Valt jouw AI toepassing vanaf vandaag ook onder de AI Act?

Photo by Hans-Peter Gauster on Unsplash

Het is eindelijk zo ver: de AI Act is van kracht. Daarmee is een periode van zes maanden en eentje van twee jaar begonnen waarbinnen je aan deze nieuwe wet moet gaan voldoen met AI in je organisatie. En ik kan je vertellen, dat is een hele puzzel.

Grofweg liggen er voor organisaties (al dan niet geholpen met een CAICO® compliance officer) drie hoofdtaken:

  1. Uiterlijk februari: Inventariseer en stop met de verboden praktijken.
  2. Uiterlijk februari: Heb een AI geletterdheid programma op poten voor je medewerkers.
  3. Uiterlijk over twee jaar: Weet welke AI hoogrisico is en heb beheersmaatregelen staan.
De AI Act gaat op hoofdlijnen uit van het makkelijke geval. Er is een aanbieder of leverancier van een AI systeem in een doos, jij als gebruiksverantwoordelijke koopt die doos en zet de AI aan. Maar de praktijk is natuurlijk vaak genoeg niet zo.

Het meest voorkomende scenario is dat je als organisatie ergens een AI model vandaan haalt of een algemene AI fine-tunet voor je eigen toepassing. Wie krijgt dan met welke regels te maken?

De oplossing staat in artikel 25: je wordt ‘aanbieder’ (met de gehele berg aan compliance erbij) van een AI systeem als je

  1. Een bestaand hoogrisico AI systeem onder je eigen naam gebruikt of verder verspreidt;
  2. Een “substantiële” aanpassing doet aan een bestaand hoogrisico AI systeem;
  3. Je verandert het beoogd gebruik van een bestaand AI systeem naar een hoogrisico toepassing.
Het is met name optie 3 die de praktijk het meest zal raken. Wat er immers voornamelijk op de markt is, zijn zogeheten general-purpose AI systemen, systemen die drijven op een algemeen AI model maar wel gewoon als product of dienst inzetbaar zijn. De chatinterface van Claude of de API van ChatGPT bijvoorbeeld. We noemen dat wel vaak ‘modellen’, maar de AI Act noemt het een systeem zodra het een bruikbare oplossing is.

Een simpel voorbeeld: wie een eigen Copilot bouwt op basis van de Microsoft-dienst, komt in de situatie van optie 3 terecht. De enige open vraag is dan nog of je er een hoogrisico-toepassing mee realiseert. Een chatbot die je kennisbank vervangt is dat niet, een cv-screener voor de HR-afdeling is dat wel.

Mocht je bezig zijn met een eigen taalmodel (of ander AI model) te bouwen, of een bestaand model uit te breiden, dan heb je iets meer rek. Een “eigen model” voor “zuiver interne processen die niet essentieel zijn” voor de bedrijfsvoering of raken aan grondrechten, blijft buiten de AI Act.

Het grootste probleem voor nu zal zijn achterhalen waar allemaal AI processen actief zijn. Je mag daarbij de ophef vergeten over beslisbomen, Excelfilters en dergelijke randgevallen waar bij introductie van de AI Act ophef over was. De finale definitie kent vier componenten:

  • Het systeem opereert met enige autonomie
  • Het systeem heeft een specifieke doelstelling
  • Het systeem leidt zelf de regels af om van invoer tot uitvoer te komen
  • Het systeem heeft de capaciteit de omgeving te beïnvloeden met de uitvoer
Wat de AI Act “traditionele software- of programmeerbenaderingen” noemt, blijven hier per definitie buiten. Een beslisboom die door mensen is opgesteld, wordt dus geen AI systeem bijvoorbeeld. Een ML algoritme een beslislijn laten trekken in een dataset, en die lijn als criterium in je applicatie opnemen, is dat wél.

Hulp nodig bij onderzoek en implementatie? Gebruik onze gratis AI Act Checklist!

Arnoud

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.