‘Omdat de AI Act zo breed is, moet je het multidisciplinair aanpakken’

Jarenlang was het trainen van technologie op basis van patronen in grote datasets een onbereikbare droom voor veel wetenschappers. De term “artificiële intelligentie” werd al in 1956 bedacht, maar het duurde bijna zeventig jaar voordat de technologie de wereld daadwerkelijk zou veroveren. Vandaag verloopt de ontwikkeling zo snel dat de Europese Unie met regelgeving komt om grenzen te stellen aan wat wel en niet mag.

‘De AI Act kadert binnen een bredere golf aan regels die op bedrijven afkomt’, zegt Benny Bogaerts, Partner bij KPMG Advisory. ‘Het is het eerste juridische kader rond AI, waarmee de EU vastlegt hoe we dit op een veilige en verantwoorde manier kunnen gebruiken, zonder fundamentele rechten of het beslissingsrecht van individuen te schenden. Wie de verordening niet naleeft, riskeert boetes tot 35 miljoen euro of 7 procent van de wereldwijde jaaromzet.’

De vier categorieën

Artificiële intelligentie is een zeer brede technologie die voor uiteenlopende toepassingen gebruikt kan worden. Omdat de EU niet elk AI-model over dezelfde kam wil scheren, heeft ze vier grote categorieën geïdentificeerd.

‘De focus ligt vooral op het potentiële risico. Systemen met een onaanvaardbaar risico zijn toepassingen waarvan het gevaar zo groot is dat Europa ze vanaf februari 2025 verbiedt. Denk aan sociale kredietscores of emotieherkenning op de werkvloer’, zegt Laura Vanuytrecht, Advocaat bij KPMG Law.

Daarna volgen de systemen met een hoog risico op de gezondheid, veiligheid, omgeving en fundamentele rechten van individuen. ‘Voor deze categorie gelden de strengste verplichtingen. Dit zijn onder meer AI-systemen of use cases in specifieke sectoren, zoals software voor kritische infrastructuur of AI-systemen gebruikt voor rekrutering’, licht Vanuytrecht toe. ‘Voor systemen met een beperkt risico, bijvoorbeeld chatbots, geldt een transparantieverplichting: bedrijven moeten duidelijk maken dat gebruikers met AI communiceren.’

Tot slot is er de grootste categorie: systemen met een laag risico, zoals spamfilters. ‘Hiervoor gelden geen bindende regels, maar wel richtlijnen. Verder maakt men een onderscheid tussen bedrijven die AI ontwikkelen, “aanbieders”, en bedrijven die AI gebruiken of “gebruiksverantwoordelijken”. Als onderneming kun je in beide categorieën tegelijkertijd vallen’, benadrukt Vanuytrecht.

Een multidisciplinaire aanpak

Transparantie moet centraal staan, benadrukt Bogaerts. ‘Elke onderneming moet helder communiceren over welke AI-modellen ze gebruikt en wat er met de data gebeurt. Een AI-model mag nooit zelfstandig beslissingen nemen en privacy blijft een prioriteit. Bovendien komt elke categorie binnen de AI Act met specifieke regels, en AI-toepassingen kunnen in de loop van de tijd verschuiven van de ene naar de andere categorie.’

Daarnaast staat de AI Act niet op zichzelf, maar is er veel kruisbestuiving met andere wetgeving. ‘Omdat de AI Act zo breed is, moet je het multidisciplinair aanpakken’, zegt Bogaerts. ‘Dat betekent niet alleen juridische en compliance-experts betrekken, maar ook specialisten in data science. Bij KPMG hebben we een framework ontwikkeld om een sterke governance-structuur op te zetten.’

Bogaerts schetst enkele concrete stappen die bedrijven moeten nemen om de nieuwe regelgeving correct toe te passen. ‘Eerst moet je vaststellen welke use cases onder het onaanvaardbare of hoge risico vallen. Vervolgens is het essentieel om de risico’s te evalueren en te categoriseren, inclusief die bij derde partijen zoals leveranciers. Zij zullen bijvoorbeeld moeten aantonen dat ze actief inzetten op veiligheid. Tot slot is bewustwording rond AI cruciaal, zowel intern bij medewerkers als extern bij partners en stakeholders.’

De komende maanden worden volgens hem cruciaal, omdat ze veel duidelijkheid zullen brengen. ‘Bij andere Europese wetgeving, zoals de GDPR, was er minder ruimte voor interpretatie. Over de AI Act bestaan nog veel vraagtekens, maar binnenkort zal de impact van de nieuwe richtlijn steeds concreter worden.’