Op 12 juli 2024 is de AI-verordening officieel gepubliceerd. Na een lang discussietraject zijn er veranderingen doorgevoerd in de uiteindelijke wettekst ten opzichte van de teksten die hiervoor beschikbaar waren. Om die reden is bepaalde informatie vermeld in eerdere blogs in onze AI-serie inmiddels niet meer up to date. Deze blog updatet daarom de inhoud van AI-blog Deel 2:'Artificiële intelligentie (AI)-verordening: verplichtingen AI-aanbieders en -exploitanten' waar nodig.
De definitieve AI-verordening kent relevante verschillen met de informatie zoals gepresenteerd in onze blog ‘Deel 2: Verplichtingen AI-aanbieders en -exploitanten’ op de volgende onderwerpen:
Voor onderwerpen waarvoor geen wijzigingen gelden, verwijzen wij u graag door naar AI-blog Deel 2: Verplichtingen AI-aanbieders en -exploitanten. De aldaar genoemde informatie blijft voor het overige immers wel gelden.
Definities en begrippen
In de nieuwe wettekst zijn een aantal belangrijke begrippen aangepast. In onze eerdere blog gebruiken wij nog de termen ‘AI-exploitant’ en ‘basismodel’, maar in deze updateblog gaan wij respectievelijk uit van de termen ‘AI-gebruiksverantwoordelijke’ en ‘AI-model voor algemene doeleinden’. Al eerder schreven wij een update over de aangepaste begrippen (zie updateblog 1)
Algemene verplichting AI-geletterdheid
AI-aanbieders en AI-gebruiksverantwoordelijken worden onder de finale versie van de AI-verordening verplicht om ‘zoveel mogelijk’ maatregelen te nemen om ervoor te zorgen dat hun opdrachtnemers of personeel, die uiteindelijk het AI-systeem exploiteren of gebruiken, over een voldoende niveau AI-geletterdheid beschikken. Opvallend is dat deze verplichting niet verbonden is aan een bepaalde risicoclassificering, maar geldt voor AI-aanbieders en AI-gebruiksverantwoordelijken van alle AI-systemen.
Wat een voldoende niveau AI-geletterdheid is, verschilt per situatie. De AI-aanbieder/AI-gebruiksverantwoordelijke moet onder andere rekening houden met de technische kennis, ervaring, onderwijs en opleiding van degene die gebruikmaakt van het AI-systeem, de context waarin het AI-systeem zal worden gebruikt, en de (groepen) personen ten aanzien van wie de AI-systemen zullen worden gebruikt.
Verplichtingen aanbieders AI-modellen voor algemene doeleinden
Onder de oude wettekst werden basismodellen qua verplichtingen nagenoeg gelijkgesteld aan een AI-systeem met een hoog risico. De verplichtingen voor basismodellen en de verplichtingen voor een hoog risicosysteem kwamen in grote mate overeen en dezelfde terminologie werd gebruikt (zoals het ‘inperken van gevaar voor de veiligheid, gezondheid en grondrechten van burgers’, en het uitvoeren van ‘risicomanagement’). In de nieuwe wettekst zijn de verplichtingen voor aanbieders van deze AI-modellen aanzienlijk gewijzigd, waarschijnlijk zodat het onderscheid tussen AI-modellen en AI-systemen beter tot zijn recht komt.
Aanbieders van AI-modellen voor algemene doeleinden dienen onder de nieuwe wettekst:
Verplichtingen AI-gebruiksverantwoordelijken hoog risico-systemen
De lijst met verplichtingen voor AI-gebruiksverantwoordelijken – dat wil zeggen, de entiteit/persoon die AI gebruikt of inzet voor de eigen bedrijfsvoering – was in de eerdere blog 2 nog onvolledig. Hier volgt de geupdate lijst:
AI-gebruiksverantwoordelijken van een hoog risico-systeem dienen onder de definitieve AI-verordening:
Indien de AI-gebruiksverantwoordelijke van een hoog risico-systeem een publiekrechtelijke rechtspersoon is, dan dient deze partij daarbovenop ook:
Verplichtingen aanbieders/verantwoordelijke generatieve AI-systemen
Aan generatieve AI-systemen ligt, naar de huidige stand van de techniek, altijd een AI-model voor algemene doeleinden ten grondslag. De term ‘generatieve AI-systemen’ komt daarom niet meer prominent naar voren in de nieuwe wettekst. De verplichting dat een gedetailleerde samenvatting moet worden gemaakt van de trainingsdata geldt nog steeds, maar nu voor alle aanbieders van AI-modellen voor algemene doeleinden (zie hierboven). De specifieke verplichting dat voorzorgsmaatregelen dienen te worden ingebouwd in een generatief AI-systeem om ervoor te zorgen dat geen illegale content wordt gegenereerd, is verwijderd. Indien het generatieve AI-systeem echter een hoog risico-systeem betreft, zal de AI-aanbieder nog steeds aan deze verplichting moeten voldoen, aangezien zij de algemene kwaliteit van het AI-systeem (waaronder de output) dient te waarborgen en het AI-systeem voldoende nauwkeurig en robuust moet zijn. Ten slotte geldt er nu wél een expliciete verplichting dat, door middel van machine-leesbare middelen, de output van een generatief AI-systeem detecteerbaar moet zijn als kunstmatig gegenereerd of gemanipuleerd. Aanbieders moeten ervoor zorg dragen dat deze aanbrenging niet kan worden omzeild.
Onder de nieuwe wettekst zijn gebruiksverantwoordelijken/gebruikers van generatieve AI-systemen die deepfakes genereren nog steeds verplicht mee te delen dat het gaat om een deepfake. De definitie van een deepfake is veranderd ten opzichte van de vorige wettekst. De nieuwe definitie luidt als volgt:
“[Een] door AI gegenereerd of gemanipuleerd beeld-, audio- of videomateriaal dat een gelijkenis vertoont met bestaande personen, voorwerpen, plaatsen of andere entiteiten of gebeurtenissen, en door een persoon ten onrechte voor authentiek of waarheidsgetrouw zou worden aangezien”.
Indien de gegenereerde content deel uitmaakt van een kennelijk artistiek, creatief, satirisch of fictief analoog werk of programma, mag de mededeling worden verschaft op een wijze die de weergave of genot van het werk niet belemmert. Nieuw is dat gebruiksverantwoordelijken/gebruikers die generatieve AI-systemen gebruiken om tekst te genereren met als doel het publiek te informeren over aangelegenheden van algemeen belang, ook kenbaar moeten maken dat de tekst kunstmatig is gegenereerd. Met deze verplichting moet ‘fake news’ worden teruggedrongen. Indien de inhoud een redactionele controle heeft ondergaan en redactionele verantwoordelijkheid ligt bij een aanspreekbare (rechts)persoon, geldt deze verplichting weer niet. Het is ten slotte voor de gebruiksverantwoordelijken/gebruiker niet meer verplicht om zijn/haar naam te vermelden.
Conclusie
De AI-verordening heeft over het laatste jaar meerdere aanpassingen ondergaan. Nu de officiële versie beschikbaar is, is het voor organisaties binnen de AI-waardeketen, met name AI-aanbieders en AI-gebruiksverantwoordelijken, van belang zich bewust te zijn van de wijzigingen die hebben plaatsgevonden.
Vragen? Neem gerust contact met ons op.
Artificiële intelligentie (AI)-verordening: verplichtingen AI-aanbieders en -exploitanten - UPDATE deel 2
Artificiële intelligentie (AI)-verordening: definities en werking – UPDATE deel 1
Artificiële intelligentie (AI)-verordening: auteursrecht (deel 5) – TDM-uitzondering Auteurswet biedt mogelijkheid voor het trainen van AI