Generatieve AI in Europa: kansen en uitdagingen

Terwijl de generatieve AI-revolutie wereldwijd om zich heen grijpt, staat ook Europa voor de uitdaging om deze technologie te omarmen en te reguleren. In deze blogpost kijken we naar de huidige stand van zaken, de kansen en de uitdagingen die generatieve AI biedt in de Europese context.

Huidige stand van zaken

Hoewel de meeste aandacht uitgaat naar Amerikaanse AI-giganten, hinkt Europa zeker niet achterop in de AI-race:

Volgens een peiling zegt één op de drie Belgische CEO's dat generatieve AI al wordt gebruikt in hun bedrijf.
Europese bedrijven en onderzoeksinstellingen zijn actief bezig met de ontwikkeling en implementatie van AI-technologieën.
De Europese Unie heeft ambitieuze plannen aangekondigd om miljarden te investeren in AI en gerelateerde technologieën.

Op 12 juli 2024 werd de EU AI Act gepubliceerd in het Publicatieblad van de Europese Unie (EU). Deze wet, die op 1 augustus 2024 in werking treedt, is de eerste uitgebreide wetgeving ter wereld die een juridisch kader biedt voor het gebruik van artificiële intelligentie (AI) in de EU.

De Europese aanpak

De Europese Unie neemt een proactieve houding aan ten opzichte van AI:

De voorgestelde AI Act heeft als doel AI-systemen te reguleren op basis van hun risico's, waarbij generatieve AI-systemen als 'hoog risico' worden beschouwd. De wet introduceert een risicogebaseerde aanpak, waarbij de regels variëren afhankelijk van het risico dat een AI-systeem en het gebruik ervan met zich meebrengen.
Er zijn plannen om 'AI-regelvrije experimenteerruimtes' te creëren om innovatie te stimuleren.
De EU zet in op de ontwikkeling van 'betrouwbare AI' die ethisch, veilig en in overeenstemming met Europese waarden is.

AI Act

De AI Act definieert vier risiconiveaus:

1. Verboden systemen

Bepaalde AI-toepassingen worden volledig verboden vanwege onaanvaardbare risico's. Voorbeelden zijn:

Evaluatie van personen op basis van sociaal gedrag ("social scoring")
Gebruik van real-time biometrische systemen in de publieke ruimte
Gebruik van emotie-herkenningssystemen op de werkvloer
Manipulatieve of misleidende AI-systemen

Omdat de risico's van deze systemen onaanvaardbaar zijn, gaan deze bepalingen 6 maanden na inwerkingtreding (1 februari 2025) van kracht.

2. Hoog risico systemen

Dit zijn systemen die grote kansen en meerwaarde kunnen bieden, maar ook belangrijke risico's in zich dragen die moeten worden weggenomen. Deze mogen worden gebruikt, maar moeten voldoen aan strikte vereisten. Hieronder vallen:

AI-systemen gebruikt in human resources
AI-systemen in de financiële sector
AI-systemen in veiligheidscomponenten van fysieke producten die al gereguleerd zijn onder het "New Legislative Framework" (NLF) van de EU

Vereisten voor hoog risico AI-systemen omvatten:

Adequaat risicobeheer
Hoge kwaliteit van datasets
Uitgebreide documentatie
Transparantie richting gebruikers
Menselijk toezicht
Robuustheid, nauwkeurigheid en cyberveiligheid

Deze systemen moeten 2 jaar na inwerkingtreding (1 augustus 2026) aan de eisen voldoen.

Voor hoog-risico AI-systemen in producten die vallen onder bepaalde EU-wetgevingen (bijvoorbeeld liften) geldt dat je tot 1 augustus 2027 de tijd hebt om te voldoen aan de gestelde eisen.

Je hebt nog langer de tijd voor AI-systemen die vóór inwerkingtreding al in gebruik zijn genomen. Voor deze systemen geldt dat zij 6 jaar na inwerkingtreding (2030) aan de verplichtingen moeten voldoen.

3. Beperkt risico systemen

Deze categorie omvat vooral AI-systemen die converseren met mensen, zoals chatbots en persoonlijke assistenten. Ze moeten voldoen aan specifieke transparantieverplichtingen.

4. Minimaal risico systemen

Deze AI-systemen worden grotendeels vrijgesteld van regelgeving.

Generatieve AI en 'General Purpose AI'

Met de opkomst van krachtige generatieve AI-tools zoals ChatGPT, introduceert de AI Act ook vereisten voor "general purpose AI". Dit zijn veelzijdige AI-modellen en -systemen die voor meerdere toepassingen kunnen worden ingezet. Het doel is om te verzekeren dat ook deze grootschalige systemen veilig zijn voor gebruik in Europa.

Implicaties voor bedrijven

Voor bedrijven die AI-oplossingen aanbieden of gebruiken, is de publicatie van de AI Act het startsein om zich voor te bereiden op de implementatie. De belangrijkste aandachtspunten zijn:

Risico-evaluatie: bedrijven moeten bepalen in welke risicocategorie hun AI-toepassingen vallen.
Conformiteitsproces: voor 'hoog risico' AI-systemen moet een uitgebreid conformiteitsproces worden doorlopen, inclusief:

Risicobeheer
Data management
Informatievoorziening
Menselijk toezicht
Technische documentatie

Normen implementeren: in de praktijk zullen bedrijven een aantal AI-normen moeten implementeren. Aan deze normen wordt momenteel nog gewerkt.
Compliance-strategie: ontwikkel een alomvattende strategie om aan zowel de AI Act als de GDPR te voldoen.
Documentatie en transparantie: houd gedetailleerde documentatie bij over AI-systemen en dataverwerking.
Training en bewustzijn: zorg dat medewerkers goed geïnformeerd zijn over de wettelijke vereisten.
Ethische overwegingen: integreer ethische principes in het ontwerp en de implementatie van AI-systemen.

Belangrijke data en deadlines

Volgende data zijn van belang:

1 februari 2025:

werknemers die omgaan met AI-systemen moeten voldoende kennis hierover hebben.
maak een inventaris van de bestaande of geplande AI-systemen in jouw organisatie, en bepaal welke categorie van risico zij vertegenwoordigen volgens de EU AI Act. Indien een AI-model kan worden kan worden gekwalificeerd als verboden onder de AI Act moet het gebruik ervan tegen 1 februari 2025 worden stopgezet. Indien het gaat om een hoog-risico model moet binnen de zes jaar worden voldaan aan alle verplichtingen uit de AI Act (registratie in de openbare Europese databank, invullen van een Fundamental Rights Impact Assessment, …).

1 augustus 2025: nieuwe 'general purpose AI'-systemen moeten voldoen aan de vereisten.
1 augustus 2026: digitale hoog risico AI-systemen die op de markt worden gebracht, moeten voldoen aan de nieuwe vereisten.
1 augustus 2027:

AI-systemen geïntegreerd in fysieke producten die onder de NLF-regels vallen, moeten conform zijn.
Verplichtingen voor hoog risico AI-systemen van in producten van kracht

1 augustus 2030: verplichtingen voor AI-systemen gebruikt door overheidsorganisaties die al voor inwerkingtreding in gebruik waren worden van kracht.

Relatie met GDPR

Hoewel de AI Act en GDPR verschillende focuspunten hebben, overlappen ze op belangrijke gebieden, vooral waar het gaat om de verwerking van persoonlijke data door AI-systemen. Bedrijven moeten ervoor zorgen dat hun AI-implementaties voldoen aan beide regelgevingen:

Dataminimalisatie: gebruik alleen de data die strikt noodzakelijk is voor het functioneren van het AI-systeem.
Rechten van betrokkenen: respecteer de rechten van individuen, zoals het recht op informatie, toegang, rectificatie, en gegevenswissing.
Data Protection Impact Assessment (DPIA): voer een DPIA uit voor AI-projecten die mogelijk een hoog risico vormen voor de privacy van individuen.
Privacy by Design: integreer privacybescherming in de ontwerp- en ontwikkelfase van AI-systemen.

Conclusie en aanbevelingen

De AI Act markeert een nieuw tijdperk in de regulering van AI in Europa. Voor bedrijven is het cruciaal om:

De risico's van hun AI-toepassingen te evalueren.
Een plan op te stellen voor het conformiteitsproces.
Te investeren in opleiding en kennisopbouw rond AI.
De ontwikkeling van relevante AI-normen nauwlettend te volgen.
Een geïntegreerde aanpak te ontwikkelen die zowel aan de AI Act als de GDPR voldoet.

Door proactief te handelen, kunnen bedrijven niet alleen voldoen aan de nieuwe regelgeving, maar ook een concurrentievoordeel opbouwen in een steeds meer door AI gedreven economie. De combinatie van ethische AI-praktijken, strikte databeveiliging, en innovatieve toepassingen zal essentieel zijn voor succes in dit nieuwe regelgevende landschap.