Recent schreef het Europees Parlement geschiedenis door officieel ’s werelds eerste wet aan te nemen die specifiek artificiële intelligentie (AI) reguleert.
Nu ook andere regeringen stappen ondernemen om AI te reguleren, wordt de mondiale regelgeving rond AI steeds belangrijker. Voor bedrijven betekent dit dat het tijd is om hun positie in de AI-waardeketen te bepalen en de implicaties van de nieuwe AI-wet van de EU te begrijpen, zegt Wytze Rijkmans, RVP bij Tanium.
Waarover gaat de EU AI-wet?
De AI-wet van de EU introduceert een op risico’s gebaseerd kader om toezicht te houden op de ontwikkeling en het gebruik van AI-systemen in Europa. Implementatie van de wet verloopt in fases, tussen nu en 2026. De wet voorziet ook in de handhaving ervan: niet-naleving kan leiden tot hoge boetes, mogelijk tot 7% van de wereldwijde omzet.
Welke risico’s bepaalt de EU AI-wet?
Om te voldoen aan de EU AI-wet moeten bedrijven eerst hun AI-systemen beoordelen om het risiconiveau te bepalen. De wet deelt AI-systemen in vier risiconiveaus in, elk met specifieke wettelijke vereisten:
- Onaanvaardbaar risico: Deze categorie verbiedt AI-toepassingen die fundamentele rechten kunnen schenden of kwetsbare groepen kunnen uitbuiten. Verboden systemen zijn onder andere systemen die aanzienlijke schade veroorzaken door misbruik te maken van kwetsbare plekken, emotieherkenning in gevoelige omgevingen zoals werkplekken en scholen, biometrische categorisatie waarbij gebruik wordt gemaakt van gevoelige gegevens en sociale scoresystemen.
- Hoog risico: AI-systemen die onder de EU-wetgeving voor productveiligheid vallen of gebruikt worden in kritieke sectoren zoals de gezondheidszorg, het bankwezen, wetshandhaving en infrastructuur, worden beschouwd als systemen met een hoog risico. Deze systemen moeten voldoen aan strenge regels, waaronder uitgebreid risicobeheer, menselijk toezicht, transparantie en monitoring zodra de systemen gecommercialiseerd worden. Bedrijven die AI met een hoog risico inzetten, moeten de systemen gebruiken zoals ze bedoeld zijn, effectbeoordelingen uitvoeren en de risico’s continu in de gaten houden.
- AI voor algemene doeleinden (GPAI): Deze categorie omvat algemeen erkende AI-modellen van leveranciers zoals OpenAI, Google en Microsoft. Hoewel ze over het algemeen als AI-systemen met een laag risico worden beschouwd, ondersteunen GPAI-modellen veel downstreamtoepassingen en hebben ze dus specifieke verplichtingen, met name op het gebied van transparantie en naleving van wetgeving op het gebied van auteursrechten. Aanbieders van krachtige GPAI-modellen met systemische risico’s moeten de risico’s regelmatig evalueren en beperken. Ook moeten zij incidenten melden, waaronder cyberaanvallen.
- Beperkt risico: AI-systemen die niet in de andere categorieën vallen, moeten voldoen aan basisvoorwaarden inzake transparantie. Dit houdt ook in dat gebruikers moeten weten dat ze te maken hebben met AI-gegenereerde inhoud. Bedrijven moeten ook de AI-geletterdheid binnen hun organisaties bevorderen.
Aanzienlijke impact
Zodra bedrijven hun rol in de AI-waardeketen en de risicoclassificatie van hun AI-systemen hebben vastgesteld, kunnen ze hun wettelijke verplichtingen in kaart brengen. De meeste AI-systemen zullen niet volledig worden verboden of geclassificeerd als risicovol, maar de impact van de EU AI-wet zal nog steeds aanzienlijk zijn als bedrijven de bijbehorende risico’s proberen te beperken.
Governance taskforce: diversiteit tegen vooroordelen
Effectieve AI-governance is cruciaal voor compliance. Dit houdt in dat een taskforce of commissie moet worden opgericht om toezicht te houden op de ontwikkeling en inzet van AI binnen de organisatie. Diversiteit binnen deze groep kan waardevolle perspectieven opleveren en vooroordelen in AI-systemen helpen voorkomen. Regelmatige evaluaties en updates van AI-praktijken zijn essentieel om compliant te blijven en nieuwe risico’s aan te pakken.
Compliance: Een strategische beslissing
Ondernemingen moeten beslissen of hun AI-implementaties moeten voldoen aan de EU AI Act. Hoewel het realiseren van compliance veel middelen kan kosten, is het een noodzakelijke stap naarmate de regelgeving zich verder ontwikkelt. Deze wetgeving markeert het begin van uitgebreidere AI-regelgeving wereldwijd en weerspiegelt het traject van wetten voor gegevensbescherming zoals de GDPR.
Wereldwijde trends in regelgeving
Terwijl de EU AI Act een precedent schept, zijn er wereldwijd vergelijkbare regelgevende inspanningen gaande. In de Verenigde Staten is er een ‘executive order’ van de president dat de openbaarmaking van veiligheidsinformatie over AI verplicht stelt. Ook China heeft regelgeving voor generatieve AI geïmplementeerd. Eind 2023 hadden veel landen AI-wetgeving ingevoerd of waren ze hierover in debat. Deze ontwikkelingen onderstrepen een wereldwijde beweging in de richting van het reguleren van AI om veiligheid, transparantie en controleerbaarheid te garanderen.
Belemmert AI-wetgeving de innovatiedrang?
De invoering van de EU AI Act heeft discussies aangewakkerd over de mogelijke impact op innovatie. Veel spelers in de technologiesector zijn echter van mening dat duidelijke regelgeving innovatie juist zal bevorderen door vertrouwen en zekerheid in AI-technologieën op te bouwen. Door verboden, risicovolle en risicoloze toepassingen van AI te definiëren, biedt de wet een kader voor verantwoorde AI-investeringen en -ontwikkeling.
De EU AI Act is een mijlpaal in de regelgeving die een nieuw tijdperk van AI-governance inluidt. Voor bedrijven is het inschatten van hun AI-risiconiveau en wettelijke verplichtingen de eerste stap op weg naar compliance. Het opzetten van een robuuste AI-governance en het op de hoogte blijven van wereldwijde trends op het gebied van regelgeving is essentieel naarmate het AI-landschap zich verder ontwikkelt. Hoewel compliance uitdagingen met zich meebrengt, biedt het ook een kans om vertrouwen op te bouwen en innovatie op het gebied van AI te stimuleren.
AI is uiteraard niet enkel kommer en kwel. Met name op het vlak van cybersecurity kan AI de bestaande bescherming verder versterken. Zo kondigde Tanium onlangs Automate aan, als extra ondersteuning van de autonome endpoint management (AEM) mogelijkheden binnen het Tanium XEM platform. Met de unieke mogelijkheid om de kracht van real-time zichtbaarheid van endpoints en data te combineren en om te zetten in geautomatiseerde real-time actie, is Tanium de eerste die AEM ofwel Automated Endpoint Management werkelijkheid maakt. Daarnaast werkt Tanium ook samen met Microsoft rond Microsoft Copilot for Security om real-time, AI-gestuurde cyberbeveiliging te bieden.