De AI Act legt verplichtingen op aan aanbieders, gebruikers, importeurs en distributeurs. Wat uw bedrijf precies moet doen, hangt af van diens rol in de keten, en de risicocategorie van het AI systeem of AI-model. Hoe hoger het risico van het AI-systeem of AI-model, hoe zwaarder de verplichtingen. Deze verplichtingen raken rechtstreeks aan de verantwoordelijkheden van bestuurders en commissarissen, die erop moeten toezien dat de onderneming tijdig compliant is. Een actieve rol van de general counsel en corporate secretary is vereist bij het vertalen van de regelgeving naar intern beleid en governance-structuren. Hieronder staan de best practices voor verantwoord AI-gebruik op een rij.
Breng alle AI-toepassingen in beeld, met risiconiveaus
Maak een overzicht van alle software en hardware met AI functionaliteit die de onderneming gebruikt of aanbiedt. Maak daarbij het onderscheid tussen AI-systemen en AI-modellen. Kort gezegd: een AI‑model is het bouwblok; een AI‑systeem is het toegepaste product. De AI Act definieert een AI-systeem als een door machines uitgevoerd systeem dat met enige autonomie uit input afleidt welke output het geeft, zoals voorspellingen, in-houd, aanbevelingen of beslissingen. Zie voor een uitgebreide uitleg over de definitie van AI-systemen deze News Update. Van AI-modellen kent de AI Act twee smaken: general-purpose AI (”GPAI”) en GPAI-modellen met een systeemrisico. Voor die laatste gelden aanvullende verplichtingen. In een eerdere News Update gingen wij nader in op de classificatie en de verplichtingen voor de GPAI-modellen.
Let bij uw inventarisatie ook op het verschil tussen AI die als zelfstandig product wordt ingezet (“stand-alone AI“) en AI die is ingebouwd in andere producten of diensten (“embedded AI“). Embedded AI wordt in de praktijk gemakkelijk over het hoofd gezien, maar valt net zo goed onder de AI Act. Denk hierbij bijvoorbeeld aan AI-functionaliteiten die verwerkt zijn in HR-software zoals automatische cv-screening.
Classificeer vervolgens per AI-systeem welke van de vier risiconiveaus uit de AI Act van toepassing is: onaanvaardbaar risico, hoog risico, beperkt risico of minimaal risico. Het risico bepaalt welke verplichtingen van toepassing zijn. Vooral bij hoog-risico AI-systemen gelden verschillende aanvullende verplichtingen. Stel ook vast of uw onderneming aanbieder of gebruiker is van het hoog-risico AI-systeem, aangezien de verplichtingen voor aanbieders zwaarder zijn. Houd er rekening mee dat uw onderneming ook als aanbieder kan worden aangemerkt wanneer AI-toepassingen onder eigen naam worden gebruikt of bij hergebruik van een chatbot die oorspronkelijk is ontwikkeld voor klantvragen voor HR-doeleinden.
Borg AI-geletterdheid met een passend trainingsprogramma
Ondernemingen die AI ontwikkelen of gebruiken moeten ervoor zorgen dat hun medewerkers voldoende “AI-geletterd” zijn. Deze verplichting geldt al sinds februari 2025 en is daarmee een van de eerste concrete actiepunten. AI-geletterdheid is de kennis en vaardigheden die medewerkers nodig hebben om AI verantwoord toe te passen, afgestemd op hun functie, ervaring en de gebruikscontext. Wat AI-geletterdheid in de praktijk van uw onderneming vraagt hangt daarom af van de technische kennis en ervaring van de betrokkenen en de context waarin zij met AI werken. Er is hierbij geen one size fits all. Dit geldt ook voor bestuurders commissarissen: AI-kennis op ten minste basisniveau is in veel gevallen nodig om de juiste vragen te kunnen stellen en effectief toezicht te kunnen houden op dit onderwerp. De Autoriteit Persoonsgegevens geeft hier richting aan met een leidraad voor een meerjarig actieplan en vraagt om vastlegging van een plan, budget en verantwoordelijkheden op bestuurlijk niveau. Een korte samenvatting hiervan is te vinden in deze News Update, inclusief praktijkvoorbeelden van het Europees AI-bureau.
Breng transparantieverplichtingen in kaart en standaardiseer de communicatie
De AI Act verplicht in specifieke gevallen tot transparantie. Gebruikers moeten weten wanneer zij met een AI-systeem te maken hebben (denk aan chatbots), door AI gegenereerde content moet als zodanig herkenbaar zijn (waaronder deepfakes), en aanbieders van hoog-risico systemen moeten duidelijke informatie geven over de werking en beperkingen van hun systeem. Breng in kaart of deze verplichtingen op uw onderneming van toepassing zijn en zorg voor een consistente toepassing binnen de onderneming.
Veranker AI-compliance in het bredere digitale compliance framework
AI-wetgeving en toezicht blijven zich ontwikkelen. Denk hierbij aan de huidige onderhandelingen over de AI-Omnibus-wetgeving. Wijs één of enkele personen binnen uw onderneming aan die de wet- en regelgeving op het gebied van AI volgen en beleid bijwerken. Maak AI-compliance daarnaast onderdeel van het bredere digitale compliance framework en zorg dat bestuurders en commissarissen periodiek een update krijgen over dit onderwerp.
Heeft u vragen over wat de AI-Act en de nieuwe AI-Omnibus-wetgeving betekent voor uw onderneming? Neem dan contact op met Jurre Reus of Lucy de Graaf.