De AI-verordening

De Europese Unie brengt ons vele voordelen, maar ook vele nieuwe regels. Eentje van recentere aard die nog wel eens door organisaties over het hoofd wordt gezien is de AI-verordening. Dit is de eerste uitgebreide wet over Artifical Intelligence ter wereld en is van toepassing op organisaties die AI toepassingen ontwikkelen en/of gebruiken. 

En gebruiken, dat doe je al snel. Denk maar eens aan bekende chatbots of vertaalsoftware. Ook in de bekende Office pakketten en in je smartphone is er geen ontsnappen meer aan. Kort gezegd: de meeste organisaties moeten hier iets mee.

Hoewel de hype van redelijk recente aard is, wordt aangenomen dat de eerste algoritmen met betrekking tot AI zijn ontwikkeld rond 1950-1960. De echte opkomst van AI is begonnen rond 1980-1990 toen de rekenkracht van computers in een snel tempo toenam en de mogelijkheden op dit gebied steeds groter werden, denk bijvoorbeeld aan schaakcomputers.

 Vanaf 2000 heeft AI een enorme vlucht genomen naar dagelijkse toepassingen zoals zoekmachines, vertaaltoepassingen, e-mailfilters en persoonlijke assistenten zoals bijvoorbeeld Siri van Apple. 

 

Op dit moment wordt AI ingezet op van allerlei gebieden en is het zelfs door de rechtelijke macht gebruikt bij het nemen van een beslissing. Hoewel AI handig kan zijn op van allerlei gebieden, is het verre van perfect. Hallucinatie is hier een goed voorbeeld van, soms verzint een AI model namelijk zaken die niet kloppen. Denk hierbij aan feiten die nooit zijn gebeurd of misvorming in genereerde plaatjes.

 

Om ervoor te zorgen dat iedereen er op kan vertrouwen dat deze systemen veilig zijn en om burgers en bedrijven te beschermen tegen de ethische vraagstukken die AI met zich meebrengt heeft de Europese wetgever een aantal regels opgesteld. Hieronder zullen we twee belangrijke aandachtsgebieden uit deze verordening aanstippen.

Vanaf februari 2025 zijn bepaalde toepassingen van AI systemen al verboden. Dit zijn zogenaamde verboden praktijken waarbij gedacht kan worden aan de inzet van AI om gedrag te manipuleren, social scoring uit te voeren en bepaalde biometrische herkenningssystemen. Uiteraard zijn hier wel bepaalde organisaties (bijvoorbeeld rechtshandhaving) van uitgezonderd door de wet- en regelgever.

Vanaf augustus gaan er nog wat meer regels gelden en dienen organisaties afhankelijk van de classificatie van het AI-systeem bepaalde regels toe te passen. Buiten de eerder genoemde verboden praktijken zijn er globaal drie hoofdclassificaties te benoemen:

1.      Systemen met een hoog risico, dit zijn een aantal specifiek benoemde categorieën (bijvoorbeeld productveiligheid, exploitatie van kritieke infrastructuur en andere)

2.      Systemen  met een beperkt risico, hier vind je de meeste chatbots en toepassingen voor algemene doeleinden.

3.      Systemen met een laag risico, dit zijn veelal simpele gesloten systemen met weinig gebruikersinteractie. Denk aan het slim opladen van een elektrische auto.

Voor de meeste categorieën zijn er bepaalde regels van toepassing en dus zullen organisaties moeten toetsen waar ze exact aan moeten voldoen. Voor de meeste organisaties zal hier het transparantievereiste van het meeste belang zijn. Desalniettemin, kwalificeren dus.

Iedereen die gebruik maakt van AI toepassingen dient getraind te zijn op de diverse ethische, juridische en technische aspecten. Dit wordt AI-geletterdheid genoemd en is dus niet alleen van toepassing op medewerkers die bijvoorbeeld een dergelijke toepassing ontwikkelen maar ook op de daadwerkelijke eindgebruikers.

De mate van geletterdheid zal niet voor iedereen hetzelfde zijn, indien er sprake is van het simpel gebruik dan zal een goede bewustwording van de risico’s zijn en wat er met de gegevens gebeurt al snel afdoende zijn. 

Gaat er iemand intensief aan de slag met bepaalde tools om analyses op klantgedrag uit te voeren of worden er zelf toepassingen ontwikkeld dan zal er wat meer nodig zijn.

Tevens is het goed om als organisatie niet alleen je personeel bewust te maken van de gevaren en risico’s van AI maar wil je uiteraard ook graag je eigen beleid omtrent AI (wat mag er wel/wat mag er niet) duidelijk communiceren. 

 

Bedrijven dienen zich bewust te zijn van de regels en te zorgen voor een beleid als het aankomt op de inzet en het gebruik van AI tools. 

Buiten de verboden praktijken en mogelijke boetes (tot wel 35 miljoen euro!) kan het verkeerd gebruik van AI door organisatie of medewerkers ook snel leiden tot een datalek. Maar goed dat is, hoewel zeker nauw verbonden, weer een ander stukje Europese regelgeving. 

Bij StackSecure helpen we je graag met het opstellen van een dergelijk beleid en wat betreft de AI-geletterdheid bieden we diverse mogelijkheden binnen ons awareness platform StackAware.