Artificiële intelligentie (AI)-verordening: verplichtingen AI-aanbieders en -exploitanten - UPDATE deel 2
Op 12 juli 2024 is de AI-verordening officieel gepubliceerd. Na een lang discussietraject zijn er veranderingen doorgevoerd in de uiteindelijke wettekst ten opzichte van de teksten die hiervoor beschikbaar waren. Om die reden is bepaalde informatie vermeld in eerdere blogs in onze AI-serie inmiddels niet meer up to date. Deze blog updatet daarom de inhoud van AI-blog Deel 2:'Artificiële intelligentie (AI)-verordening: verplichtingen AI-aanbieders en -exploitanten' waar nodig.
De definitieve AI-verordening kent relevante verschillen met de informatie zoals gepresenteerd in onze blog ‘Deel 2: Verplichtingen AI-aanbieders en -exploitanten’ op de volgende onderwerpen:
- Aangepaste definities en begrippen;
- Algemene verplichting AI-geletterdheid;
- Verplichtingen aanbieders AI-modellen voor algemene doeleinden;
- Verplichtingen AI-gebruiksverantwoordelijken hoog risico-systemen;
- Verplichtingen generatieve AI-systemen;
Voor onderwerpen waarvoor geen wijzigingen gelden, verwijzen wij u graag door naar AI-blog Deel 2: Verplichtingen AI-aanbieders en -exploitanten. De aldaar genoemde informatie blijft voor het overige immers wel gelden.
Definities en begrippen
In de nieuwe wettekst zijn een aantal belangrijke begrippen aangepast. In onze eerdere blog gebruiken wij nog de termen ‘AI-exploitant’ en ‘basismodel’, maar in deze updateblog gaan wij respectievelijk uit van de termen ‘AI-gebruiksverantwoordelijke’ en ‘AI-model voor algemene doeleinden’. Al eerder schreven wij een update over de aangepaste begrippen (zie updateblog 1)
Algemene verplichting AI-geletterdheid
AI-aanbieders en AI-gebruiksverantwoordelijken worden onder de finale versie van de AI-verordening verplicht om ‘zoveel mogelijk’ maatregelen te nemen om ervoor te zorgen dat hun opdrachtnemers of personeel, die uiteindelijk het AI-systeem exploiteren of gebruiken, over een voldoende niveau AI-geletterdheid beschikken. Opvallend is dat deze verplichting niet verbonden is aan een bepaalde risicoclassificering, maar geldt voor AI-aanbieders en AI-gebruiksverantwoordelijken van alle AI-systemen.
Wat een voldoende niveau AI-geletterdheid is, verschilt per situatie. De AI-aanbieder/AI-gebruiksverantwoordelijke moet onder andere rekening houden met de technische kennis, ervaring, onderwijs en opleiding van degene die gebruikmaakt van het AI-systeem, de context waarin het AI-systeem zal worden gebruikt, en de (groepen) personen ten aanzien van wie de AI-systemen zullen worden gebruikt.
Verplichtingen aanbieders AI-modellen voor algemene doeleinden
Onder de oude wettekst werden basismodellen qua verplichtingen nagenoeg gelijkgesteld aan een AI-systeem met een hoog risico. De verplichtingen voor basismodellen en de verplichtingen voor een hoog risicosysteem kwamen in grote mate overeen en dezelfde terminologie werd gebruikt (zoals het ‘inperken van gevaar voor de veiligheid, gezondheid en grondrechten van burgers’, en het uitvoeren van ‘risicomanagement’). In de nieuwe wettekst zijn de verplichtingen voor aanbieders van deze AI-modellen aanzienlijk gewijzigd, waarschijnlijk zodat het onderscheid tussen AI-modellen en AI-systemen beter tot zijn recht komt.
Aanbieders van AI-modellen voor algemene doeleinden dienen onder de nieuwe wettekst:
- De technische documentatie van het model op te stellen en up-to-date te houden, inclusief het trainings- en testproces en de resultaten van de evaluatie ervan. Deze documentatie moet op verzoek van het AI-bureau of de nationale bevoegde autoriteit worden verstrekt.
- Informatie en documentatie opstellen, up-to-date houden en beschikbaar stellen voor aanbieders van AI-systemen die het AI-model voor algemene doeleinden in hun AI-systeem willen integreren. De informatie moet onder andere inzicht geven in de capaciteiten en beperkingen van het AI-model, de taken die het model kan uitvoeren, de mogelijke en acceptabele manieren waarop het model mag worden toegepast, en de releasedatum.
- Beleid opstellen om ervoor te zorgen dat het voorbehoud op het auteursrecht, in het kader van tekst- en datamining, door de AI-aanbieder wordt gerespecteerd. Zie hierover meer in Blog 5 over AI en auteursrecht aan de inputkant.
- Een voldoende gedetailleerde samenvatting opstellen en openbaar maken over de voor het trainen van het AI-model voor algemene doeleinden gebruikte inhoud. Er zullen nog richtsnoeren volgen van het AI-bureau over hoe deze samenvatting eruit moet komen te zien.
Verplichtingen AI-gebruiksverantwoordelijken hoog risico-systemen
De lijst met verplichtingen voor AI-gebruiksverantwoordelijken – dat wil zeggen, de entiteit/persoon die AI gebruikt of inzet voor de eigen bedrijfsvoering – was in de eerdere blog 2 nog onvolledig. Hier volgt de geupdate lijst:
AI-gebruiksverantwoordelijken van een hoog risico-systeem dienen onder de definitieve AI-verordening:
- Passende technische en organisatorische maatregelen te nemen om te waarborgen dat zij dergelijke systemen gebruiken in overeenstemming met de gebruiksaanwijzing;
- Het menselijk toezicht op te dragen aan natuurlijke personen die beschikken over de nodige bekwaamheid, opleiding en autoriteit, waarbij zij de nodige ondersteuning krijgen;
- Ervoor te zorgen dat de inputdata relevant en voldoende representatief is voor het beoogde doel;
- Het AI-systeem te monitoren en de AI-aanbieder(s) in kennis te stellen indien een ernstig incident plaatsvindt. Indien de AI-aanbieder niet bereikt kan worden, geldt voor de AI-gebruiksverantwoordelijken een meldplicht naar de bevoegde autoriteiten;
- De logs gedurende een periode die passend is voor het beoogde doel van het AI-systeem (ten minste zes maanden) te bewaren;
- Indien het AI-systeem op de werkplek in gebruik wordt genomen, de vakbonden in kennis te stellen dat haar werknemers worden onderworpen aan het betreffende AI-systeem;
- Indien door middel van het AI-systeem persoonsgegevens worden verwerkt, een gegevensbeschermingseffectbeoordeling (DPIA) uit te voeren volgens de Algemene Verordening Gegevensbescherming (AVG). Zie hierover ook onze blog ‘Artificiële intelligentie (AI)-verordening: Blog 4: AI en Privacy, algemene beginselen’;
- Indien het AI-systeem beslissingen neemt of helpt bij het nemen van beslissingen met betrekking tot natuurlijke personen, de natuurlijke persoon in kennis te stellen dat het AI-systeem met hoog risico op hen wordt toegepast;
- Samenwerking te verlenen met de desbetreffende nationale bevoegde autoriteiten bij alle door hen genomen maatregelen met betrekking tot een AI-systeem met een hoog risico.
Indien de AI-gebruiksverantwoordelijke van een hoog risico-systeem een publiekrechtelijke rechtspersoon is, dan dient deze partij daarbovenop ook:
- Te registreren dat zij het betreffende AI-systeem toepassen in de EU-databank;
- Een gevolgenbeoordeling grondrechten uit te voeren (FRIA). Deze verplichting geldt tevens voor banken en verzekeringsmaatschappijen, indien zij het AI-systeem met hoog risico inzetten voor hun openbare dienstverlening
Verplichtingen aanbieders/verantwoordelijke generatieve AI-systemen
Aan generatieve AI-systemen ligt, naar de huidige stand van de techniek, altijd een AI-model voor algemene doeleinden ten grondslag. De term ‘generatieve AI-systemen’ komt daarom niet meer prominent naar voren in de nieuwe wettekst. De verplichting dat een gedetailleerde samenvatting moet worden gemaakt van de trainingsdata geldt nog steeds, maar nu voor alle aanbieders van AI-modellen voor algemene doeleinden (zie hierboven). De specifieke verplichting dat voorzorgsmaatregelen dienen te worden ingebouwd in een generatief AI-systeem om ervoor te zorgen dat geen illegale content wordt gegenereerd, is verwijderd. Indien het generatieve AI-systeem echter een hoog risico-systeem betreft, zal de AI-aanbieder nog steeds aan deze verplichting moeten voldoen, aangezien zij de algemene kwaliteit van het AI-systeem (waaronder de output) dient te waarborgen en het AI-systeem voldoende nauwkeurig en robuust moet zijn. Ten slotte geldt er nu wél een expliciete verplichting dat, door middel van machine-leesbare middelen, de output van een generatief AI-systeem detecteerbaar moet zijn als kunstmatig gegenereerd of gemanipuleerd. Aanbieders moeten ervoor zorg dragen dat deze aanbrenging niet kan worden omzeild.
Onder de nieuwe wettekst zijn gebruiksverantwoordelijken/gebruikers van generatieve AI-systemen die deepfakes genereren nog steeds verplicht mee te delen dat het gaat om een deepfake. De definitie van een deepfake is veranderd ten opzichte van de vorige wettekst. De nieuwe definitie luidt als volgt:
“[Een] door AI gegenereerd of gemanipuleerd beeld-, audio- of videomateriaal dat een gelijkenis vertoont met bestaande personen, voorwerpen, plaatsen of andere entiteiten of gebeurtenissen, en door een persoon ten onrechte voor authentiek of waarheidsgetrouw zou worden aangezien”.
Indien de gegenereerde content deel uitmaakt van een kennelijk artistiek, creatief, satirisch of fictief analoog werk of programma, mag de mededeling worden verschaft op een wijze die de weergave of genot van het werk niet belemmert. Nieuw is dat gebruiksverantwoordelijken/gebruikers die generatieve AI-systemen gebruiken om tekst te genereren met als doel het publiek te informeren over aangelegenheden van algemeen belang, ook kenbaar moeten maken dat de tekst kunstmatig is gegenereerd. Met deze verplichting moet ‘fake news’ worden teruggedrongen. Indien de inhoud een redactionele controle heeft ondergaan en redactionele verantwoordelijkheid ligt bij een aanspreekbare (rechts)persoon, geldt deze verplichting weer niet. Het is ten slotte voor de gebruiksverantwoordelijken/gebruiker niet meer verplicht om zijn/haar naam te vermelden.
Conclusie
De AI-verordening heeft over het laatste jaar meerdere aanpassingen ondergaan. Nu de officiële versie beschikbaar is, is het voor organisaties binnen de AI-waardeketen, met name AI-aanbieders en AI-gebruiksverantwoordelijken, van belang zich bewust te zijn van de wijzigingen die hebben plaatsgevonden.
Vragen? Neem gerust contact met ons op.