komen raden we aan om een intern AI-beleid op te stellen waarin je een aantal spelregels vastlegt omtrent het gebruik van artificiële intelligentie binnen de onderneming. Hierin kan je ook aangeven op welke manier je ervoor zorgt dat je werknemers voldoende AI-geletterd zijn / blijven.

Sancties

Bij een overtreding van de AI Act kunnen zware sancties volgen.

Zo kunnen verboden praktijken of het niet naleven van de gegevensvereisten worden bestraft met een boete tot 7% van de wereldwijde jaaromzet of 35 miljoen euro.

Voor het niet naleven van andere verplichtingen, zoals die voor AI-systemen met hoog risico, kan de boete oplopen tot 3% van de wereldwijde jaaromzet of 15 miljoen euro.

Wordt verkeerde, onvolledige of misleidende informatie verstrekt, dan bedraagt de sanctie maximaal 1% van de omzet of 7,5 miljoen euro.

Voor kmo’s en start-ups geldt telkens het laagste bedrag.

Wat kan PayCover voor u doen?

Bij PayCover hebben we een modeldocument opgesteld dat als leidraad kan dienen voor het opstellen van een AI-beleid binnen uw onderneming.

Meer vragen of wenst u het modeldocument te ontvangen? Contacteer dan uw dossierbeheerder.

Bron: Verordening (EU) 2024/1689 van het Europees Parlement en de Raad van 13 juni 2024 tot vaststelling van geharmoniseerde regels betreffende artificiële intelligentie (verordening artificiële intelligentie)