In augustus is de AI-verordening twee jaar in werking – althans gedeeltelijk. Sinds het van kracht worden van deze verordening zijn er al vele richtsnoeren en aanpassingen met betrekking tot de AI-verordening voorgesteld. Daarom bespreken wij in dit blog een aantal actualiteiten en nieuwe ontwikkelingen rondom de AI-verordening. Verder wordt er kort ook aandacht besteed aan verschillende kwalificatievragen rondom hoog risico AI-systemen en de omstandigheden waaronder een AI-model voor algemene doeleinden kan kwalificeren als een AI-systeem.[1]
Nieuwe tijdlijn voor verplichtingen
De verplichtingen voortvloeiend uit de AI-verordening treden gefaseerd in werking. De regels omtrent verboden AI-systemen zijn al in werking getreden op 2 februari 2025. Ook de ‘AI-geletterdheid’ is in werking getreden.[2] De regels voor hoog risico AI-systemen stonden gepland om op 2 augustus 2026 in te gaan. De Europese Commissie heeft echter een voorstel gedaan om de tijdlijn voor regels voor hoog risico AI-systemen te verlengen met 16 maanden zodat deze pas gaan gelden als er meer tools en richtsnoeren beschikbaar zijn. Onlangs is de voorgestelde verlenging van de termijnen aangenomen. De nieuwe datum voor zelfstandige hoog risico AI-systemen (als omschreven in Annex III van de Verordening) is 2 december 2027. Voor hoog risico AI-systemen die geïntegreerd zijn in producten (als bedoeld in Annex I), is de nieuwe datum vastgesteld op 2 augustus 2028.[3]
Nederlandse uitvoeringswet
Ook in Nederland zijn er wetgevingsontwikkelingen rondom de AI-Verordening. In april is het voorstel voor de Uitvoeringswet AI-verordening (UAIA) gepubliceerd.[4] Hoewel de AI-Verordening een Europese verordening is en daarom rechtstreeks van toepassing is in alle lidstaten waaronder Nederland, ziet de UAIA op de manier waarop in Nederland de handhaving en uitvoering met betrekking tot de AI-verordening ingericht wordt. In de UAIA is gekozen voor een systeem waarbij het toezicht op de AI-verordening grotendeels wordt ondergebracht bij reeds bestaande toezichthouders. In het voorstel is het toezicht aan acht markttoezichtautoriteiten opgelegd, waarbij de Rijksinspectie Digitale Infrastructuur (RDI) een coördinerende rol aan zal nemen samen met de Autoriteit Persoonsgegevens (AP) waarbij de AP als een centraal contactpunt zal optreden.[5] De UAIA is momenteel nog in de consultatiefase.
Concept guidelines hoog risico AI-systemen
Er zijn al meerdere (concept) richtsnoeren gepubliceerd door de Europese Commissie, die dienen om de AI-verordening te verduidelijken en support te bieden bij de toepassing hiervan. Zo zijn de richtsnoeren voor verboden AI-systemen, voor de kwalificatie, voor de implementatie van de transparantieverplichtingen en de Code of practice voor AI-modellen voor algemene doeleinden[6] al gepubliceerd.
Onlangs is ook het concept richtsnoer voor de kwalificatie van hoog risico AI-systemen gepubliceerd.[7] Het doel van het richtsnoer is onder andere om nadere duiding te bieden aan zowel gebruikers als ontwikkelaars van AI-systemen ten aanzien van de vraag of een AI-systeem kwalificeert als hoog risico onder de AI-verordening. Verder bevat het richtsnoer praktische voorbeelden van AI-systemen die wel of juist niet worden beschouwd als hoog risico onder de AI-Verordening.
Kwalificatie hoog risico
Onder
de AI-verordening kunnen AI-systemen op twee manieren kwalificeren als hoog
risico; allereerst als het gaat om een AI-systeem dat zelf een product is of
als veiligheidscomponent een onderdeel is van een product dat onder bepaalde
wetgeving valt en genoemd wordt in bijlage I van de verordening, en er een
conformiteitsbeoordeling door een derde verplicht is.[8] Ten tweede, als het een
AI-systeem betreft dat wordt ingezet voor toepassingen die worden genoemd in
bijlage III van de Verordening.
Hierbij is het van belang dat uit de guideline volgt dat in de situatie dat een systeem in de gebruiksinstructies, documentatie, marketing of contractuele voorwaarden door de aanbieder als breed inzetbaar wordt gepresenteerd waarbij hoog risico toepassingen niet consistent worden uitgesloten, het beoogde doel ook dus hoog risico gebruik kan omvatten en daardoor de regels voor hoog risico AI-systemen van toepassing kunnen zijn.[10]
De Europese Commissie benadrukt expliciet dat het enkel benoemen dat hoog risicogebruik uitgesloten is in bijvoorbeeld de gebruiksvoorwaarden, onvoldoende kan zijn om te voorkomen dat een AI-systeem moet worden aangemerkt als hoog risico. Beperkingen ten aanzien van het gebruik van een AI-systemen dienen duidelijk, concreet en samenhangend omschreven te zijn in alle materialen.[11] Dit zijn dus aandachtspunten waar aanbieders van AI-systemen rekening mee kunnen houden.
Het is belangrijk om te benadrukken dat de guideline zich momenteel nog in de consultatiefase bevindt en daarom nog niet definitief is aangenomen.
Kwalificatie rol betrokken partijen
In de guideline wordt ook kort stilgestaan bij de verschillende rollen die partijen kunnen hebben onder de AI-verordening en de mogelijkheid om te verschieten van rol.[12] Uit artikel 25 van de AI-verordening volgt dat distributeurs, importeurs maar ook gebruikers onder bepaalde omstandigheden moeten voldoen aan de regels en verplichtingen die gelden voor de aanbieders van hoog risico AI-systemen. Dit is het geval als:
- een partij zijn eigen naam of merk plaatst op een AI-systeem
- een partij een substantiële aanpassing doet aan het systeem
- een partij het beoogde doel aanpast op zo’n manier dat het systeem hoog risico wordt.
Hieruit volgt nogmaals dat het beoogde doel van de aanbieders een belangrijke rol speelt in de kwalificatie van niet enkel het AI-systeem zelf, maar ook de kwalificatie van de rollen die partijen hebben onder de AI-verordening. Als het beoogde doel wordt aangepast door een partij waardoor er sprake is van hoog risico, dan geldt die partij dus als een aanbieder. Het is daarom aan te raden om AI-systemen niet zonder meer voor een ander doel dan het beoogde doel toe te passen.
Verkleuren van model naar systeem
Onder de AI-verordening wordt een onderscheid gemaakt tussen een AI-model voor algemene doeleinden en een AI-systeem. De vraag rijst wanneer en onder welke omstandigheden een AI-modellen voor algemene doeleinden kan kwalificeren als een AI-systeem onder de AI Act. Hierover lijkt tot nu toe nog weinig informatie beschikbaar te zijn. Ook in de guideline over de kwalificatie van AI-systemen is de vraag wanneer een AI-model voor algemene doeleinden kan worden beschouwd als een AI-systeem expliciet uitgesloten van de reikwijdte van de guideline.[13]
In de AI Act zelf staat in overweging 97 wel hierover het volgende:
‘’AI-modellen zijn weliswaar een essentieel onderdeel van AI-systemen, maar vormen geen AI-systemen op zich. Om een AI-systeem te worden, moeten er aan AI-modellen nog andere componenten worden toegevoegd, bijvoorbeeld een gebruikersinterface. In het geval een aanbieder van een AI-model voor algemene doeleinden in een eigen AI-systeem dat op de markt wordt aangeboden of in gebruik wordt gesteld, een eigen model integreert, moet dat model worden geacht in de handel te zijn gebracht en dienen de verplichtingen krachtens deze verordening voor modellen derhalve van toepassing blijven naast die voor AI-systemen. AI-modellen voor algemene doeleinden met een systeemrisico moeten gezien hun in potentie aanzienlijk negatieve effecten altijd onderworpen zijn aan de relevante verplichtingen uit hoofde van deze verordening.’’
Een AI-model voor algemene doeleinden zou kunnen worden aangemerkt als een AI-systeem als er aan een AI-model andere componenten worden toegevoegd. Overweging 97 lijkt te suggereren dat het enkel integreren van een AI-model in een AI-systeem niet voldoende is. In de reeds gepubliceerde guidelines lijken nog geen andere voorbeelden beschreven te zijn ten aanzien van de componenten die toegevoegd kunnen worden om van een AI model naar een AI-systeem te verkleuren.
De verwachting is dat de Europese Commissie de komende tijd de concept guidelines uiteindelijk zal goedkeuren en bovendien ook nog meer guidelines zal publiceren.
Disclaimer
Let op dat dit slechts een algemene blog is over de AI-verordening. Enige uitzonderingen en nuances zijn hierin weggelaten. Voor verdere bestudering kunt u de andere informatiestukken over de AI-verordening van Kienhuis Legal raadplegen.
Neem voor meer vragen contact op met onze advocaten van het AI-team van Kienhuis Legal.
[1] Voor meer (achtergrond)informatie over de AI-verordening verwijzen wij naar onze andere blogs over de AI-verordening:Introductie AI-verordening.
[2] Zie hierover ons blog: AI-Geletterdheid verplichting voor organisaties
[3] Zie voor meer informatie: Voorstel Digital Omnibus.
[4] Overheid.nl | Consultatie Uitvoeringswet AI-verordening.
[5] Ontwerp Memorie van Toelicht Uitvoeringswet verordening artificiële intelligentie, p.5.
[6]The General-Purpose AI Code of Practice | Shaping Europe’s digital future
[7]Draft Commission guidelines on the classification of high-risk AI systems | Shaping Europe’s digital future.
[8] Artikel 6 lid 1
[9] Artikel 6 lid 2
[10] Draft Guidelines on the classification on highrisk AI general principles, p.3.
[11] Draft Guidelines on the classification on highrisk AI general principles, p.3.
[12] Draft Guidelines on the classification on highrisk AI general principles, p.4.
[13]Guideline on the definition of an artificial intelligence systems, p. 12.