AI-verordening
De AI-verordening komt eraan: de eerste uitgebreide wet over kunstmatige intelligentie ter wereld. In de AI-verordening staan de regels voor het verantwoord ontwikkelen en gebruiken van AI door bedrijven, overheden en andere organisaties.
Op deze pagina
De verordening gaat gefaseerd in en zal medio 2027 geheel van kracht zijn. Een aantal AI-systemen is waarschijnlijk vanaf eind 2024 al verboden. Daarom is het slim om u nu alvast voor te bereiden. Zie ook de 'snelle antwoorden' op deze pagina.
Rapportage AI- en algoritmerisico’s Nederland
De AP publiceert elk half jaar een Rapportage AI- en algoritmerisico’s Nederland (RAN), om daarmee een beeld te geven van ontwikkelingen en trends in de risico’s.
Waarom deze wet?
De AI-verordening is er om ervoor te zorgen dat iedereen in Europa erop kan vertrouwen dat AI-systemen veilig werken en dat grondrechten beschermd zijn. Ook al zijn er veel systemen met weinig risico’s en zijn er allerlei voordelen aan AI, er is ook een hele andere kant. Bestaande wetten zoals de Algemene verordening gegevensbescherming (AVG) en de Wet politiegegevens (Wpg) bieden al bescherming. Bijvoorbeeld als AI-systemen worden gebruikt om persoonsgegevens te verwerken. Maar dat is onvoldoende om alle risico’s aan te pakken die bij AI komen kijken. Onverantwoord gebruik van AI kan bijvoorbeeld leiden tot discriminatie, beperkingen van onze vrijheden en misleiding en uitbuiting van mensen. De AI-verordening helpt ervoor te zorgen dat ontwikkelaars van AI-systemen risico’s aanpakken en dat daar toezicht op is.
Voor wie gelden de regels in de AI-verordening?
De AI-verordening is zowel gericht op organisaties die AI aanbieden als op organisaties die de AI gebruiken. Van overheid en zorginstelling tot het mkb.
Aanbieders moeten er bijvoorbeeld voor zorgen dat de systemen die ze ontwikkelen voldoen aan de eisen voordat ze deze in de handel brengen en deze in gebruik mogen worden genomen. Ook moeten zij blijven monitoren of er risico’s ontstaan voor bijvoorbeeld de bescherming van grondrechten. En actie ondernemen als er iets mis is met het systeem. Aanbieders moeten er ook voor zorgen dat de systemen voldoende transparant zijn zodat ze op de juiste manier gebruikt worden.
Organisaties hebben bijvoorbeeld de verantwoordelijkheid het AI-systeem te gebruiken volgens de gebruiksaanwijzing die de aanbieder meegeeft. Ook moeten gebruikende organisaties zorgen dat er menselijk toezicht is, relevante en voldoende representatieve inputdata gebruiken en incidenten melden bij de aanbieder en de toezichthouder. In bepaalde gevallen moeten zij ook het gebruik van het systeem registeren in een Europese databank.
Daarnaast regelt de AI-verordening dat alle mensen die in aanraking komen met een AI-systeem, het recht hebben om:
- een klacht in te dienen bij een toezichthouder;
- in sommige gevallen een toelichting te krijgen wanneer er een besluit over hen wordt genomen op basis van de uitvoer van een AI-systeem met een hoog risico.
Wat regelt de AI-verordening?
De AI-verordening deelt AI-systemen in aan de hand van risicogroepen. Hoe hoger het risico voor burgers en de samenleving als geheel, hoe strenger de regels. Belangrijke punten die de wet bijvoorbeeld regelt zijn dat:
- toepassingen die een onaanvaardbaar risico met zich meebrengen worden verboden;
- toepassingen die een hoog risico vormen aan strengere regels worden gebonden. Voorbeelden zijn AI-systemen die bedoeld zijn voor werving- en selectie of voor rechtshandhaving. Organisaties moeten bijvoorbeeld activiteiten van het systeem loggen, adequaat datamanagement inrichten en zorgen dat er menselijk toezicht mogelijk is. Ze moeten ook kunnen aantonen dat ze aan deze verplichtingen voldoen. De AI-verordening bevat een lijst met hoogrisicosystemen die aan deze en andere eisen moeten voldoen. Toepassingen die een lager risico vormen moeten voldoen aan verschillende regels op het gebied van transparantie. Een systeem dat kunstmatige content genereert, moet dit bijvoorbeeld duidelijk markeren voor de burger.
- er toezichthouders worden aangewezen die het naleven van de verordening kunnen handhaven, organisaties kunnen verplichten een product uit de handel te nemen en boetes kunnen opleggen.
Als uw organisatie een AI-systeem ontwikkelt of gebruikt, dan is het uw verantwoordelijkheid om te controleren in welke categorie het systeem valt. Voordat de verplichtingen gelden voor AI-systemen met een hoog risico, komen er richtlijnen die organisaties helpen om te beoordelen welke systemen in welke risicogroep vallen. Zie ook: Risicogroepen AI-verordening.
Specifieke regels voor overheden
In de AI-verordening staan ook extra regels voor overheden en uitvoerders van publieke taken. Zij moeten bij systemen met een hoog risico altijd een zogenoemde grondrechteneffectbeoordeling doen. Deze organisaties moeten ook hun gebruik registreren in de Europese database voor AI-systemen.
Aanbieders van AI-modellen voor algemene doeleinden
Voor aanbieders van 'AI-modellen voor algemene doeleinden' gaan er ook regels gelden. Deze modellen staan ook wel bekend als 'general purpose AI'. Het gaat dan om de modellen die de basis vormen voor andere toepassingen, bijvoorbeeld de taalmodellen die bestaan voor AI-chatbots.
De ontwikkelaars van deze modellen zijn onder meer verplicht om technische documentatie over hun product op te stellen, het systeem 'uitlegbaar' te maken en ze moeten beleid hebben om auteursrechten te beschermen. Handhaving zal voor het grootste deel op Europees niveau plaatsvinden, door het Europese AI Office.
Snelle antwoorden
Wanneer gaat de AI-verordening in?
De AI-verordening treedt stapsgewijs in werking. De eerste regels gaan waarschijnlijk eind 2024 gelden in Nederland. In de loop van 2027 zal de gehele wet van toepassing zijn. De belangrijkste stappen in dit proces leest u hierna.
Eind 2024
Verbod op aanbieden en gebruiken van bepaalde AI-toepassingen van kracht.
Medio 2025
- Toezichthouders op naleving van de AI-verordening in Nederland zijn bekend.
- Aangewezen toezichthouders hebben de bevoegdheid om boetes op te leggen.
- De regels voor aanbieders van zogenoemde AI-modellen voor algemene doeleinden gaan in. Deze modellen staan ook wel bekend als 'general purpose AI'.
Medio 2026
- Verplichtingen voor AI met een hoog risico (omschreven in Bijlage III van de verordening) zijn van toepassing.
- Transparantieverplichtingen voor bepaalde AI-systemen zijn van toepassing. Mensen moeten weten dat zij te maken hebben met een AI-systeem of door AI gegenereerde content.
- De Nederlandse 'regulatory sandbox' is gestart om advies te geven aan aanbieders van AI-systemen bij complexe vragen over de regels uit de AI-verordening.
Medio 2027
- Als het AI-systeem een product is of een veiligheidscomponent vormt van producten die al vallen onder andere productwetgeving (omschreven in Bijlage I van de verordening, bijvoorbeeld medische hulpmiddelen of radioapparatuur), dan zal de AI-verordening ook van toepassing zijn op deze producten.
- De AI-verordening is volledig van kracht.
Wat kan ik als organisatie nu al doen als voorbereiding op de AI-verordening?
U kunt nu al een aantal dingen doen:
- Breng als aanbieder of gebruiker van algoritmes en AI in kaart om welke systemen het in uw organisatie gaat. En maak alvast een inschatting in welke risicogroep uw AI-systeem valt. Zodat u weet welke eisen er voor uw systeem gaan gelden.
- Wilt u een AI-systeem aanschaffen? Check dan of er in de inkoopvoorwaarden voldoende rekening is gehouden met bestaande en aankomende wetten. Zoals de AI-verordening en de AVG. Ontwikkelaars moeten namelijk zorgen dat systemen aan eisen voldoen voordat ze op de markt worden gebracht. U wilt voorkomen dat u een AI-systeem ontwikkelt of implementeert waarvan (straks) blijkt dat het niet voldoet aan de wet.
- Kijk nu alvast of u de transparantie over uw systeem kunt verbeteren. Bijvoorbeeld door de informatie hierover op uw website en bij het aanbieden van de dienst te verduidelijken. Voor veel sectoren, terreinen en toepassingen zijn hiervoor al richtlijnen te vinden in bestaande wet- en regelgeving.
- Is het nu al overduidelijk dat uw AI-systeem onder de lijst met verboden AI gaat vallen? Dan is het voor aanbieders raadzaam om het systeem nu al uit de handel te nemen. Is uw organisatie gebruiker van het systeem? Probeer dan zo snel mogelijk te stoppen met het systeem. De kans is namelijk groot dat u ook nu al wetten overtreedt.
- Bent u een professional binnen de overheid? Verken dan de mogelijkheid om een Impact Assessment voor Mensenrechten (IAMA) te doen en/of gebruik te maken van andere praktische hulpmiddelen uit de Toolbox ethisch verantwoord innoveren van de Rijksoverheid.
- Als overheid kunt u uw algoritmisch systeem nu al vrijwillig registreren in het algoritmeregister.
- Sommige organisaties maken inmiddels werk van het aanstellen van een interne toezichthouder op algoritmes of een ‘functionaris algoritmes’. De AP juicht toe dat organisaties op die manier hun verantwoordelijkheid nemen.
Wie houdt toezicht op de AI-verordening?
In Nederland werkt het kabinet aan een voorstel voor het toezicht op de AI-verordening. De verwachting is dat er meerdere toezichthouders zullen zijn voor verschillende delen van de AI-verordening. Welke toezichthouder aan zet is, ligt aan de context waarin het AI-systeem wordt gebruikt of ontwikkeld. De taakverdeling komt in de Nederlandse wetgeving te staan.
In welke mate de Autoriteit Persoonsgegevens (AP) toezicht gaat houden op de AI-verordening, ligt dus nog niet vast. We verwachten dat hier in de loop van 2024 meer duidelijkheid over komt. Wel dragen we als coördinerend algoritmetoezichthouder samen met andere partijen nu al bij aan de voorbereidingen. Dit doen we vanuit de directie Coördinatie Algoritmes (DCA).
De AP is wel al toezichthouder op de verwerking van persoonsgegevens door algoritmes.
