Hoe kunnen bedrijven zich voorbereiden op de EU AI Act en AI-geletterdheid?

“De EU AI Act is een nieuwe Europese wet die het verantwoord gebruik van AI-systemen moet waarborgen,” begint Vonne. “Het is een aanvulling op bestaande regels, zoals de AVG (GDPR) en productveiligheid. De EU AI Act maakt deel uit van de bredere EU Data Strategy, die innovatie op een verantwoorde manier wil stimuleren. De wet is bedoeld om risico’s voor gezondheid, veiligheid en grondrechten te minimaliseren, terwijl innovatie wordt bevorderd.” 

“Waar de GDPR zich richt op privacy en gegevensbescherming, heeft de EU AI Act een bredere focus. Het kijkt naar risico’s in de context van gezondheid, veiligheid en fundamentele rechten. Daarnaast is de EU AI Act risicogebaseerd: systemen worden ingedeeld in risicocategorieën, van minimaal risico tot hoog risico. Hoe groter het risico, hoe meer verplichtingen gelden. Dat voorkomt overregulering,” legt Vonne uit. 

Vonne benadrukt dat de EU AI Act een aanvulling is op de GDPR en deze niet vervangt. “Het doel is niet om bedrijven te belasten, maar om lacunes in bestaande wetgeving op te vullen.” 

“De EU AI Act kent verschillende niveaus van verplichtingen, afhankelijk van het risiconiveau van een AI-systeem,” legt Vonne uit. “Een van de eerste verplichtingen is dat bedrijven vanaf 2 februari 2025 hun medewerkers moeten trainen in AI-geletterdheid. Dat betekent dat iedereen in de organisatie begrijpt wat AI is, hoe het werkt en welke risico’s ermee gepaard gaan. Voor systemen met een laag risico geldt voornamelijk een transparantieplicht. Gebruikers moeten weten wanneer ze met AI te maken hebben, bijvoorbeeld bij chatbots of deep fakes. Voor high-risk systemen zijn er strengere eisen, zoals op het gebied van datagovernance, risicomanagement en toezicht.”  

Over verboden toepassingen is Vonne duidelijk: “Denk aan social credit scoring door overheden. Dat mag in de EU niet.” 

De belangrijkste verplichtingen van de EU AI Act op rij: 

• Training en AI-geletterdheid: Vanaf 2 februari 2025 moeten organisaties hun medewerkers trainen in AI-gerelateerde onderwerpen, afgestemd op hun functie en achtergrond. 
• Transparantieverplichtingen: Gebruikers moeten weten dat ze met AI te maken hebben, zoals bij chatbots of deep fakes. 
• High-risk systemen: Voor systemen met een hoog risico gelden strengere eisen op het gebied van databeheer, cyberbeveiliging, risicomanagement en toezicht. 
• Verboden AI-toepassingen: Sommige AI-systemen, zoals social credit scoring, zijn volledig verboden. 

“Het begint met het inventariseren van welke AI-modellen je  gebruikt en het uitvoeren van een grondig AI Assessment,” zegt Vonne. Hierin worden zowel de risicokwalificatie van een systeem als de rol van de organisatie binnen de EU AI Act vastgesteld. Voor high-risk systemen is een Conformity Assessment  verplicht, waarmee compliance gestructureerd wordt beoordeeld. Daarnaast zijn er specifieke impact assessments nodig, zoals een DPIA (Data Protection Impact Assessment) en een FRIA (Fundamental Rights Impact Assessment).”

“De boetes zijn fors,” waarschuwt Vonne. “Waar de maximale boete onder de GDPR € 20 miljoen of van een organisatie bedraagt, is dat onder de EU AI Act € 35 miljoen of 7%. Daarnaast zijn schadeclaims en reputatieschade een reëel risico.” Ze benadrukt bovendien het belang van vertrouwen: “Als een organisatie niet voldoet aan de wet, kan dat het vertrouwen van klanten en partners ernstig schaden.”

“Juristen zijn essentieel om compliance te waarborgen,” zegt Vonne. “Wij zorgen ervoor dat acties in lijn zijn met de wet en zien hoe documentatie later tegen een organisatie gebruikt kan worden, bijvoorbeeld door een toezichthouder of concurrent. Onze adviezen zijn toegespitst op de uitvoering en gericht op de dagelijkse praktijk. We vertalen vage wettelijke normen naar concrete, toepasbare policies.”

"De uitspraken van een chatbot kunnen rechtsgevolg hebben."

Ze voegt toe: “Denk aan toezeggingen aan een consument dat iemand korting zal ontvangen.”

“Ik zie het niet als een tegenstelling tussen innovatie en compliance,” stelt Vonne. “Het gaat om innovatie op verantwoorde wijze. Begin klein, prioriteer en werk van daaruit verder. Maar begin wel nú. Compliance-verplichtingen kosten tijd en geld, maar ze voorkomen grote problemen op de lange termijn.”

Vonne sluit af met een paar praktische tips:

• “Leer van de implementatie van de GDPR. Veel lessen zijn ook hier toepasbaar. Denk aan het toesnijden van informatie op de ontvanger en aan ervaringen over waar Privacy Champions, ook wel Privacy Ambassadeurs genoemd, juist wel of niet geschikt voor zijn.”
• “Start met een basis en bouw stapsgewijs verder. Strikt prioriteren en een langetermijnplanning kunnen daarbij helpen.”
• “Betrek juridische expertise vroeg in het proces om fouten en vertragingen te voorkomen.”

De AI Act biedt bedrijven niet alleen uitdagingen, maar ook kansen om zich te onderscheiden door verantwoorde en inclusieve AI-toepassingen. Zoals Vonne treffend zegt: “Innovatie op verantwoorde wijze brengt je al een heel eind in lijn met compliance.”

De snelle ontwikkelingen van AI vragen om flexibiliteit en organisaties die de risico's van AI kunnen herkennen en de kansen van AI kunnen pakken. Start klein, wacht niet tot de basis op orde is. Doe dit simultaan, want nog drie jaar wachten is geen optie.  

Neem contact op met The Data Lawyers of Conclusion AI 360 om voorbereid te zijn op deze nieuwe regelgeving.