De AI-Verordening, ook bekend als de AI Act, is een nieuwe Europese wetgeving die regels stelt voor de ontwikkeling en toepassing van AI-systemen. Met een risicogebaseerde aanpak richt de verordening zich op het waarborgen van veilige, transparante en niet-discriminerende AI. Voor ondernemingen en gebruikers van AI-systemen betekent dit onder meer dat zij aan specifieke regelgeving moeten voldoen. Maar wie gaat hierop handhaven in Nederland en welke termijnen gelden er?
Advocaat Julia van Leeuwen was op 18 november jl. aanwezig bij de technische briefing van de AP en RDI over het advies op toezicht op de AI act.
Status en tijdlijn van de AI-Verordening
De AI-Verordening is op 1 augustus 2024 in werking getreden en zal gefaseerd worden ingevoerd. Op 2 augustus 2027 is de volledige regelgeving van kracht. Enkele belangrijke data zijn:
• Februari 2025: verbod op AI-systemen met onaanvaardbare risico’s en de AI-geletterdheid verplichtingen
• Mei 2025: publicatie van gedragscodes voor aanbieders van general-purpose AI (GPAI)
• Augustus 2025: toepassing van verplichtingen voor GPAI-aanbieders
• Augustus 2026: start toezicht op AI-systemen met hoog risico en transparantieverplichtingen die onder meer gelden op AI-systemen met een beperkt risico
Meer details over de tijdlijn zijn te vinden hier.
Toezicht en handhaving
In Nederland hebben de Autoriteit Persoonsgegevens (AP) en de Rijksinspectie Digitale Infrastructuur (RDI) in een advies aan het kabinet gepleit voor gecoördineerd en sectoroverstijgend toezicht. Door toezicht te integreren in bestaande sectorale structuren wordt optimaal gebruik gemaakt van kennis en expertise, terwijl mandaten van sectorale toezichthouders behouden blijven. Machines, liften en speelgoed moeten al voldoen aan diverse Europese veiligheidsregels, herkenbaar aan de CE-markering. Als deze producten AI bevatten, moeten ze daarnaast voldoen aan de eisen van de AI-Verordening.
Voor toepassingen die meerdere sectoren overstijgen, is samenwerking tussen toezichthouders cruciaal. In het eindadvies over het toezicht op de AI-verordening krijgen de RDI en de AP een coördinerende rol. Vanuit hun expertise ondersteunen en adviseren zij andere toezichthouders en bevorderen zij samenwerking. De Ministeries moeten nu een oordeel geven over het advies, maar de verwachting is dat er geen wezenlijke dingen gaan veranderen.
De AP en RDI verwachten dat de toezichthouders op de AI Act een proactieve houding zullen en moeten hebben. Het is van belang om de dialoog aan te gaan met een AI-aanbieder of AI-exploitant, te kijken wat er verbeterd moet worden en redelijke termijnen daarvoor te geven. En pas over te gaan tot handhaving als niet aan die redelijke termijnen voldaan wordt.
Zekere voor het onzekere nemen is een ander belangrijk punt met betrekking tot de handhaving van de AI Act. De AP en RDI geven aan dat als je twijfelt of het AI-systeem volgens de AI Act onder “high risk” valt, je er beter vanuit kan gaan dat het AI-systeem er wel onder valt en sinds dag één probeert aan de eisen van de AI Act te voldoen.
Uitdagingen bij de uitvoeringswetgeving
De deadline vanuit de Europese Commissie voor het aanwijzen van nationale toezichthouders is gesteld op 2 augustus 2025. Die deadline is voor Nederland hoogstwaarschijnlijk niet haalbaar. Staatssecretaris Zsolt Szabo heeft aangegeven dat er meer tijd nodig is voor een zorgvuldige besluitvorming over de inrichting van het toezicht. Dit betekent dat er mogelijk op 2 augustus 2025 nog geen toezichthouder is aangewezen voor verboden AI. Als de regelgeving wordt overtreden, kunnen getroffen burgers en ondernemingen een juridische procedure starten wegens onrechtmatige daad. Daarbij kunnen toezichthouders wel al stappen zetten met handhaving. Het in gesprek gaan met partijen en kijken wat er aangepast moet worden duurt altijd ongeveer een half jaar.
Prioriteiten voor bedrijven
Voor bedrijven is het van essentieel belang om volledig inzicht te hebben in hun AI-systemen. Prioriteiten zijn het inventariseren welke AI-toepassingen worden gebruikt, het onderzoeken van de rollen en verantwoordelijkheden die daarmee samenhangen, en het bepalen van de risicocategorie van deze systemen. Voor hoog-risico AI, zoals toepassingen voor social credit-scoring, manipulatie van mensen en biometrische identificatie voor rechtshandhaving, gelden strenge verplichtingen. Een tijdige en grondige analyse is daarom cruciaal.
Als technologie advocaat ondersteunen wij aanbieders en exploitanten van AI hierbij, bijvoorbeeld door het opstellen van contractuele bepalingen en/of algemene voorwaarden en het uitvoeren van AI Risk Assessments.
