Op 1 augustus 2024 is de AI-verordening (Verordening 2024/1689) in werking getreden. Net zoals de Algemene Verordening Gegevensbescherming (AVG), werkt deze verordening rechtstreeks door in de nationale wetgeving van de EU-lidstaten. De implementatie verloopt gefaseerd: de eerste verboden gaan al in februari 2025 in, terwijl volledige toepassing volgt in 2027.
Doel van de AI-verordening
AI-systemen worden steeds vaker ingezet bij belangrijke beslissingen over burgers: van sollicitaties tot hypotheekaanvragen, van fraude-opsporing tot het voorspellen van crimineel gedrag. Hoewel AI veel voordelen biedt, zijn er ook risico’s. AI kan leiden tot discriminatie, privacy-schending of misleiding van burgers. De bestaande wetgeving, zoals de AVG, biedt hier onvoldoende bescherming tegen. Daarom is deze nieuwe verordening nodig: ze stelt concrete eisen aan de ontwikkeling en het gebruik van AI-systemen om de veiligheid en grondrechten van Europese burgers te waarborgen.
Inhoud van de AI-verordening
De verordening beoordeelt AI-systemen op basis van hun risico’s voor burgers. Hoe groter het risico, hoe strenger de regels. Er zijn vier risiconiveaus:
- Onaanvaardbaar risico: Deze AI-systemen worden verboden. Denk aan systemen die burgers manipuleren via verborgen technieken of die een sociaal kredietsysteem creëren zoals in China. Ook systemen die emoties monitoren op het werk of in het onderwijs zijn niet toegestaan. Deze verboden gaan al in februari 2025 in.
- Hoog risico: Hieronder vallen AI-systemen die grote impact hebben op het leven van burgers. Voorbeelden zijn systemen die bepalen of iemand een baan of uitkering krijgt, of systemen die gebruikt worden bij politiewerk. Deze systemen mogen wel, maar moeten aan strenge eisen voldoen voor kwaliteit, controle en transparantie.
- Beperkt risico: Dit zijn bijvoorbeeld chatbots of systemen die nepvideo’s (deepfakes) maken. Hier moet vooral duidelijk zijn dat mensen met AI te maken hebben. Bij een chatbot moet je weten dat je niet met een mens chat, bij een AI-gegenereerde video moet zichtbaar zijn dat deze kunstmatig is.
- Minimaal risico: Alledaagse AI-toepassingen zoals spamfilters of AI in games vallen hieronder. Deze systemen kunnen gewoon worden gebruikt binnen de normale wetgeving.
Voor grote AI-modellen zoals ChatGPT gelden aparte regels. Hun makers moeten onder meer documenteren hoe de systemen werken en zorgen dat ze veilig zijn.
Betekenis voor bestuursorganen
Bestuursorganen moeten extra zorgvuldig zijn bij het gebruik van AI. De verordening legt hen zes belangrijke verplichtingen op:
1. Grondrechtentoets vooraf
Voor elk hoog-risico AI-systeem moet het bestuursorgaan vooraf onderzoeken wat de impact is op burgerrechten. Bijvoorbeeld: kan het systeem leiden tot discriminatie? Worden privacy-rechten voldoende beschermd? Deze toets gaat verder dan bij bedrijven en moet ook de noodzaak van het systeem aantonen.
2. Registratie in Europese databank
Vanaf augustus 2026 moeten alle hoog-risico AI-systemen worden geregistreerd in een EU-databank. Dit maakt duidelijk welke overheidsinstanties AI gebruiken en waarvoor. Bestaande systemen krijgen tot augustus 2030 de tijd om aan alle eisen te voldoen.
3. Melden van problemen
Als een AI-systeem onverwachte of schadelijke beslissingen neemt, moet dit direct worden gemeld bij de toezichthouders. Stel dat een systeem voor uitkeringsfraude systematisch bepaalde groepen blijkt te benadelen, dan moet dit worden gemeld.
4. Kennis bij medewerkers
Ambtenaren die met AI-systemen werken, moeten snappen wat het systeem wel en niet kan. Deze verplichting gaat al in februari 2025 in. Het gaat niet alleen om technische kennis, maar ook om inzicht in de beperkingen van het systeem.
5. Menselijke controle
Bij elk hoog-risico AI-systeem moet een medewerker kunnen ingrijpen. Deze persoon moet de bevoegdheid en kennis hebben om beslissingen van het systeem te controleren en zo nodig aan te passen of tegen te houden.
6. Vastleggen van beslissingen
Het moet altijd mogelijk zijn om achteraf te zien hoe een AI-systeem tot een besluit is gekomen. Daarom moeten bestuursorganen automatisch gegenereerde logbestanden bewaren en kunnen uitleggen waarom het systeem bepaalde keuzes heeft gemaakt.
Toezicht en handhaving
De EU creëert een nieuwe toezichtstructuur voor AI. In Brussel komt een Europees AI-bureau dat onder meer ondersteuning biedt bij de uitvoering van de regels en toeziet op de ontwikkeling van AI-standaarden. Een nieuw Europees Comité voor artificiële intelligentie, vergelijkbaar met het model van de privacytoezichthouders, gaat zorgen voor consistente toepassing van de regels in alle EU-landen.
In Nederland wordt momenteel gewerkt aan de inrichting van het nationale toezicht. Het kabinet bereidt een voorstel voor waarbij waarschijnlijk meerdere toezichthouders een rol krijgen, elk vanuit hun eigen expertise:
Markttoezicht
Voor verschillende onderdelen van de AI-verordening zullen verschillende toezichthouders verantwoordelijk worden. De Autoriteit Persoonsgegevens, de Rijksinspectie Digitale Infrastructuur en sectorale toezichthouders zoals AFM en DNB krijgen naar verwachting specifieke taken toegewezen. Welke toezichthouder aan zet is, zal afhangen van de context waarin het AI-systeem wordt gebruikt.
Grondrechtentoezicht
Voor het toezicht op de bescherming van fundamentele rechten krijgen waarschijnlijk het College voor de Rechten van de Mens en de Autoriteit Persoonsgegevens een rol. De precieze taakverdeling moet nog worden vastgesteld.
Sancties
De boetes voor overtredingen kunnen flink oplopen. Wie verboden AI-systemen gebruikt of de belangrijkste regels overtreedt, riskeert een boete van 35 miljoen euro of 7% van de wereldwijde jaaromzet – afhankelijk van welk bedrag hoger is. Voor kleinere organisaties gelden aangepaste, lagere bedragen.
Lees verder
AI-verordening (Verordening 2024/1689) Officiële publicatie in het Publicatieblad van de EU