Slechts 7% van de mkb- bedrijven is op de hoogte van de AI Act (bron: KvK), terwijl deze al sinds 1 augustus 2024 stapsgewijs van kracht is. Die onwetenheid is niet zonder consequenties, waarschuwt Frans van Bruggen van de AI Coalitie voor Nederland (AIC4NL). Deze zet zich in om de kenniskloof onder ondernemers te dichten.
De AI Act moet de risico’s van AI beheersen en de rechten van Europese burgers beschermen. De verordening zorgt ervoor dat overal in Europa dezelfde regels gelden voor AI-toepassingen. De AI Act is onderdeel van een breder kader aan EU-regulering van het digitale domein, waaronder de digitale marktverordening (DMA). Van Bruggen gebruikt het verdienmodel van social mediaplatforms om de achtergrond toe te lichten. ‘De aandachtseconomie heeft tot doel jou zo lang mogelijk op het platform te houden. Daarvoor zetten ze een algoritme in dat op jou traint en ervoor kan zorgen dat je in een filterbubbel terechtkomt. Na uitwassen zoals het Cambridge Analytics- schandaal, met manipulaties rondom de Amerikaanse presidentsverkiezingen van 2016 en het Brexit-referendum, is er regelgeving gekomen om dat aan banden te leggen. In de AI Act zit daarom een expliciete bepaling dat AI-applicaties die jouw onderbewustzijn manipuleren verboden zijn.’
AI-risicocategorieën
Als je AI-toepassing niet voldoet aan de AI Act kun je daar op aangesproken worden door de toezichthouder, en moet je terug naar de tekentafel. Het is beter om dat te voorkomen, stelt Van Bruggen. Ondernemers kunnen nu al aan de hand van vier stappen (scan de QR-code voor de Gids AI-verordening) kijken wat de AI Act voor hen betekent. Stap 1 is bepalen of je technologie onder de AI-definitie valt. ‘Meestal is dit wel vast te stellen.’ Ingewikkelder wordt stap 2: in welke risicocategorie valt je toepassing? De derde stap is het bepalen van je rol. ‘Voor een aanbieder die de AI-toepassing heeft ontwikkeld en op de markt brengt, gelden andere verplichtingen dan voor een gebruiker die het AI-systeem inzet voor de eigen processen of diensten. In stap 4 bepaal je op basis van de risicocategorie en je rol aan welke verplichtingen je moet voldoen.’ ‘De AI Act maakt onderscheid tussen vier risicocategorieën, met bovenaan de verboden toepassingen. Denk aan “social scoring”, Orwelliaanse modellen waarmee je in de gaten wordt gehouden en gestraft kan worden, of modellen die voorspellen of iemand criminele activiteiten gaat ontplooien (zoals in de film “Minority report”) en modellen gericht op emotieherkenning.’ Programma’s als ChatGPT en vergelijkbare toepassingen zijn zogenoemde breed toepasbare, ‘general purpose’-tools. Weer een andere categorie, generatieve AI en chatbots, kent alleen transparantievereisten. ‘De categorie die het meest relevant is voor bedrijven en ondernemers is de hoog- risicocategorie,’ stelt Van Bruggen. ‘Daar vallen een aantal domeinen onder, zoals AI in machines, apparatuur, speelgoed en medische hulpmiddelen, maar ook HR, onderwijs en de toegang tot publieke diensten. Een AI-model voor recruitment dat cv’s en vacatures aan elkaar matcht, valt onder de hoog-risicocategorie.’
Breng de verplichtingen in kaart
Na het bepalen van de categorie wordt duidelijk welke verplichtingen gelden (stap 4). Verboden toepassingen moeten uit de markt worden gehaald. Hoogrisicosystemen kennen tien kernverplichtingen, waaronder risicomanagement, technische documentatie en waarborgen tegen discriminatie. Voor generatieve AI en chatbots geldt dat duidelijk moet zijn wanneer output door AI is gecreëerd (bijvoorbeeld via een watermerk) of wanneer iemand communiceert met een AI-systeem. Van Bruggen is niet bang dat AI de rol van de mens overneemt. ‘De behoefte aan menselijke ervaring blijft. De beleving van kunst of een live concert zal blijven.’ Zijn zorg geldt meer een andere maatschappelijke opgave. ‘We moeten als samenleving ook oog hebben voor de groep die moeite heeft om mee te komen met de digitalisering. Denk aan AI-chatbots. Veel mensen blijven behoefte houden aan het contact met een helpdeskmedewerker.’
