Terwijl de inkt van de AI Act nog droogt, staan bedrijven en ontwikkelaars die werken met hoogrisico AI-systemen voor de uitdaging om hun processen en producten in lijn te brengen met deze nieuwe en ingrijpende regelgeving. Met de AI Act breekt een nieuw tijdperk aan van compliance en verantwoordelijkheid. Het is geen sinecure om jouw AI-toepassingen innovatief, effectief én nu dus ook nog compliant te maken.
De AI Act is complex. Een voorbeeld. Afdeling 2 benoemt acht aspecten waar hoogrisico-systemen aan moeten voldoen. Denk daarbij aan zaken als data & governance, documentatie, transparantie naar gebruikers toe en menselijk toezicht. Een van de bepalingen vereist dat ontwikkelaars en implementators van AI niet alleen systemen ontwerpen met het oog op huidige technologische standaarden maar ook anticiperen op toekomstige ontwikkelingen. Afdeling 3 somt vervolgens op welke plichten door welke partij moeten worden nageleefd.
Een ander voorbeeld. Artikel 9 van de AI Act introduceert het concept van een risicomanagementsysteem. Dit systeem moet niet alleen worden opgezet en onderhouden, maar moet ook gedocumenteerd zijn en continu worden bijgewerkt gedurende de volledige levenscyclus van een AI-systeem. Het begrip ‘risico’ is breed: risico’s kunnen zowel voortvloeien uit het beoogde gebruik van het AI-systeem als uit ‘redelijkerwijs voorzienbaar misbruik’. Dit betekent dat je verder moet kijken dan de directe toepassing en moet anticiperen op hoe een systeem kan worden gebruikt of misbruikt.
Veel AI-zorgen betreffen bias of vergelijkbare ongewenste uitwassen van het trainen van de AI met data. Artikel 10 stelt dat datasets moeten voldoen aan bepaalde kwaliteitscriteria. Veel houvast geeft de wet evenwel niet. Zo moet de data ‘voldoende representatief’ zijn ‘en zoveel mogelijk foutenvrij en volledig met het oog op het beoogde doel’. Ook moet het de ‘passende statistische kenmerken’ hebben. Helaas bestaan er nog geen keurmerken waarmee je snel kunt zien of een openbare dataset hieraan voldoet.
Als sluitstuk aan de eisen voor hoogrisico AI volgt nog een aantal technische eisen. Artikel 15 van de AI Act noemt dit ‘nauwkeurigheid, robuustheid en cybersecurity’, en verklaart ze essentieel voor het functioneren van hoogrisico AI-systemen. Dergelijke systemen moeten worden ontworpen en ontwikkeld om een passend niveau van deze drie kenmerken te bereiken en te handhaven gedurende hun gehele levenscyclus (by design). Om dit vast te stellen, zal de Europese Commissie nadere metrics en benchmarks laten ontwikkelen.
De aanbieder (provider) heeft als primaire taak te zorgen dat het systeem aan alle eisen zoals opgenomen in deze AI Act voldoet. Menselijk toezicht – dat is onderverdeeld in drie verschillende categorieën – is bijvoorbeeld iets dat je pas in de praktijk kunt hanteren. Toch moet het systeem al wel de mogelijkheid bieden van toezicht en ingrijpen. Hetzelfde geldt voor logging: de exploitant (deployer) kiest wanneer er wordt gelogd, maar de aanbieder moet inbouwen dat er kán worden gelogd en dat er kan worden ingesteld wat er wordt gelogd.
Kortom, het wordt een hele kluif voor alle betrokken partijen om te voldoen aan de AI Act. En dan heb ik het nog niet eens gehad over distributeurs en importeurs.
Lees ook de volledige longread ‘Wat is er nodig om als hoogrisico AI compliant te zijn met de AI Act?’van Arnoud Engelfried en meer over de opleiding tot AI Compliance Officer (CAICO®)
Lees ook:
- Bedrijven moeten zich meer bewust zijn van hun digitale verantwoordelijkheid
- Tijd om werk te maken van tijdregistratie
