Op 1 augustus 2024 treedt de Europese AI-verordening (AI Act) in werking. Vanaf dat moment geldt er een overgangsperiode waarin organisaties de tijd krijgen om zich voor te bereiden op de verplichtingen in de wet. Voor de meeste verplichtingen duurt die periode een half tot drie jaar. Goed om te weten dat de verplichtingen in 2030 met terugwerkende kracht zullen gelden voor overheidsorganisaties die nu al werken met AI-systemen. Er is dus werk aan de winkel.
Digitaleoverheid.nl publiceert de komende periode een serie artikelen over de verschillende risico-categorieën in de AI-verordening. Het eerste uit de reeks bevat een handige tijdlijn over de AI-verordening:
Binnen zes maanden zijn de verbodsbepalingen van kracht. Dat gaat over verboden kunstmatige intelligentie-systemen, waarvan de Europese Unie heeft besloten dat ze niet passen bij de Europese normen en waarden. Denk aan social scoring, het geautomatiseerd bijhouden van een puntentelling om sociaal gedrag te beoordelen, zoals dat in China wel gebeurt. Ook AI-systemen die zijn bedoeld om menselijk gedrag te manipuleren en AI om criminaliteit te voorspellen zijn vanaf 1 februari volgend jaar verboden in de EU.
Dit zijn misschien niet direct AI-systemen waarmee gemeenten op dit moment werken. Toch is het verstandig om na te gaan of je AI-systemen gebruikt die in deze categorie vallen. In dat geval moeten ze tijdig worden uitgefaseerd. De Autoriteit Persoonsgegevens houdt als toezichthouder in de gaten of er in Nederland verboden AI wordt ingezet.
Met ‘AI-modellen voor algemene doeleinden’, de volgende stip op de tijdlijn, wordt generatieve AI bedoeld: toepassingen zoals ChatGPT, die nieuwe tekst, afbeeldingen, code, video of geluid kunnen genereren op basis van prompts, opdrachten van mensen. De ontwikkelaars van zulke modellen moeten aan de bak om aan de verplichtingen van de AI-verordening te voldoen, onder meer op het gebied van transparantie.
De volgende inventarisatie die overheden moeten maken, is die van AI-systemen met een hoog risico die binnen de organisatie worden gebruikt. Hiervoor gelden vanaf 1 augustus 2026 een aantal verplichtingen, waaronder een risicomanagementsysteem en technische documentatie. Datasets voor deze hoogrisico-systemen moeten aan allerlei kwaliteitseisen voldoen. Nieuwe AI-systemen met een hoog risico krijgen een keurmerk voordat ze de markt mogen betreden. De Autoriteit Persoonsgegevens houdt toezicht op bestaande producten waarin hoog risico-AI wordt verwerkt wordt, waarvoor nu nog geen CE-markering verplicht is.
Bij twijfel of een AI-systeem onder de hoogrisicosystemen valt, kan de toezichthouder uitsluitsel geven. Alle lidstaten moeten per 1 augustus 2025 het toezicht hebben georganiseerd. Vorige maand verscheen een advies aan het Kabinet over het toezicht op AI in Nederland, opgesteld door de Rijksinspectie Digitale Infrastructuur en de Autoriteit Persoonsgegevens, in samenwerking met heel veel andere toezichthouders. In Nederland sluit het toezicht zo veel mogelijk aan bij de bestaande taken van de markttoezichthouders. Er komt dus niet één AI-toezichthouder voor alle sectoren.
‘Hoe weet ik hoeveel impact ons algoritme heeft?’ (en variaties op deze vraag) horen de mensen die verantwoordelijk zijn voor het nationaal algoritmeregister voortdurend. Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties heeft een emailadres in het leven geroepen voor vragen over de AI Act: ai-verordening@minbzk.nl.
-/-