Het is eindelijk zo ver: de AI Act is van kracht. Daarmee is een periode van zes maanden en eentje van twee jaar begonnen waarbinnen je aan deze nieuwe wet moet gaan voldoen met AI in je organisatie. En ik kan je vertellen, dat is een hele puzzel.
Grofweg liggen er voor organisaties (al dan niet geholpen met een CAICO® compliance officer) drie hoofdtaken:
- Uiterlijk februari: Inventariseer en stop met de verboden praktijken.
- Uiterlijk februari: Heb een AI geletterdheid programma op poten voor je medewerkers.
- Uiterlijk over twee jaar: Weet welke AI hoogrisico is en heb beheersmaatregelen staan.
Het meest voorkomende scenario is dat je als organisatie ergens een AI model vandaan haalt of een algemene AI fine-tunet voor je eigen toepassing. Wie krijgt dan met welke regels te maken?
De oplossing staat in artikel 25: je wordt ‘aanbieder’ (met de gehele berg aan compliance erbij) van een AI systeem als je
- Een bestaand hoogrisico AI systeem onder je eigen naam gebruikt of verder verspreidt;
- Een “substantiële” aanpassing doet aan een bestaand hoogrisico AI systeem;
- Je verandert het beoogd gebruik van een bestaand AI systeem naar een hoogrisico toepassing.
Een simpel voorbeeld: wie een eigen Copilot bouwt op basis van de Microsoft-dienst, komt in de situatie van optie 3 terecht. De enige open vraag is dan nog of je er een hoogrisico-toepassing mee realiseert. Een chatbot die je kennisbank vervangt is dat niet, een cv-screener voor de HR-afdeling is dat wel.
Mocht je bezig zijn met een eigen taalmodel (of ander AI model) te bouwen, of een bestaand model uit te breiden, dan heb je iets meer rek. Een “eigen model” voor “zuiver interne processen die niet essentieel zijn” voor de bedrijfsvoering of raken aan grondrechten, blijft buiten de AI Act.
Het grootste probleem voor nu zal zijn achterhalen waar allemaal AI processen actief zijn. Je mag daarbij de ophef vergeten over beslisbomen, Excelfilters en dergelijke randgevallen waar bij introductie van de AI Act ophef over was. De finale definitie kent vier componenten:
- Het systeem opereert met enige autonomie
- Het systeem heeft een specifieke doelstelling
- Het systeem leidt zelf de regels af om van invoer tot uitvoer te komen
- Het systeem heeft de capaciteit de omgeving te beïnvloeden met de uitvoer
Hulp nodig bij onderzoek en implementatie? Gebruik onze gratis AI Act Checklist!
Arnoud