Het is officieel sinds 9 december: de AI Act komt er aan. Deze wet, een pionier op wereldniveau met haar strenge richtlijnen voor het gebruik van algoritmes, autonome systemen en robots, belooft veel veranderingen. In deze vragenreeks belichten we de belangrijkste aspecten die nu al van belang zijn. Vandaag: Wat betekent een hoog risico AI voor mijn organisatie?
Hoog risico AI
Zoals onlangs al is toegelicht, kent de AI Act drie risiconiveaus: verboden, hoog en laag. Veruit de meeste verplichtingen gelden voor AI-systemen die in de categorie hoog vallen. De inschatting op welk niveau je zit, ligt in principe bij de organisatie zelf – die moet wel gedocumenteerd en vastgelegd zijn.
Als een AI-systeem telt als hoog risico, dan moet het volgende geregeld zijn:
- Fundamental Rights Impact Assessment: vooraf moeten gestructureerd de risico’s in kaart worden gebracht voor kwesties als veiligheid, privacy, discriminatie, eerlijke toegang tot zorg, onderwijs en belangrijke diensten (zie de vorige blog).
- Risicomanagementsysteem: om potentiële risico's te identificeren, evalueren, beheren en verminderen.
- Systeem voor gegevensbeheer: er moet gebruik worden gemaakt van onbevooroordeelde, kwalitatieve en representatieve datasets.
- Technische documentatie: voor gebruikers moet duidelijk zijn hoe het AI-systeem gebruikt moet worden.
- Transparantie: voor gebruikers moet duidelijk zijn hoe het AI-systeem werkt. Zo geldt er ook een verplichting om te loggen om te kunnen traceren en controleren wat er precies is gebeurd.
- Menselijk toezicht: bij het gebruik van het AI-systeem is menselijk toezicht vereist.
- Conformiteitsbeoordeling: er geldt een specifieke conformiteitsbeoordelingsprocedure die verschilt van het huidige CE-markeringssysteem voor andere producten. Het doel is om een beoordelingsproces te hebben dat is afgestemd op de unieke kenmerken en risico's van AI-systemen.
Direct aan de slag
Werk jij of werkt jouw organisatie met AI of algoritmes of overweeg je dat te doen? Neem dan nu alvast de volgende stappen:
- Inventariseer om welke AI het gaat, van welke leveranciers deze afkomstig zijn en welke informatie je van de leveranciers nodig hebt. Vergeet ook de shadow-IT niet: de AI-diensten die werknemers op eigen houtje hebben afgenomen, al dan niet als experiment.
- Onderzoek welke rol je hebt en welke verantwoordelijkheden daarbij horen. Beoordeel vervolgens of je contracten daarop aansluiten. Denk aan aansprakelijkheid, opzegtermijn en mogelijkheden om documentatie op te eisen over werking, dataset en dergelijke.
- Evalueer de uitvoer van het AI-systeem. Zorg voor protocollen voor de evaluatie van de uitvoer en maak beleid met betrekking tot periodieke controles op de juistheid van de aanbevelingen.
- Concludeer welke menselijke bemoeienis met deze AI-systemen er is binnen jouw organisatie is.
- Bepaal de risico categorie van het AI-systeem. AI-systemen die een hoog risico vormen staan in Bijlage III. AI-systemen die in Bijlage III vermeld staan en een conformiteitsbeoordeling van een onafhankelijke derde nodig hebben ook een hoog risico. Let op: deze lijst kan de komende weken nog aangepast worden.
De AI Act is nu in de allerlaatste fase van het finaliseren van de tekst en het formele akkoord. Over hoe dat verder gaat, lees je in de volgende blog!
Meer leren over AI en de AI Act?
Om als professional in te kunnen spelen op de AI Act is het belangrijk om goed voorbereid te zijn. Onze AI-opleidingen bieden essentiële kennis, waarbij we de balans onderzoeken tussen ethiek, innovatie en wetgeving. Kies de opleiding die het beste bij jou past!
