In mijn eerdere blog besprak ik waarom normalisatie een cruciale rol gaat spelen bij de implementatie van de AI Act. Europese normen zullen steeds belangrijker worden om in de praktijk aan te tonen dat organisaties voldoen aan de verplichtingen uit deze verordening.
In dit vervolg zoomen we in op een van die normen: prEN 18286 - Quality management system for EU AI Act regulatory purposes. Deze geharmoniseerde norm is bedoeld als praktische uitwerking van artikel 17 van de AI Act, dat aanbieders van hoogrisico-AI-systemen verplicht een kwaliteitsbeheersysteem in te richten.
De conceptnorm heeft inmiddels een publieke consultatie doorlopen, waarin het volgens de EU-regels voor een standaardisatieprocedure onvoldoende steun kreeg. Er zullen daardoor eerst aanpassingen gedaan worden voordat de norm officieel kan worden aangenomen.
AI Act: kwaliteitsbeheer als basis voor conformiteit
De AI Act verplicht aanbieders van hoogrisico-AI-systemen om een gedocumenteerd kwaliteitsbeheersysteem te implementeren dat waarborgt dat het AI-systeem gedurende zijn hele levenscyclus voldoet aan de eisen van de AI Act.
Het beheersysteem moet betrekking hebben op alle relevante processen rond het AI-systeem, waaronder ontwikkeling, validatie, monitoring en incidentafhandeling. De conceptnorm prEN 18286 vertaalt de verplichtingen uit de wet naar concrete governance-, documentatie- en lifecycle-controls die organisaties kunnen implementeren en laten auditen.
Het kwaliteitsbeheersysteem moet daarmee laten zien dat het hoogrisico-AI-systeem gedurende zijn hele levenscyclus wordt ontwikkeld en beheerd op een manier die voldoet aan de eisen van de AI Act. De aanbieder toont daarmee aan dat het systeem van voldoende kwaliteit is en dat de verplichtingen uit de verordening structureel zijn ingebed in de ontwikkel- en beheerprocessen. In de praktijk zal het kwaliteitsbeheersysteem bovendien vaak een centrale rol spelen bij de conformiteitsbeoordeling van het AI-systeem.
Een productgerichte benadering
De conceptnorm valt vooral op doordat zij sterk productgericht is ingericht. De structuur van de norm volgt grotendeels de levenscyclus van het AI-systeem, met aandacht voor onderwerpen zoals datakwaliteit, modelontwikkeling, validatie en monitoring tijdens gebruik.
Dat sluit aan bij de aard van de AI Act. Hoewel de verordening organisatorische verplichtingen bevat, is zij in essentie gebaseerd op het EU-model van productveiligheidsregelgeving. Het doel is uiteindelijk om te waarborgen dat AI-systemen veilig op de markt worden gebracht en gedurende hun levenscyclus gecontroleerd blijven functioneren.
ISO/IEC 42001: AI-beheer op organisatieniveau
Een andere benadering vinden we in ISO/IEC 42001, de internationale norm voor AI-managementsystemen. Deze norm richt zich primair op AI-governance binnen de organisatie. Organisaties moeten onder meer beleid formuleren, risico’s analyseren en processen inrichten voor monitoring en continue verbetering.
Het verschil in focus is daarmee duidelijk. Waar ISO/IEC 42001 vooral kijkt naar de manier waarop een organisatie AI gebruikt en beheert, richt prEN 18286 zich vooral op de conformiteit van het AI-product zelf.
Verschillende perspectieven op risico
Binnen ISO-managementsystemen wordt risico doorgaans gedefinieerd als “het effect van onzekerheid op doelstellingen”. Risico’s worden dus beoordeeld in relatie tot de doelstellingen van de organisatie, waarbij schade bijvoorbeeld kan bestaan uit financiële verliezen, reputatieschade of verstoring van bedrijfsprocessen.
De AI Act hanteert een breder perspectief. AI-systemen, namelijk het beperken van schade voor personen en de samenleving, zoals gevolgen voor gezondheid, veiligheid en fundamentele rechten.
Zelf gekozen controls versus verplichte controls
Een belangrijk verschil tussen ISO-normen en de AI Act zit in de manier waarop beheersmaatregelen (“controls”) worden vastgesteld. Binnen ISO-managementsystemen begint het doorgaans proces met een risicoanalyse. Op basis daarvan bepaalt de organisatie zelf welke controls nodig zijn om de geïdentificeerde risico’s te beheersen.
De AI Act volgt een andere logica. Voor hoogrisico-AI-systemen schrijft de verordening al een groot aantal verplichtingen voor, bijvoorbeeld op het gebied van risicobeheer, datakwaliteit, logging en menselijke controle. De norm prEN 18286 vertaalt deze verplichtingen vervolgens naar concrete processen binnen het kwaliteitsbeheersysteem.
Relatie met ISO/IEC 42001
Een interessant detail is dat prEN 18286 een bijlage bevat waarin per control de eventuele overlap met ISO/IEC 42001 wordt weergegeven. Dat maakt inzichtelijk hoe het kwaliteitsbeheer onder de AI Act kan aansluiten op bestaande managementsystemen van ISO. Tegelijkertijd wordt duidelijk dat beide kaders een andere focus hebben: waar ISO 42001 zich richt op AI-governance binnen de organisatie, blijft prEN 18286 gericht op de conformiteit van het AI-product en de verplichtingen uit de AI Act.
Conclusie
De ontwikkeling van prEN 18286 laat zien dat het kwaliteitsbeheer onder de AI Act een eigen karakter heeft. Waar normen zoals ISO/IEC 42001 zich richten op AI-governance binnen de organisatie, richt prEN 18286 zich vooral op de conformiteit van individuele AI-systemen.
Daarnaast bestaat er een belangrijk verschil in de manier waarop risico’s en beheersmaatregelen worden benaderd. ISO-normen laten organisaties grotendeels zelf bepalen welke maatregelen nodig zijn, terwijl de AI Act voor hoogrisico-AI-systemen en diens aanbieders een groot aantal verplichtingen voorschrijft.
ISO/IEC 42001 kan een solide basis bieden voor AI-governance. Voor organisaties die al ISO-managementsystemen hebben geïmplementeerd, kan het een natuurlijke uitbreiding vormen van hun bestaande managementsystemen. Tegelijkertijd zal voor aanbieders het kwaliteitsbeheer onder artikel 17 AI Act vaak aanvullende productgerichte controls vereisen die specifiek zijn ontworpen voor hoogrisico-AI-systemen. De verdere ontwikkeling van prEN 18286 zal daarom voor aanbieders van hoogrisico-AI-systemen een prominente rol blijven spelen bij de praktische implementatie van de AI Act.
Heb je vragen na het lezen van dit blog? Neem dan contact met ons op
